10 anni di lavoro: i regolatori finanziari aggiornano la guida all'autenticazione della FFIEC

Michael Magrath, September 20, 2021

Per la prima volta in un decennio, gli USA Consiglio d'esame delle istituzioni finanziarie federali ( FFIEC ) ha aggiornato la sua Autenticazione e accesso ai servizi e ai sistemi degli istituti finanziari Guida dell'11 agosto 2021. Se 10 anni tra gli aggiornamenti sembrano lunghi, lo è. Dieci anni fa, le dinamiche relative alla sicurezza informatica, alla sicurezza delle informazioni e alla valutazione dei rischi erano diverse.

Il ransomware non esisteva e la verifica basata sulla conoscenza (KBV), in cui a un individuo viene presentato un elenco di domande per verificare la propria identità prima di ricevere le credenziali di autenticazione, era la norma e per la maggior parte affidabile.

La FFIEC è un organo formale interagenzia composto dal Consiglio dei governatori del Federal Reserve System (FRB), dalla Federal Deposit Insurance Corporation (FDIC), dalla National Credit Union Administration (NCUA), dall'Office of the Comptroller of the Currency (OCC ) e l'Ufficio per la protezione finanziaria dei consumatori (CFPB). La FFIEC ha il compito di "formulare raccomandazioni per promuovere l'uniformità nella supervisione delle istituzioni finanziarie".

Le Linee guida della FFIEC si applicano alle istituzioni finanziarie regolamentate (FI) ea terze parti che forniscono accesso ai sistemi informativi e ai controlli di autenticazione per conto della FI. Secondo la Guida, i "principi e pratiche si rivolgono a clienti aziendali e consumatori, dipendenti e terze parti che accedono ai servizi bancari digitali e ai sistemi informativi degli istituti finanziari".

Punti salienti della nuova guida della FFIEC

La FFIEC raccomanda che le FI dovrebbero identificare i propri utenti e clienti che garantiscono l'autenticazione e i controlli di gestione degli accessi, nonché quegli utenti e clienti che potrebbero richiedere controlli di autenticazione più rigorosi, come l'autenticazione a più fattori (MFA).

Opportunamente, la FFIEC avvisa gli FI regolamentati che l'autenticazione a un fattore, in genere qualcosa che si conosce come un nome utente e una password statica, è insufficiente. Afferma che: “Gli attacchi contro i sistemi e gli utenti protetti con l'autenticazione a un fattore spesso portano ad accessi non autorizzati con conseguente furto o distruzione di dati, impatti negativi di ransomware, frode dell'account del cliente e furto di identità. Di conseguenza, l'uso dell'autenticazione a fattore singolo come unico meccanismo di controllo si è dimostrato inadeguato contro queste minacce".

La Guida aggiunge anche che "... attività dannose con conseguente compromissione degli account dei clienti e degli utenti e della sicurezza del sistema informativo hanno dimostrato che l'autenticazione a un fattore, da sola o in combinazione con la sicurezza a più livelli, è inadeguata in molte situazioni".

Ciò è supportato da una presentazione al FedID Forum 2020 del Financial Crimes Enforcement Network (FinCEN) del Dipartimento del Tesoro degli Stati Uniti.FinCEN ha descritto come i criminali sfruttano le debolezze nei sistemi di identità per commettere più di 1 miliardo di dollari ogni mese in crimini informatici.Gli obiettivi principali per l'autenticazione debole includono la compromissione della posta elettronica aziendale (BEC), che rappresenta 433 milioni di dollari di perdite al mese, seguita da vicino da attacchi di acquisizione di account (ATO) che rubano 350 milioni di dollari al mese.

Inoltre, la FFIEC rileva opportunamente che non tutte le soluzioni MFA offrono la stessa usabilità e sicurezza. Sottolinea che "alcuni fattori MFA possono essere suscettibili agli attacchi 'Man in the Middle' (MIM), come quando un hacker intercetta un codice di sicurezza una tantum inviato a un cliente". Questo è vero poiché il NIST usa questo esempio nel suo Linee guida per l'identità digitale: autenticazione e gestione del ciclo di vita (Pubblicazione speciale 800-63B). Nel luglio 2020, NIST ha pubblicato Pubblicazione speciale 800-63: Domande frequenti sulle linee guida sull'identità digitale ricordando ai lettori che SMS-OTP è un “ limitato " autenticatore.

Mentre la guida aggiornata copre il panorama delle minacce in espansione e cita che il digital banking si è ampliato tramite app per smartphone, mobile computing e altre tecnologie, perdono l'opportunità di raccomandare che le FI proteggano le loro applicazioni dal malware, prevenendo la manomissione e il debug e proteggendo la loro app mobile anche su dispositivi jailbroken, rooted e potenzialmente compromessi.

