10 anos em construção: Reguladores financeiros atualizam a orientação de autenticação do FFIEC

Michael Magrath, 20 de Setembro de 2021

Pela primeira vez em uma década, os EUA Conselho de Exame de Instituições Financeiras Federais ( FFIEC ) atualizou seu Autenticação e acesso a serviços e sistemas de instituições financeiras Orientação em 11 de agosto de 2021. Se 10 anos entre atualizações parece muito, é. Há uma década, a dinâmica em torno da segurança cibernética, segurança da informação e avaliação de risco era diferente.

O ransomware não existia e a verificação baseada em conhecimento (KBV), em que um indivíduo é apresentado com uma lista de perguntas para verificar sua identidade antes de receber as credenciais de autenticação, era a norma e, na maioria das vezes, confiável.

O FFIEC é um órgão formal interagências composto pelo Conselho de Governadores do Sistema da Reserva Federal (FRB), a Federal Deposit Insurance Corporation (FDIC), a National Credit Union Administration (NCUA), o Gabinete do Controlador da Moeda (OCC) ), e o Consumer Financial Protection Bureau (CFPB). O FFIEC tem a tarefa de “fazer recomendações para promover a uniformidade na supervisão das instituições financeiras”.

A Orientação do FFIEC se aplica a instituições financeiras regulamentadas (IFs) e terceiros que fornecem acesso a sistemas de informação e controles de autenticação em nome da FI. De acordo com a Orientação, os “princípios e práticas dirigem-se a clientes comerciais e consumidores, funcionários e terceiros que acessam serviços bancários digitais e sistemas de informações de instituições financeiras”.

Destaques da Nova Orientação do FFIEC

O FFIEC recomenda que as IFs devem identificar seus usuários e clientes que garantem a autenticação e controles de gerenciamento de acesso, bem como os usuários e clientes que podem exigir controles de autenticação mais rigorosos, como autenticação multifator (MFA).

Apropriadamente, o FFIEC alerta os FIs regulamentados de que a autenticação de fator único, normalmente algo conhecido como nome de usuário e senha estática, é insuficiente. Ele afirma que: “Ataques contra sistemas e usuários protegidos com autenticação de fator único geralmente levam a acesso não autorizado, resultando em roubo ou destruição de dados, impactos adversos de ransomware, fraude na conta do cliente e roubo de identidade. Consequentemente, o uso da autenticação de fator único como o único mecanismo de controle se mostrou inadequado contra essas ameaças. ”

O Guia também acrescenta que “... atividade maliciosa que resulta no comprometimento de contas de clientes e usuários e a segurança do sistema de informações mostrou que a autenticação de fator único, sozinha ou em combinação com a segurança em camadas, é inadequada em muitas situações”.

Isso é apoiado por uma apresentação no 2020 FedID Forum pela Financial Crimes Enforcement Network (FinCEN) do Departamento do Tesouro dos Estados Unidos.O FinCEN descreveu como os criminosos exploram as fraquezas dos sistemas de identidade para cometer mais de US $ 1 bilhão por mês em crimes cibernéticos.Os principais alvos para autenticação fraca incluem comprometimento de e-mail comercial (BEC), que responde por US $ 433 milhões em perdas por mês, seguido de perto por ataques de controle de conta (ATO) que roubam US $ 350 milhões por mês.

Além disso, o FFIEC observa apropriadamente que nem todas as soluções de MFA oferecem usabilidade e segurança iguais. Ele aponta que “certos fatores de MFA podem ser suscetíveis a ataques 'Man in the Middle' (MIM), como quando um hacker intercepta um código de segurança enviado uma única vez a um cliente”. Isso é verdade, pois o NIST usa este exemplo em seu Diretrizes de identidade digital: autenticação e gerenciamento do ciclo de vida (Publicação especial 800-63B). Em julho de 2020, o NIST publicou Publicação especial 800-63: Perguntas frequentes sobre as diretrizes de identidade digital lembrando aos leitores que SMS-OTP é um “ restrito " autenticador.

Embora a orientação atualizada cubra o cenário de ameaças em expansão e mencione que o banco digital se expandiu por meio de aplicativos de smartphone, computação móvel e outras tecnologias, eles perdem a oportunidade de recomendar que IFs protejam seus aplicativos de malware, evitando adulteração e depuração e protegendo seu aplicativo móvel mesmo em dispositivos desbloqueados, com root e potencialmente comprometidos.

