ملف العدد
دور الاستيقان المعتمِد على المعرفة في توثّق الهوية
العدد 151 | شباط (فبراير)-2020

بقلم أميمة الدكاك
مدير بحوث في المعهد العالي للعلوم التطبيقية والتكنولوجيا

 

لا يخفى على أحد أهمية التوثق من هوية الأشخاص حفاظًا على أمان النظم والمنشآت والممتلكات. في الماضي، وبالعودة عدة أجيال إلى الوراء، نرى أن العائلات كانت تترك أبوابها مفتوحة، وتترك مفاتيح السيارة في درج القفافيز في السيارة. ولكن يُستبعد القيام بهذه الممارسات حاليًّا! فأصحاب البيوت يعيشون في مجتمعات ممتلئة بالبوابات، ويشتركون في الخدمات الأمنية التي تراقب وترصد أيّ محاولة للاختراق، وبالزمن الحقيقي. 

وعلى مستوى أعلى، أُجبرت الأعمال على اتباع نفس الطريق المتعلق بالأمن السبراني. الفرق الوحيد هو أن الشركات تدخل هذا المجال بحصص مالية عالية، ومجموعة مذهلة من خيارات التدقيق في الهوية، وترى أنها بحاجة إلى موازنة الخصوصية والأمن والسهولة (تُقيَّم هذه الخصائص الثلاث، ولكن في غالب الأحيان يكون الرهان على السهولة أكثر من أي شيء آخر).

عمومًا، تدقيق الهوية هو أمرٌ حاسم للأعمال، يُستَعمل لمكافحة الغش والدفع غير الصحيح. ويُقصَد بتدقيق الهوية، إجرائية فحص الهوية للتحقق من صلاحيتها وملكيتها. وأما الاستيقان المعتمد على المعرفة knowledge based authentication (KBA)، فهو أحد مكونات إجراءات تدقيق الهوية الشامل، وهو مفيد جدًّا، ويُعدّ طبقة حاسمة ضمن حلول إدارة الهوية في المؤسسات. ويُعدُّ هذا الاستيقان خط الدفاع الأول المحتمل في مواجهة المحتالين، وسنشرح كيف أن الأعمال تستطيع الاستمرار في تسخير هذه الأداة المنخفضة التكلفة والقليلة المشاكل أثناء دورة حياة الزبون للحصول على علاقات أكثر أمنًا وفائدة، وأنها تتسم بمرونة ومطاوعة أفضل، وتخفِّف من المخاطر.

إثبات الهوية

حين تفتح الشركات حسابًا لزبون جديد أو تنشئ اعتمادًا له، فإنها تستعمل مجموعة من المقاربات لمعرفة من يكون هذا المستخدم. وقد جرى دعم أنواع مختلفة من حلول إثبات الهوية تعتمد على سماحيات مخاطر المداولات، إلا أنه توجد بضعة مكونات مفتاحية مستَعمَلة عالميًّا.

في كثير من الشركات، تتكون الطبقة الأولى لفحص الهوية من أحد أنواع اتخاذ القرار بشأن مخاطر الغش Fraud Risk Decisioning، (الخطوة الأولى). يمكن أن تتضمن هذه الخطوة النظر إلى المكان الذي صدرت عنه المداولة، وتحديد تجهيزات النفاذ، وتعيين المكان الجغرافي للعنوان IP Internet Protocol لتحديد نوع الخطر. بعدها، تبدأ الشركة إجرائيات تدقيق الهوية (الخطوة الثانية)، التي تَستعمل عدة مكونات للوصول إلى الهوية الفريدة التي جُمعت واصفاتها attributes اعتمادًا على ملامح profile خطر المداولة التي جرى تحديدها. أخيرًا، يمكن فحص واصفات الهوية باستعمال قواعد معطيات داخلية وخارجية لتأكيد العلاقة بين مكونات المعطيات للأفراد: هل الاسم والعنوان متوافقان؟ هل الاسم يوافق رقم الهاتف؟ هل أُعطي تاريخ الميلاد الصحيح؟

تستفيد هذه الإجرائية المتعددة الوجوه من طبقات أمن إضافية يمكن دعمها على نحو مستقل أو تجميعها معًا لإعطاء مستوى أمني حسب الطلب، ولتسهيل التعامل الذي نحتاج إليه في أي حالة خاصة. وحين يجري تنجيزها تنجيزًا صحيحًا؛ يمكن للحلول مثل الاستيقان المعتمد على المعرفة توفير مستويات ضمان أعلى بأن الواصفات المجمَّعة هي فعلًا للشخص الذي يدَّعي أنه هو.

 

 يجري تقديم الاستيقان المعتمد على القواعد بعدة صيغ، ليكون قيّمًا، وسلاحًا مرنًا في ترسانة الأمن السبراني. تتطلب بروتوكولات الاستيقان "أسئلة سكونية" حين يفتح المستخدم حسابه، وهو يتطلب إجابات محدَّدة ثابتة؛ مثل: "في أي مدينة كان مولدك؟"، وذلك مقابل الاستيقان الديناميكي الذي يولّد إجابات متعددة مثل: "أيّ شارع من الشوارع التالية لم تعِش فيه أبدًا ولم تستعمله عنوانًا لك؟". هذه الإجابات الديناميكية تزوّد خيارات إجابة (صح) أو (خطأ) عشوائية، تعتمد على المعطيات التي أنشأها نظام الاستيقان المعتمِد على القواعد KBA للشخص الذي نبحث عن استيقان له.

