Στον online κόσμο δεν είσαι αναγκαστικά ό,τι και όποιος δηλώσεις. Η κλοπή ταυτότητας είναι μια από τις συχνότερες κυβερνο-απειλές, με ανυπολόγιστες επιπτώσεις στην ψυχική και οικονομική «υγεία» μας. Έτσι, η σωστή διαχείριση των δεδομένων ταυτότητας και πρόσβασης είναι όχι μόνο επιβεβλημένη, αλλά και αναγκαία για την αποφυγή «δυστυχημάτων».

Στον online κόσμο δεν είσαι αναγκαστικά ό,τι και όποιος δηλώσεις. Η κλοπή ταυτότητας είναι μια από τις συχνότερες κυβερνο-απειλές, με ανυπολόγιστες επιπτώσεις στην ψυχική και οικονομική «υγεία» μας. Έτσι, η σωστή διαχείριση των δεδομένων ταυτότητας και πρόσβασης είναι όχι μόνο επιβεβλημένη, αλλά και αναγκαία για την αποφυγή «δυστυχημάτων».

Καθώς η ζωή μας γίνεται ολοένα πιο ψηφιακή -το βλέπουμε και το βιώνουμε, τόσο στη δουλειά, όσο και στο σπίτι- η διαφύλαξη και η προστασία της ταυτότητάς μας αποκτά σταδιακά πολύ μεγαλύτερη σημασία απ’ ό,τι στο παρελθόν, με δεδομένο μάλιστα ότι οι κακόβουλοι καιροφυλακτούν, έτοιμοι να παραβιάσουν -προφανώς εις βάρος μας και προς δικό τους όφελος- την αλληλεπίδρασή μας με τον ψηφιακό κόσμο που μας περιβάλλει.
Οι προκλήσεις στον χώρο της κυβερνοασφάλειας συνεχίζουν να διογκώνονται, όπως συνεχίζεται και το bras-de-fer, ανάμεσα στους ψηφιακούς φύλακες των «συνόρων» και τους hackers.
Το netweek φιλοδοξεί να ρίξει μ’ αυτό το special report, αφιερωμένο στο IDentity & Access Management περισσότερο φως στις τελευταίες εξελίξεις, στα βιομετρικά και μη «εργαλεία» που έχουμε πλέον στη διάθεσή μας, αλλά και στους διαφορετικούς τρόπους αντιμετώπισης του μεγάλου και κρίσιμου προβλήματος.

Νέα πραγματικότητα για τις τράπεζες
Τα τελευταία χρόνια η πανδημία λειτούργησε ως μία ακόμα κρίση με εκτεταμένες επιπτώσεις στην ανθρωπότητα και την παγκόσμια οικονομία, η οποία όμως ταυτόχρονα έδρασε ως απόλυτος «καταλύτης» για την επιτάχυνση του (τόσο αναγκαίου) ψηφιακού μετασχηματισμού τόσο σε διεθνές, όσο και σε εθνικό επίπεδο. Η ως τώρα καλά προστατευμένη περίμετρος κατέρρευσε, η ασφάλεια στον κυβερνοχώρο εξακολουθεί να δοκιμάζεται και η διαχείριση της ταυτότητας, αλλά και της πρόσβασης πολιτών / χρηστών / καταναλωτών στο «σύστημα» αποτελεί μέγα και πάντοτε «καυτό» θέμα. Στο πλαίσιο αυτού του special report, θεωρήσαμε πως ο CIO του Ομίλου της Εθνικής Τράπεζας, Ελευθέριος Κορορός, είναι ο πλέον κατάλληλος για να απαντήσει στις ερωτήσεις του netweek.

Με δεδομένο ότι οι παραδοσιακοί κανόνες ασφαλείας έχουν γνωρίσει, από την έναρξη της πανδημίας και μετά, σημαντικές αναταράξεις έως και ανατροπές, όσον αφορά στους εργαζομένους, αλλά και τους πελάτες – χρήστες, ποιες είναι οι μεγάλες προκλήσεις που αντιμετωπίζουν οι τράπεζες στα θέματα διαχείρισης ταυτότητας;