Seção 11: Verificação de identidade

A seção 11 da Orientação se concentra na verificação de identidade, um componente crítico dos regulamentos do Know Your Customer (KYC). Ele observa que “os métodos de verificação que detectam atividades fraudulentas, como identidades sintéticas e instâncias de falsificação de identidade, têm se mostrado eficazes para minimizar o risco associado à verificação de identidade”. Isso é especialmente crítico considerando que, na apresentação do FinCEN mencionada acima, o roubo de identidade e a fraude de identidade sintética agora respondem por US $ 256 milhões em crimes cibernéticos a cada mês.

O FFIEC enfatiza que "métodos de verificação confiáveis geralmente não dependem apenas de perguntas baseadas no conhecimento para verificar a identidade." Concordamos e recomendamos métodos de verificação de identidade digital, como Verificação de documento de identidade e comparação facial .

Essas tecnologias estão sendo rapidamente adotadas devido à pandemia. Enquanto a pandemia forçou as instituições financeiras a integrar remotamente novos clientes, o momento de 2018 Crescimento econômico, alívio regulatório e lei de proteção ao consumidor permitiu que muitas instituições financeiras continuassem a adquirir novos clientes fora de uma agência e sem a necessidade de legislação de emergência. A seção 213 da Lei permite o uso de uma carteira de motorista digitalizada ou outra carteira de identidade emitida pelo governo e verificada como autêntica e combinada com a verificação do indivíduo, que pode incluir KBV e combinar a foto da carteira de motorista com uma selfie tirada com o celular de alguém durante o processo de inscrição.Isso aproveita a tecnologia de combinação facial e o processo atende aos requisitos do FFIEC.

Avaliando Soluções de Autenticação

Scanning ID

Para auxiliar as instituições financeiras na seleção de soluções de autenticação adequadas para seu nível de risco, a orientação inclui um apêndice que lista as principais opções de autenticação, tais como:

  • Autenticação de infraestrutura de chave pública (PKI) baseada em dispositivo: O principal exemplo disso são as soluções certificadas pela Aliança Fast Identity Online (FIDO) em conformidade com as especificações da Aliança. Embora o FFIEC não nomeie especificamente o FIDO, ele faz uma nota de rodapé na Publicação Especial 1800-17 do NIST, Autenticação multifator para comércio eletrônico: Implementações de segundo fator universal FIDO baseadas em risco para compradores .
  • Senhas de uso único (OTPs) usando um hardware específico ou um aplicativo móvel. (Observe que não é o mesmo que SMS-OTP.)
  • Biometria Comportamental : Essa tecnologia de autenticação analisa como um indivíduo interage com seu dispositivo, incluindo a dinâmica de pressionamento de tecla, pressão do dedo no teclado e o ângulo em que segura o telefone. Ele permite autenticação persistente, mas completamente transparente, em toda a sessão bancária.
  • Identificação e inscrição do dispositivo: Identificadores ou características únicos, como geolocalização e endereço IP, “de um dispositivo são identificados e usados para autenticação por meio da obtenção de uma 'impressão digital' digital complexa do dispositivo ou por outras técnicas de identificação segura”.

Com a rápida mudança da tecnologia da informação, controles de segurança e ameaças relacionadas ao ambiente de internet banking, não espero que o FFIEC espere mais uma década para atualizar sua orientação de autenticação para IFs.

Como um dos setores de infraestrutura crítica do país, é crucial para o setor de serviços financeiros cumprir essa orientação para proteger os clientes e suas informações, a reputação de sua marca e o valor para o acionista com autenticação eficaz. Embora muitas instituições financeiras ofereçam aos clientes soluções de autenticação fortes hoje, nem todas oferecem. A boa notícia para os clientes bancários da América é que, se sua instituição financeira ainda não lhe ofereceu a capacidade de usar seu próprio dispositivo para autenticação mais forte, provavelmente o fará em breve.

OneSpan Cloud Authentication Demo em um laptop

OneSpan Cloud Authentication Demo

Saiba como o OneSpan Cloud Authentication ajuda as empresas a reduzir fraudes, melhorar a experiência do usuário e atender aos requisitos regulamentares.

Assista agora

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).