Sezione 11: Verifica dell'identità

La sezione 11 della Guida si concentra sulla verifica dell'identità, una componente fondamentale delle normative Know Your Customer (KYC). Nota che "i metodi di verifica che rilevano attività fraudolente, come identità sintetiche e istanze di impersonificazione, si sono dimostrati efficaci nel ridurre al minimo il rischio associato alla verifica dell'identità". Ciò è particolarmente critico considerando che nella summenzionata presentazione FinCEN, il furto di identità e la frode di identità sintetica ora rappresentano 256 milioni di dollari USA in crimini informatici ogni mese.

La FFIEC sottolinea che "i metodi di verifica affidabili generalmente non dipendono esclusivamente da domande basate sulla conoscenza per verificare l'identità". Concordiamo e raccomandiamo metodi di verifica dell'identità digitale come Verifica del documento di identità e confronto facciale .

Queste tecnologie stanno vedendo una rapida adozione a causa della pandemia. Mentre la pandemia costringeva gli istituti finanziari a ricevere da remoto nuovi clienti, la tempistica del 2018 Legge sulla crescita economica, sugli sgravi normativi e sulla protezione dei consumatori ha permesso a molti FI di continuare ad acquisire nuovi clienti al di fuori di una filiale e senza la necessità di una legislazione di emergenza. La sezione 213 della legge consente l'uso di una patente di guida scansionata o di un'altra carta d'identità rilasciata dal governo verificata per essere autentica e combinata con la verifica dell'individuo, che potrebbe includere KBV e abbinando la foto sulla patente di guida a un selfie scattato con il proprio cellulare durante la procedura di richiesta.Questo sfrutta la tecnologia di corrispondenza facciale e il processo soddisfa i requisiti della FFIEC.

Valutazione delle soluzioni di autenticazione

Scansione ID

Per aiutare le FI nella scelta di soluzioni di autenticazione appropriate per il loro livello di rischio, la Guida include un'appendice che elenca le opzioni di autenticazione chiave, come:

  • Autenticazione dell'infrastruttura a chiave pubblica (PKI) basata sul dispositivo: Il primo esempio sono le soluzioni certificate dal Fast Identity Online (FIDO) Alliance conforme alle specifiche dell'Alleanza. Anche se la FFIEC non nomina specificamente FIDO, fa nota a piè di pagina della pubblicazione speciale 1800-17 del NIST, Autenticazione a più fattori per l'e-commerce: implementazioni FIDO Universal Second Factor basate sul rischio per gli acquirenti .
  • Password monouso (OTP) utilizzando hardware specifico o un'app mobile. (Nota, questo non è lo stesso di SMS-OTP.)
  • Biometria comportamentale : Questa tecnologia di autenticazione analizza il modo in cui un individuo interagisce con il proprio dispositivo, comprese le dinamiche di battitura, la pressione delle dita sulla tastiera e l'angolazione con cui tiene il telefono. Consente un'autenticazione persistente ma completamente trasparente durante tutta la sessione bancaria.
  • Identificazione e registrazione del dispositivo: Identificatori univoci o caratteristiche, come la geolocalizzazione e l'indirizzo IP, "di un dispositivo vengono identificati e utilizzati per l'autenticazione ottenendo una complessa 'impronta digitale' del dispositivo o mediante altre tecniche di identificazione sicura".

Con il rapido cambiamento della tecnologia dell'informazione, dei controlli di sicurezza e delle minacce relative all'ambiente dell'internet banking, non mi aspetto che la FFIEC aspetterà un altro decennio per aggiornare la sua guida all'autenticazione per le FI.

Essendo uno dei settori infrastrutturali critici della nazione, è fondamentale per il settore dei servizi finanziari rispettare queste linee guida per proteggere i clienti e le informazioni sui clienti, la reputazione del loro marchio e il valore per gli azionisti con un'autenticazione efficace. Sebbene molti FI offrano ai clienti soluzioni di autenticazione forte oggi, non tutti lo fanno. La buona notizia per i clienti bancari americani è che se il tuo istituto finanziario non ti ha già offerto la possibilità di utilizzare il tuo dispositivo per un'autenticazione più forte, è probabile che lo farà presto.

OneSpan Cloud Authentication Demo su un laptop

Demo di autenticazione cloud OneSpan

Scopri come OneSpan Cloud Authentication aiuta le aziende a ridurre le frodi, migliorare l'esperienza utente e soddisfare i requisiti normativi.

Guarda ora

Michael Magrath is responsible for aligning OneSpan’s solution roadmap with standards and regulatory requirements globally. He is Co-Chair of the FIDO Alliance’s Government Deployment Working Group and is on the Board of Directors of the Electronic Signature and Records Association (ESRA).