Η νέα πραγματικότητα ανέδειξε ένα νέο τρόπο ψηφιακής συναναστροφής και επικοινωνίας των πελατών και των πολιτών με το κράτος, τις επιχειρήσεις, τους εργοδότες τους και τις τράπεζες.
Οι πελάτες πλέον απαιτούν από την τράπεζά τους να είναι τόσο έξυπνη, όσο το smartphone τους. Απαιτούν μία τράπεζα ψηφιακά έτοιμη, διαθέσιμη και ασφαλή που θα τους διαφυλάσσει σε σχέση με τα θέματα διαχείρισης ταυτότητάς τους. Για να ανταποκριθούν σ’ αυτές τις αυξημένες απαιτήσεις, οι τράπεζες καλούνται να αναγνωρίσουν τις περιοχές που επηρεάζονται άμεσα από τη νέα ψηφιακή σχέση μεταξύ αυτών, των πελατών και των εργαζομένων τους, και οι οποίες σχετίζονται με την διαχείριση ταυτότητας, ώστε να παρέχουν τις απαραίτητες δικλείδες για την διασφάλιση της ακεραιότητας και της ασφάλειας των πληροφοριών. Τέτοιες περιοχές είναι:
1 Digital Customer Onboarding Πλέον θεωρείται αυτονόητο να μπορεί κάποιος να γίνει πελάτης της τράπεζας χωρίς να χρειαστεί να επισκεφτεί κάποιο κατάστημα. Αυτό προϋποθέτει την κατάλληλη υποδομή επιβεβαίωσης της ταυτότητας του νέου πελάτη χωρίς τη φυσική του παρουσία. Στην Εθνική Τράπεζα είχαμε την ευκαιρία να δώσουμε αυτή τη δυνατότητα λίγους μήνες πριν ξεσπάσει η πανδημία και ως εκ τούτου την δυνατότητα να σχεδιάσουμε μια λύση χωρίς την πίεση του χρόνου.
2 Ψηφιακές Συναλλαγές. Το 95% των συναλλαγών στην Εθνική Τράπεζα πραγματοποιείται πλέον μέσα από τα ψηφιακά κανάλια, Internet και Mobile banking. Αυτό απαιτεί τη σωστή ταυτοποίηση των πελατών για την αποφυγή απάτης, καθώς και την εκπαίδευση των πολιτών για τη σωστή διαχείριση της ψηφιακής τους ταυτότητας.
3 Remote Working. Με ένα μεγάλο αριθμό υπαλλήλων να εργάζονται απομακρυσμένα, δημιουργούνται νέες προκλήσεις καθώς, στο παρελθόν, σε πολλές Τράπεζες (όχι μόνο στην Ελλάδα αλλά και παγκοσμίως) μέρος της ολικής ασφάλειας των πληροφοριών ήταν και ο περιορισμός πρόσβασης μέσα από το φυσικό χώρο της Τράπεζας.
4 Χρήση εγγράφων σε ψηφιακή μορφή. Παρά τις προσπάθειες που είχαν γίνει στο παρελθόν για την απαλοιφή χρήσης εγγράφων σε φυσική μορφή, σε όλες τις Τράπεζες σε κάποιο σημείο της διαδικασίας τους απαιτούνταν η πρόσβαση σε κάποια έγγραφα (συνήθως ταυτοποίησης) σε φυσική μορφή. Ταυτότητες και διαβατήρια είναι από τα χαρακτηριστικά παραδείγματα.

Ποιες είναι οι σημαντικότερες νέες τάσεις και τεχνολογίες σ’ αυτόν τον τομέα και ποιες έχετε επιλέξει εσείς, ως πλέον αποτελεσματικές, από τις προσφερόμενες στην αγορά;