يمكن جعل نظم الاستيقان المعتمِدة على القواعد الديناميكية أكثر فاعلية بسبب عمق واتساع الأسئلة التي تشير إلى المعلومات الحالية والقديمة (الماضية). يجب أن تَستعمل المعطياتُ التي تولِّد هذه الأسئلة مصادرَ يمكنها توليد الأسئلة من معطيات غير تقليدية، أو من معطيات بديلة alternative data لكي تتمكن من التقاط الزبائن الذين قد لا تتوفر لديهم ملامح ائتمانية تقليدية. تتطلب نظم أسئلة التحدي المتطورة عادةً أن يجيب الزبون إجابة صحيحة على مجموعة أسئلة متعددة يمكن أن تتضمن سؤالًا مضلِّلًا مُصمَّمًا لخداع المحتالين.

تنتشر نظم التوثُّق من الهوية وحلولها باعتبارها حلولًا مستقلة في إجرائيات الأعمال، إلا أن هذه الحلول تصبح أكثر فاعلية حين تقترن مع الحلول الأخرى؛ فحين تقترن نظم الاستيقان المعتمِد على القواعد KBA بنظم التحقق من الهوية، تستطيع المؤسسات أن تتحقق من أن عناصر الهوية موجودة وكاملة، ومن عدم التطابق في عناصر المعطيات. وبناء على ملامح الخطر التي يولدها فشل التحقق من الهوية، يمكن أن يُطلب من النظام عدم توليد أسئلة استيقان معتمد على القواعد، وعوضًا عن ذلك، يُطلب من الزبون إضافة وثائق أخرى تثبت هويته بواسطة إجرائية بديلة. يجب ضبط هذه الموازنة، بين سهولة النفاذ وأمنه، آليًّا، بحيث يُسمَح للزبائن الذين تأكدت هويتهم بالنفاذ من دون أي منع، أما المحتالون فيوقفون ولا يُسمح لهم بالمتابعة.

ما الذي نبحث عنه في حلول الاستيقان المعتمِدة على القواعد KBA؟

تَستعمل حلول KBA الأكثر فعالية، مصادرَ معطيات واسعة التنوّع لإنشاء مجموعة فريدة من الأسئلة الديناميكية عن الهوية للتحقق من أن الشخص الذي يُجري المداولة على الطرف الآخر من الخط أو الهاتف النقال، ليس محتالًا. ويجب أن تأخذ مصادر المعطيات هذه بالحسبان الأشخاص والزبائن الذين ليست لديهم ملامح ائتمانية تقليدية والذين نشير إليهم بالعبارة "زبائن ائتمان نحيف"، كما في حالة التجمعات الشبابية.

هذه الحلول التي تتضمن معلومات الملكية للزبائن، والتي يمكن أن تطلبها بصيغة أسئلة، توفر إجرائيات استيقان أكثر أمنًا. يمكن أن تتمحور هذه الأسئلة حول الوقت الذي نَفَذَ فيه الشخص آخر مرة إلى حسابه، ومعلومات مشابهة عن الحساب. بعض الحلول توفر أيضًا إمكان إيجاد العلاقة بين نشاطات النظام KBA للزبون مع المعلومات العامة التي حاول الزبون النفاذ إليها لمساعدته على الإجابة عن الأسئلة، إضافة إلى سمات أمنية مضمَّنة مثل فحص السرعة للتأكد أن السؤال لم يؤخذ أكثر من عدد معين من المرات.

استعمال نظم KBA افتراضيًّا في كل الأماكن

كيف تُستَعمل نظم KBA في الصناعات؟

الحكومة:

  • قبل تقديم المساعدات المالية في حالة الكوارث وانتشار البطالة.
  • قبل إصدار قوائم استرجاع الضرائب وفي حماية الوثائق الحساسة مثل نسخ شهادات الميلاد.

التجارة الإلكترونية:

  • يَستعمل تجارُ التجزئة على الخط نظم KBA أثناء الدخول إلى الحساب أو تغيير كلمة السر أو تغيير إعدادات الحساب أو عند الشروع بمداولات عالية القيمة.
  • تحدد شركات الكوابل والمرافق الهويات قبل تغيير معلومات الحسابات بهدف إخراج الزبائن الذين يحاولون اعتماد هويات جديدة لتجنّب دفع نقود بسبب التأخر أو إعادة الاتصال.

الخدمات المالية:

  • تُستعمل عند فتح الحسابات عن بُعد أو إعادة الفتح بهدف السماح بإدخال تعديلات هامة على الحساب.
  • وقبل معالجة المداولات العالية المخاطر، إما بالقانون (للمداولات التي تتجاوز قيمتها حدًّا معينًا) وإما عند تغيير كلمة السر.
  • قبل معالجة طلبات القروض لتجنب صرف الوقت والتكلفة على طلبات القروض المحتالة.

