0
0
Pattie Dillon lembra-se de uma história de seu tempo como consultora antes de se tornar gerente de produtos de soluções antifraude no SpyCloud. Naquela época, seu cliente do call-center usou tecnologia de reconhecimento de voz para identificar um ouvinte que fingia ser outra pessoa.
“Foi um pouco cômico porque era um cavalheiro que estava ligando tentando soar como uma mulher”, lembra Dillon. “Coincidentemente, eles tiveram várias dessas chamadas telefônicas desse mesmo indivíduo, e [o software] foi realmente capaz de encontrar esses padrões de voz e identificá-lo como a mesma pessoa.”
A autenticação biométrica, como face ID, biometria de voz, impressões digitais ou alguma combinação disso, está se tornando uma parte essencial da caixa de ferramentas de segurança cibernética à medida que as organizações tentam impedir que os adversários assumam contas online e para evitar fraudes. No entanto, as empresas devem proteger os dados biométricos para evitar que sejam explorados ou roubados.
Como proteger dados biométricos
Embora a autenticação biométrica possa ser fácil de usar, sua falha crítica é que os dados biométricos não podem ser atualizados uma vez que são comprometidos, diz Gerald Alston, sócio associado e líder da prática de segurança dos EUA para a Infosys Consulting. Senhas, PINs e outros métodos de identificação podem ser substituídos, mas não há como substituir uma impressão digital, por exemplo, uma vez comprometida, diz ele — o que é outra razão pela qual proteger esse tipo de dados é tão importante.
Tradicionalmente, equipes de TI e segurança cibernética armazenam imagens contendo dados biométricos em um só lugar após capturá-los, mas alguns estão começando a explorar a tokenização. A tokenização é um processo no qual as imagens são divididas e mantidas em diferentes locais, reunindo-as de seus respectivos bancos de dados quando o método de autenticação biométrica é usado, explica Alston. Se um intruso não autorizado entrar no sistema, eles precisam encontrar onde estão os outros componentes das imagens biométricas, mas isso só atrasa a inevitável violação, diz ele.
Para proteger melhor os dados tokenizados, a Alston sugere a implementação de um sistema de gerenciamento de chaves de criptografia maduro, instituindo a disciplina de dados e sabendo onde você usa atualmente a tokenização. Em outras palavras, certifique-se de ter estabelecido processos e procedimentos para suas chaves de criptografia, fique por dentro de onde seus dados estão e entenda quais dados você tokenizou e onde são armazenados, diz ele.
Nesse ponto, outra questão a ser considerada é onde os dados são armazenados. A Aliança FIDO descreve como coletar, armazenar e transmitir amostras biométricas com segurança entre dispositivos ou servidores, diz o CTO da Mitek Systems, Stephen Ritter. Em vez de apenas salvar a imagem biométrica diretamente no dispositivo ou enviá-la para um servidor central, a abordagem FIDO gera um par de chaves criptográficas únicas. Quando o dispositivo é configurado para autenticação biométrica, a chave privada é salva no dispositivo, geralmente no enclave seguro do dispositivo para que ele não possa ser facilmente roubado pelos atacantes. A chave pública está cadastrada no aplicativo ou serviço. Durante a autenticação, o dispositivo cliente assina a ação — fornecendo uma impressão digital ou tirando uma selfie, por exemplo — com a chave privada para verificar sua validade. O enclave seguro foi projetado para ser protegido do resto do dispositivo, e seu conteúdo não é facilmente acessível de fora.
Requisitos Legais e Empresariais
Além de seguir as diretrizes do setor, Ritter também recomenda que as equipes de TI e segurança cibernética observem as regulamentações de privacidade de dados, incluindo o General Data Protection Regulation (GDPR) na União Europeia, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Privacidade de Informações Biométricas (BIPA) em Illinois.
O BIPA contém regras para a retenção, divulgação, coleta e destruição de dados biométricos. O CCPA exige que as empresas que coletam informações pessoais dos consumidores, incluindo dados biométricos, divulguem e controlem o uso dos dados coletados. O Conselho Europeu de Proteção de Dados, que facilita a aplicação consistente do GDPR, está solicitando comentários públicos sobre as diretrizes para o uso do reconhecimento facial pela aplicação da lei.
“Sempre que você vai coletar dados biométricos e vai usá-los para autenticação, você precisa ser muito claro para o usuário, antes que eles se inscrevam nesse serviço, que é isso que você vai fazer. E você tem que obter o consentimento deles por escrito”, diz Ritter.
Fornecedores terceirizados que lidam com autenticação biométrica terceirizada são um centro centralizado para “montanhas de dados de identidade”, tornando-os um alvo maduro para atores de ameaças, diz Ritter. As empresas devem avaliar os fornecedores para garantir que os dados sejam protegidos adequadamente na medida em que estiverem confortáveis. A Mitek firma acordos de proteção de dados com seus clientes, cumpre as normas ISO 27001, gera relatórios do System and Organization Controls 2 Type 2 e oferece revisões de código-fonte, acrescenta.
“É preciso trabalho para ir e identificar o fornecedor certo e garantir que eles tenham a segurança e o controle certos no local, mas isso é quase sempre melhor do que construir essas coisas por conta própria”, diz Ritter.
FONTE: DARK READING