Η αποτελεσματική αντιμετώπιση των παραπάνω προκλήσεων σχετικά με τη διαχείριση ταυτότητας προϋποθέτει την εφαρμογή μίας ολιστικής και σφαιρικής προσέγγισης. Σκεφτείτε, για παράδειγμα, τον τρόπο προστασίας του σπιτιού σας. Αρκεί η τοποθέτηση της καλύτερης πόρτας ασφαλείας, όσο αδιαπέραστη κι αν είναι, αν ταυτόχρονα αφήνετε ανοικτά τα παράθυρα; Η απάντηση προφανώς είναι αρνητική. Η ασφάλεια της οικίας μας απαιτεί να θωρακίσουμε τις πόρτες και τα παράθυρα, να τοποθετήσουμε συναγερμό, να μη δώσουμε τα κλειδιά σε κάποιον άγνωστο, αλλά ακόμα κι αν τα δώσουμε, αυτός να μην έχει τον κωδικό του συναγερμού. Με άλλα λόγια, η αποτελεσματική προστασία και διαχείριση ταυτότητας απαιτεί την εφαρμογή συνόλου συστημάτων που ενσωματώνουν τις τελευταίες τάσεις και τεχνολογίες γύρω από το Identity Management. Οι πλέον βασικές είναι:
1 Biometric Authentication. Η χρήση βιομετρικών (π.χ. δακτυλικών αποτυπωμάτων, Face ID κλπ.), προκειμένου να επιβεβαιώσουμε μια συναλλαγή, ή να δώσουμε πρόσβαση σε έναν διαχειριστή συστημάτων.
2 Ψηφιακή Πιστοποίηση Ταυτότητας. Οι τεχνολογίες ψηφιακής πιστοποίησης ταυτότητας χρησιμοποιούν ένα συνδυασμό από έγγραφα ταυτοποίησης (π.χ. φωτογραφία ταυτότητας από το gov.gr), βιομετρικά και άλλους παράγοντες προκειμένου να γίνει ταυτοποίηση ενός χρήστη. Για παράδειγμα, η σύγκριση ζωντανής εικόνας του προσώπου ενός χρήστη με τη φωτογραφία ταυτότητας από το gov.gr.
3 Identity & Access Management Ένα σύνολο τεχνολογιών, αλλά και διαδικασιών για τη διαχείριση των χρηστών και των δικαιωμάτων που έχουν σε συστήματα και πληροφορίες. Σημαντικό στοιχείο είναι όχι μόνο η προσωρινή απόδοση δικαιωμάτων, αλλά και η έγκαιρη αναίρεσή τους.
4 Zero Trust Architecture. Μια αρχιτεκτονική συστημάτων όπου κάθε συνδεόμενος χρήστης αλλά και συσκευή αντιμετωπίζεται αρχικά σαν να μην έπρεπε να έχει πρόσβαση. Μετά από επαλήθευσή του αποκτά τα δικαιώματα που πρέπει. Η βασική του αρχή είναι «never trust, always verify».
5 Blockchain Identity Management. Το blockchain μπορεί να χρησιμοποιηθεί προκειμένου να γίνει διαμοιρασμένη αποθήκευση και διαχείριση των χρηστών και των δικαιωμάτων τους στον distributed ledger του, βελτιώνοντας την ασφάλειά τους.
Ως Εθνική Τράπεζα παρακολουθούμε στενά αυτές τις τάσεις και εξελίξεις και τις υιοθετούμε συνδυαστικά, ώστε να ικανοποιούμε τις εκάστοτε ανάγκες ασφάλειας και προστασίας των δεδομένων.

Χρησιμοποιείτε βιομετρικά εργαλεία για τη διαχείριση ταυτότητας, σε ποιόν βαθμό και με ποιες δικλείδες ασφαλείας;

Υπάρχουν διαφορετικά μοντέλα στη χρήση βιομετρικών στοιχείων, με διαφορετικές εφαρμογές και διαφορετικούς περιορισμούς στη χρήση τους. Το πρώτο μοντέλο είναι αυτό που έχουμε συνηθίσει πλέον να χρησιμοποιούμε στα κινητά μας τηλέφωνα. Η ταυτοποίησή μας δηλαδή με το δακτυλικό αποτύπωμα ή το Face ID. Σ’ αυτή την περίπτωση, τα βιομετρικά στοιχεία είναι αποθηκευμένα σε ειδικά ολοκληρωμένα κυκλώματα της συσκευής σε κρυπτογραφημένη μορφή στα οποία δεν έχει κανείς πρόσβαση.

Στη συσκευή γίνεται η επαλήθευση του αποτυπώματός μας με το αποθηκευμένο και στην Τράπεζα στέλνεται η επιβεβαίωση ότι έχει γίνει αυθεντικοποίηση του χρήστη. Αυτό χρησιμοποιείται από την Τράπεζα εκτενώς, κυρίως σαν δεύτερη βαθμίδα ταυτοποίησης του χρήστη στις συναλλαγές.
Το δεύτερο μοντέλο απαιτεί από την Τράπεζα να αποθηκεύει τα βιομετρικά στοιχεία του πελάτη και να τα συγκρίνει με ειδικούς αλγορίθμους με τα στοιχεία που της στέλνει ο πελάτης κατά τη διάρκεια μιας συναλλαγής. Σε αντιπαραβολή με το προηγούμενο παράδειγμα, η Τράπεζα θα αποθήκευε τα δακτυλικά αποτυπώματα του χρήστη και θα τα συνέκρινε με τα δακτυλικά του αποτυπώματα στην περίπτωση συναλλαγής. Τα βιομετρικά μπορεί να είναι διαφορετικού τύπου, όπως για παράδειγμα φωτογραφία, ο τρόπος που υπογράφει κάποιος κλπ. Εναλλακτικά, τα στοιχεία αυτά θα μπορούσαν να αντλούνται από μια διαπιστευμένη πηγή (π.χ. Gov.gr) και να μην αποθηκεύονται στην Τράπεζα.
Οι περιορισμοί που υπάρχουν στη χρήση του δεύτερου μοντέλου δεν το καθιστούν ακόμα κατάλληλο για την πλειοψηφία των περιπτώσεων και, ως εκ τούτου, δεν είναι κάτι που η Τράπεζα εφαρμόζει αυτή τη στιγμή. Παρόλα αυτά, έχει τις απαραίτητες υποδομές ώστε να μπορέσει να το εφαρμόσει, όταν θα είναι πλέον ώριμο.