العناية الصحية:

  • حماية المعلومات الشخصية للمرضى.
  •  عند النفاذ عن بعد للوصول إلى المعلومات الطبية أو عند صرف الدواء.

الضمان الاجتماعي:

  • قبل إصدار عقود تأمين جديدة أو تعديل العقود السابقة أو التدقيق في حامل العقد عند النفاذ عن بُعد لرؤية العقد أو تعديله.
  • أثناء المداولات العالية الخطورة مثل تغيير كلمة السر أو إضافة بنود جديدة.

KBA طبقة حرجة في نظم تدقيق الهويات

نظم الاستيقان المعتمد على القواعد فعالة من حيث التكلفة:

تتيح حلول KBA الآلية اقتصادًا ملحوظًا بالتكلفة مقارنة بنظم التوثق اليدوية. على سبيل المثال، تستعملها الصيدليات لإدارة الوصفات على الخط. إذ يشارك قرابة عشرة ملايين مريض في خدمات الوصفات على الخط.

نظم KBA موثوقة:

تحاول هذه النظم طرح أسئلة يمكن أن يجيب عنها الشخص المعني بسهولة. ولكن الزبون ينسى أحيانًا بعض إجاباته الصحيحة. والخبر الجيد هو أن احتمال فشل المحتالين بالحصول على الإجابات الصحيحة يفوق سبع مرات احتمال فشل الزبائن الحقيقيين. على سبيل المثال، في حالة الصيدليات يجتاز الزبائن الحقيقيون أسئلة النظم KBA بنسبة 85% من الحالات، أما بقية الزبائن فيفشلون أو يتركون التطبيق. يمكن تحسين هذه النسبة، ولكن يجب ألا ننسى أن مهمة تسهيل نفاذ الزبائن الحقيقيين مازالت أحد الأهداف.

الإعدادات القوية لهذه النظم KBA توقف الاحتيال:

ثمة ممارسات كثيرة جيدة لمنع المحتالين من اجتياز اختبارات الأسئلة. من هذه الممارسات: انتهاء مهلة الاستعمال، واختبار السرعة، والأسئلة المضلِّلة. وهي تَضمن عدمَ تمكّن المحتالين من اجتياز الأسئلة، وتوجههم أحيانًا إلى مسارات أكثر أمنًا. ومن الأمور المهمة أيضًا كيفية إعداد الاختبار. تأكد أن الزبون يجيب عن عدد كافٍ من الأسئلة إضافة إلى الأسئلة المضلِّلة ليتمكن من النفاذ، ولا يكفي الإجابة عن سؤال واحد أو اثنين فقط. ويجب أيضًا تنويع الأسئلة المضلِّلة، والتأكد من وجود أسئلة تتعلق بالماضي وليس عن الأمور الحديثة فقط. مصمِّمو نظم KBA الذين يوفِّرون حلولًا مهنية قوية يتشاورون معك لبناء أفضل الممارسات وإعطاء نظم KBA قوية دون أن تنشئ خلافات مع الزبائن الفعليين.

نظم KBA السهلة التنجيز لا تسبب خلافات مع الزبائن:

توفر نظم KBA خدمات مناسبة على الخط، أو على الهاتف النقال، أو على نظم الإجابة التفاعلية الصوتية Interactive Voice Response IVR كما لو كان يتابع هذه الخدمات شخصيًّا. لا يتجاوز عدد الزبائن الذين ينسحبون من اختبارات النظم KBA خمسة بالمئة من مجمل الزبائن.

KBA بوصفه جزءًا من أمن النظم يمنع الغش

 لا بد من تنجيز منهج أمني متعدد الطبقات للحصول على حلول مرنة وقوية لتدقيق الهوية لاسيما في مجال شركات الأعمال. الحلول KBA التي تقدمها شركة LexisNexis يمكن أن تزود طبقة أخرى لحلولك الحالية وتعطي واجهات سهلة التعامل وتقترن بأدوات قوية لمنع الغش.

الهيئات الموثوقة مثل Federal Financial Institutions Examination Council [FFIEC]  مجلس فحص المؤسسات المالية الفيدرالية، المسؤول عن صناعة الخدمات المالية، قد أصدر دليلًا لاستعمال نظم KBA الديناميكية بوصفه جزءًا من نهج استيقان متعدد الطبقات. تؤمن هذه الجهة مثل جهات أخرى، بأن استعمال نظم KBA متطورة يمكن أن تكون فعالة في البرامج الأمنية.

يمكن أن تكون النظم KBA الصحيحة جزءًا من برنامج أمن فعال متعدد الطبقات يلبي متطلبات الأعمال ويخفض الخلافات مع الزبائن.

قد ترغب كذلك بقراءة
الهوية الجوالة
مقدمة عن الهوية الرقمية
الأسواق المستهدفة من الهوية الجوالة
استخدام تطبيقات سلسلة الكتل في عمليات التحقق من الهوية