Η ΕΤΕ διαθέτει πολυπρόσωπο τμήμα Πληροφορικής, με ικανότατα στελέχη. Ποιος είναι ο ρόλος των παρόχων τεχνολογικών λύσεων και υπηρεσιών στη διαχείριση της ταυτότητας των χρηστών και ποια η μορφή της συνεργασίας σας;

Τα στελέχη της Τράπεζας συνεργάζονται με παρόχους τεχνολογίας και υπηρεσιών προκειμένου να ενισχύουν διαρκώς τις υλοποιήσεις σχετικά με το Identity Management. Υπάρχουν πάροχοι που προσφέρουν καινοτόμες λύσεις σε παγκόσμιο επίπεδο και έχουν πολύ μεγάλη τεχνογνωσία στη διαχείριση ταυτότητας. Επίσης υπάρχουν πάροχοι, που εξειδικεύονται σε θέματα διαδικασιών σχετικά με το Identity Management. Η Τράπεζα συνεργάζεται στενά και μακροπρόθεσμα μαζί τους προκειμένου να διασφαλίζει τα στοιχεία των πελατών της με τον βέλτιστο τρόπο.

Ποια είναι η επόμενη ημέρα σ’ αυτόν τον τομέα, για τις ολοένα και περισσότερο ψηφιακές τράπεζες;

Η επόμενη μέρα στο Identity Management για τις Τράπεζες, είναι πιθανό να εμπεριέχει τη χρήση νέων τεχνολογιών και προσεγγίσεων με σκοπό να απαντούν στις εξελισσόμενες ανάγκες των πελατών τους αλλά και στις εξελισσόμενες απειλές στην ασφάλεια δεδομένων. Μερικές από αυτές τις τεχνολογίες που είναι πιθανόν να δούμε είναι:
1 Αυξανόμενη χρήση βιομετρικών. Πέρα από τη χρήση δακτυλικών αποτυπωμάτων και facial recognition, θα δούμε τη χρήση επιπλέον βιομετρικών όπως η ταυτοποίηση με βάση τη φωνή καθώς και behavioral biometrics, όλα συνδυαστικά μεταξύ τους. Τα behavioral biometrics βασίζονται όχι στο πώς είναι κάποιος, αλλά στον τρόπο που κάνει χρήση του υπολογιστή του (π.χ. η ταχύτητα με την οποία πληκτρολογεί).
2 Artificial Intelligence και Machine Learning. Η χρήση τεχνητής νοημοσύνης μπορεί να βοηθήσει στην ακριβέστερη ταυτοποίηση χρηστών και στον εντοπισμό μη εξουσιοδοτημένων συναλλαγών (fraud).
Οι αλγόριθμοι τεχνητής νοημοσύνης μπορούν να συνδυάσουν μεγάλους όγκους πληροφορίας για να προστατέψουν τα δεδομένα των πελατών των τραπεζών.
3 Open Banking. Η ολοένα αυξανόμενη χρήση Open Banking δίνει τη δυνατότητα να μετατραπούν οι τράπεζες σε έμπιστο πάροχο ταυτοποίησης του χρήστη, όχι μόνο για τις ίδιες, αλλά και για την ταυτοποίησή του σε τρίτους οργανισμούς.
4 Blockchain. Η χρήση του blockchain μπορεί να βοηθήσει στη διασφάλιση της εγκυρότητας των στοιχείων, καθώς είναι σημαντικά πιο δύσκολο να παραποιηθούν στοιχεία που είναι αποθηκευμένα στο distributed ledger.

Εν κατακλείδι, είναι πιθανό να δούμε συνδυασμό νέων τεχνολογιών με νέες εφαρμογές, με σκοπό τη συνεχή διασφάλιση των δεδομένων των πελατών των Τραπεζών.
Το βέβαιο είναι, ότι το Identity Management ήρθε για να μείνει και θα παραμείνει μια από τις βασικές προτεραιότητες στην ατζέντα των CEOs των Τραπεζών.

Οι ιδανικές συνθήκες εφαρμογής
Οι τράπεζες και, γενικά, τα χρηματοπιστωτικά ιδρύματα προφανώς δεν είναι οι μόνοι οργανισμοί που έρχονται αντιμέτωποι με το μέγα -για την ασφάλειά τους και όχι μόνο- θέμα της διαχείρισης ταυτότητας και πρόσβασης χρηστών, πελατών και όσων συνεργάζονται με κάποιο τρόπο μαζί τους. Οι συνθήκες «εκεί έξω» αλλάζουν ραγδαία, ειδικά μετά την πανδημία, και απαιτούν όχι μόνο άμεσες δράσεις, αλλά και τη διαμόρφωση μιας νέας κουλτούρας.
Ποια είναι η ιδανική συνθήκη για την εφαρμογή της τεχνολογίας ID Management; ρωτήσαμε τον Παντελή Λαναρά, υποδιευθυντή Omni Channel Customer Onboarding & Order Transformation του Ομίλου ΟΤΕ, ο οποίος -εκτός από τις καθαρά τηλεπικοινωνιακές υπηρεσίες του- έχει επεκταθεί πλέον σε πάμπολλα πεδία, περιλαμβανομένου και εκείνου του ψηφιακού πορτοφολιού, με το Payzy.
«Στη σύγχρονη ψηφιακή εποχή, οφείλουμε να αξιοποιούμε κατάλληλα τις απεριόριστες δυνατότητες που μας παρέχει η τεχνολογία, για να κάνουμε τον κόσμο μας καλύτερο. Προς αυτή την κατεύθυνση, η υιοθέτηση ψηφιακών λύσεων και πρακτικών, όπως η εξ αποστάσεως ταυτοποίηση του συνδρομητή, είναι προτεραιότητα του Ομίλου ΟΤΕ και αποτελεί μια γρήγορη, ευέλικτη και αξιόπιστη λύση που διευκολύνει την καθημερινότητά των πολιτών, μειώνει την ταλαιπωρία τους και αναβαθμίζει σημαντικά την ποιότητα της εξυπηρέτησής τους.
Η διαχείριση ταυτότητας (Identity Management) είναι μια σύνθετη διαδικασία που περιλαμβάνει την ταυτοποίηση, τον έλεγχο ταυτότητας και την εξουσιοδότηση ατόμων για πρόσβαση σε συστήματα, δίκτυα και εφαρμογές. Η τεχνολογία αυτή βρίσκεται ακόμα στα πρώτα της βήματα, ως προς την αξιοποίηση των δυνατοτήτων της, γι’ αυτό και εφαρμόζεται μεμονωμένα, σε συγκεκριμένες περιπτώσεις.

Για να είναι αποτελεσματικές αυτές οι διαδικασίες, πρέπει να γίνονται με σύγχρονο και ασφαλή τρόπο, με τη χρήση τεχνολογίας Τεχνητής Νοημοσύνης (Artificial Intelligence – AI) και ανάλυση βιομετρικών δεδομένων. Κι όλα αυτά μέσα σε λίγα μόλις λεπτά. Για παράδειγμα, στον κλάδο των τηλεπικοινωνιών, αυτό γίνεται με την εξ αποστάσεως ηλεκτρονική ταυτοποίηση των υποψήφιων συνδρομητών ενός παρόχου. Η εξ αποστάσεως ταυτοποίηση προσώπων γίνεται τόσο μέσω βιντεοκλήσης, ανάμεσα σ’ ένα φυσικό πρόσωπο κι έναν κατάλληλα εκπαιδευμένο υπάλληλο με επικοινωνία σε πραγματικό χρόνο ή -εναλλακτικά- μέσω selfie την οποία βγάζει live ο υποψήφιος συνδρομητής.
Στόχος αυτής της ψηφιακής διαδικασίας, είναι η ευκολία για τον υποψήφιο πελάτη και η συντομότερη ικανοποίηση του αιτήματός του για νέα σύνδεση ή μεταφορά της σύνδεσής του στον πάροχο, κατόπιν τηλεφωνικής επικοινωνίας. Από την άλλη, η χρήση βιομετρικών μεθόδων γίνεται για να συγκριθεί αυτοματοποιημένα η φωτογραφία του αιτούντος σε πραγματικό χρόνο (selfie) με τη φωτογραφία του εγγράφου ταυτοποίησης, με σκοπό τη πρόληψη απάτης, ενώ τα στοιχεία αυτά χρησιμοποιούνται αποκλειστικά και μόνο για τη διαδικασία ταυτοποίησης.

Με στόχο να γίνει η συγκεκριμένη τεχνολογική λύση ακόμα πιο φιλική προς τους πολίτες, ο κλάδος εξετάζει την πιθανότητα διασύνδεσης των πληροφοριακών συστημάτων των παρόχων ηλεκτρονικών επικοινωνιών με την υπηρεσία eGov-KYC (Know Your Customer) του υπουργείου Ψηφιακής Διακυβέρνησης και της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης. Δηλαδή, να μπορεί ο πάροχος, έπειτα από αίτημα του πελάτη, να αντλεί στοιχεία από αυτή την υπηρεσία, με απαραίτητη προϋπόθεση φυσικά τη συναίνεσή του για τη χορήγηση στοιχείων.
Αναμφίβολα, η τεχνολογία ID Management είναι ένας συνεχώς εξελισσόμενος τομέας και η ανάπτυξή του αναμένεται να είναι ραγδαία, τα επόμενα χρόνια. Είναι μία τεχνολογία που ανοίγει νέες δυνατότητες πέραν αυτών που ήδη αξιοποιούνται. Για να μπορέσουμε, όμως, να τις αξιοποιήσουμε στο μέγιστο βαθμό, είναι πολύ σημαντικό όλοι οι πολίτες να εξοικειωθούν με τα ψηφιακά εργαλεία, αλλά και να έχουν πρόσβαση σε δίκτυα υψηλών ταχυτήτων».

 

Το γράμμα του νόμου
Μια από τις πιο σημαντικές πτυχές στη Διαχείριση Ταυτότητας & Πρόσβασης, που οι εμπλεκόμενοι οργανισμοί αλλά και οι απλοί χρήστες (προφανώς, σε επίπεδο επιπτώσεων στην καθημερινότητά τους) θα πρέπει να συνυπολογίσουν, είναι σίγουρα η συμμόρφωση (και των δυο πλευρών) με το «Γράμμα του Νόμου», δηλ. με τα διαφορετικά κανονιστικά πλαίσια που πλέον ισχύουν και στη χώρα μας, επηρεάζοντας πολλαπλά την εφαρμογή σε πλήθος δράσεις και πράξεις, όπου η εξακρίβωση της ταυτότητας των εμπλεκομένων αποτελεί απαραίτητο και καθοριστικό στοιχείο.
Η εξειδικευμένη σε θέματα ICT και Ψηφιακού Μετασχηματισμού νομικός Πέννυ Κοντογεώργου, Partner της εταιρείας ZOULOVITS – KONTOGEORGOU (ZK LAW FIRM) απάντησε στο ερώτημα του netweek, στο πλαίσιο αυτού του special report, αν οι λύσεις IDA management δίνουν απάντηση στο βαρύ κανονιστικό πλαίσιο που ισχύει σήμερα.
«Στην εποχή του Internet of Everything, που οι Τεχνολογίες Πληροφορικής & Επικοινωνιών δημιουργούν έναν κόσμο διαρκώς αυξανόμενης πολυπλοκότητας σε διασυνδεδεμένα συστήματα, συσκευές και multi-cloud περιβάλλοντα, ζητήματα ασφάλειας πληροφοριών, συστημάτων και προσωπικών δεδομένων, οδήγησαν στη διαμόρφωση ενός regulation – heavy marketplace.

Η εφαρμογή του GDPR
Ο ευρωπαϊκός Γενικός Κανονισμός υπό την απειλή υψηλών προστίμων, υποχρεώνει, υπό την επιφύλαξη της τομεακής νομοθεσίας, τους υπόχρεους φορείς:
α) σε εξ ορισμού συλλογή, αποθήκευση, πρόσβαση και εν γένει επεξεργασία μόνο των απαραίτητων προσωπικών δεδομένων για τον εκάστοτε σκοπό επεξεργασίας και στην εξ’ ορισμού περιορισμένη πρόσβαση χρηστών (privacy by default – άρθρο 25)
β) σε λήψη και εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλίζεται το απόρρητο, η ακεραιότητα, διαθεσιμότητα και αξιοπιστία των συστημάτων και υπηρεσιών επεξεργασίας των προσωπικών δεδομένων σε συνεχή βάση,
γ) σε τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητα των μέτρων ασφαλείας
δ) σε τεκμηρίωση της καταλληλότητάς τους (λογοδοσία).

Με βάση τα ανωτέρω, οφείλουν να προβούν σε υιοθέτηση διαδικασιών διαχείρισης λογαριασμών χρηστών, εφαρμογή μηχανισμών αποτροπής μη εξουσιοδοτημένης πρόσβασης χρηστών σε πόρους – εφαρμογές – αρχεία, σε λήψη μέτρων ορθής ταυτοποίησης και αυθεντικοποίησης χρηστών με τη χρήση μεθόδων πολλαπλών παραγόντων και μηχανισμών διαχείρισης συνθηματικών.
Ένα σύστημα ΙΑΜ που εξυπηρετεί τις ανωτέρω ανάγκες, είναι ένα βήμα προς την επίτευξη της ασφάλειας των δεδομένων και της προστασία της ιδιωτικότητας, ωστόσο δεν αποτελεί την εξ’ ορισμού συμμόρφωση με τις απαιτήσεις του Γενικού Κανονισμού. Για να επιτευχθούν οι στόχοι του GDPR, αναφορικά με την ασφάλεια και τη διαφάνεια, πρέπει να είναι το ίδιο το σύστημα ΙΑΜ privacy designed, να είναι προσαρμοσμένο στις πιο πρόσφατες τεχνολογίες και να απαντάει στις προκλήσεις που αυτές θέτουν σε ζητήματα ιδιωτικότητας και ασφάλειας, παράλληλα δε, να έχει όλες τις νόμιμες προϋποθέσεις για τυχόν νόμιμη διαβίβαση προσωπικών δεδομένων σε τρίτες χώρες, εφόσον οι πάροχοι των λύσεων ΙΑΜ δεν είναι εγκατεστημένοι στην Ευρώπη.

Η Οδηγία NIS2
Υπόβαθρο της NIS2 (Οδηγία ΕΕ 2022/2555) αποτέλεσε το ταχέως μεταβαλλόμενο τοπίο των κυβερνοαπειλών, οι οποίες απαιτούν προσαρμοσμένες, ολιστικές, ομοιόμορφες, συντονισμένες και καινοτόμες αποκρίσεις. Η νέα Οδηγία διευρύνει τον ορισμό των υπόχρεων οντοτήτων (ενδεικτικά, εταιρείες ενέργειας, μεταφορών, υγείας, ταχυδρομικών υπηρεσιών, τηλεπικοινωνιών, τροφίμων, πάροχοι δημόσιων δικτύων, υπηρεσιών ηλεκτρονικών επικοινωνιών, φορείς δημόσιας διοίκησης, πάροχοι online αγορών, μηχανών αναζήτησης, υπηρεσιών κοινωνικής δικτύωσης κ.ά.) και τις υποχρεώνει στη λήψη κατάλληλων και αναλογικών τεχνικών, επιχειρησιακών και οργανωτικών μέτρων για τη διαχείριση των κινδύνων, όσον αφορά στην ασφάλεια συστημάτων δικτύου και πληροφοριών τους και την πρόληψη ή ελαχιστοποίηση των επιπτώσεων των περιστατικών στους αποδέκτες των υπηρεσιών τους ή σε άλλες υπηρεσίες.
Η θεμελιώδης ωστόσο αλλαγή της NIS2, είναι ο τρόπος που αντιμετωπίζει την ασφάλεια, ιδίως με την υιοθέτηση της έννοιας της αλυσίδας εφοδιασμού (supply chain). Οι έλεγχοι ασφαλείας δεν περιορίζονται πλέον στον ίδιο τον οργανισμό, καθώς δεν θεωρείται πλέον αυτόνομος, αλλά μέρος μιας ολόκληρης αλυσίδας γεγονότων και υπηρεσιών. Για παράδειγμα, το cloud δεν αποτελεί κατά την έννοια της NIS2 απλό και ανεξάρτητο μέρος των δικτύων και υπολογιστών (networking and computing resources), αλλά ενιαίο και αναπόσπαστο μέρος της επιχειρηματικής λειτουργίας. Η εφαρμογή βασικών εννοιών ελέγχου πρόσβασης, όπως ο έλεγχος βάσει ρόλων, θα πρέπει να προσαρμοστεί ώστε να ενσωματώσει επίσης τις απαιτήσεις της αλυσίδας εφοδιασμού και ουσιαστικά να αντιμετωπίσει την πολυπλοκότητα της διαχείρισης πρόσβασης στην αλυσίδα. Παρότι τα συστήματα ΙΑΜ δεν αναφέρονται στη NIS2, αποτελούν το αόρατο θεμέλιο της, εφόσον προσαρμοστούν.

PSD2 στον δρόμο για το Open Banking
Η PSD2 άνοιξε την αγορά στους Παρόχους Υπηρεσιών Πληρωμών ώστε να προσφέρουν υπηρεσίες πληροφοριών και πληρωμών απευθείας στους καταναλωτές, υποχρεώνοντας τις τράπεζες να παρέχουν -εφόσον ο πελάτης το επιθυμεί- ασφαλή πρόσβαση σε αυτούς μέσω API (open banking). Αυτό απαιτεί υψηλά πρότυπα ασφαλείας για την εξασφάλιση της προστασίας των δεδομένων των χρηστών και την ασφάλεια των συναλλαγών τους.
Επιπλέον, τίθενται απαιτήσεις ισχυρής ταυτοποίησης πελάτη (SCA, με τη χρήση δύο ή περισσότερων στοιχείων, που διασφαλίζουν την ταυτότητά του), όταν ο πληρωτής έχει πρόσβαση στο λογαριασμό πληρωμών του σε απευθείας ηλεκτρονική σύνδεση, όταν εκκινεί ηλεκτρονική πράξη πληρωμής ή εκτελεί οποιαδήποτε ενέργεια μέσω, εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στις πληρωμές ή άλλες παραβιάσεις. Μάλιστα, οι πάροχοι υπηρεσιών πληρωμών οφείλουν να εφαρμόζουν κατάλληλα μέτρα ασφαλείας με σκοπό την προστασία της εμπιστευτικότητας και της ακεραιότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας των χρηστών υπηρεσιών πληρωμών, με κατάλληλα μέτρα μείωσης κινδύνων και μηχανισμούς ελέγχου για τη διαχείριση των λειτουργικών κινδύνων και των κινδύνων ασφαλείας, που σχετίζονται με τις παρεχόμενες υπηρεσίες πληρωμών. Identity, verification, SCA, Access Controls, Security και Consent τοποθετούν την PSD2 κάτω από το μικροσκόπιο των λύσεων IAM.

norbloc
Μια εναλλακτική λύση, βασισμένη σε Blockchain
Η norbloc είναι μια RegTech εταιρεία που ιδρύθηκε στη Στοκχόλμη, το 2016. Είναι αναγνωρισμένη σε παγκόσμιο επίπεδο και διακρίνεται, όντας η μόνη εταιρεία που κατάφερε να δημιουργήσει σε μεγάλη κλίμακα και χρήση δίκτυο διαμερισμού ταυτοποιημένων στοιχείων πελατών, γνωστού ως Know-Your-Customer. Η UAE KYC Blockchain Platform τέθηκε σε λειτουργία το Φεβρουάριο του 2020 στο Ντουμπάι των Ηνωμένων Αραβικών Εμιράτων, με την πλατφόρμα της norbloc να φέρει φακέλους 450,000 + εταιρικών πελατών και το δίκτυό της να περιλαμβάνει 14 τράπεζες και κυβερνητικούς οργανισμούς. Η συγκεκριμένη ενέργεια χαρακτηρίστηκε σε έκθεση του οίκου αξιολόγησης Moody’s ως «άκρως θετική για τη σταθερότητα του χρηματοπιστωτικού χώρου», στις αρχές του 2020.

Ουσιαστικά οι πλατφόρμες της norbloc συνδέουν χρηματοπιστωτικά ιδρύματα και κυβερνητικούς οργανισμούς επιτρέποντας στους νέους πελάτες τους να δημιουργήσουν ηλεκτρονικό φάκελο τον οποίο μπορούν, στη συνέχεια, να μοιραστούν με όποιον άλλο οργανισμό επιθυμούν, αρκεί να συμμετέχει στο δίκτυο. Ο πελάτης δίνει και ανανεώνει τα στοιχεία του μόνο μία φορά, ανεξάρτητα από τον αριθμό των χρηματοπιστωτικών ιδρυμάτων με τα οποία συνεργάζεται. Ως εκ τούτου, μειώνεται η διάρκεια της διαδικασίας πιστοποίησης στοιχείων για τους πελάτες αλλά και τις τράπεζες κατά 60% ενώ, παράλληλα, η πλατφόρμα της norbloc συμβάλλει στη μείωση του κόστους και την εξάλειψη πιθανών κινδύνων που σχετίζονται με τη διαδικασία. Επιπροσθέτως, ενισχύεται η διαφάνεια και ο έλεγχος για τους πελάτες των τραπεζών σχετικά με το ποιος έχει πρόσβαση στα δεδομένα τους, ακριβώς όπως πρεσβεύει το πλαίσιο του GDPR.

Το 2022 έκλεισε με τρία πολύ σημαντικά βραβεία για τη norbloc. Τον Σεπτέμβριο αναγνωρίστηκε ως η καλύτερη ID Management Solution της χρονιάς στα Finovate Awards, στη Νέα Υόρκη. Τον Νοέμβριο τιμήθηκε με το πρώτο βραβείο για τη λύση Fides, στο πλαίσιο του Singapore Fintech Festival 2022 και του διαγωνισμού MAS Global Fintech Hackcelerator 2022 που διοργανώθηκε από τη Νομισματική Αρχή της Σιγκαπούρης και την Oliver Wyman. Τέλος, τον Δεκέμβριο η norbloc επιλέχθηκε και συμπεριλήφθηκε στους Top 20 KYC Solution Providers 2022 από την Icon Outlook, ως τιμητική διάκριση για την ποιότητα των λύσεών της.
Έπειτα από μια επιτυχημένη πορεία στη Μ. Ανατολή, η εταιρεία βρίσκεται πλέον σε προχωρημένες συζητήσεις με κεντρικές τράπεζες και οργανισμούς για τη δημιουργία KYC δικτύων σε τέσσερις ακόμη χώρες, με τη δημιουργία δικτύων διαμερισμού προσωπικών και εταιρικών δεδομένων μεταξύ τραπεζών και κυβερνήσεων να τίθεται σε εφαρμογή στις τρεις, μέσα στα επόμενα δύο χρόνια.