Bu Help Net Security röportajında, Ping Identity Baş Mimarı Patrick Harding, merkezi olmayan kimliğin (DCI) siber güvenlikteki vaatlerini ve sonuçlarını tartışıyor.
DCI, kimlik yönetimi sorumluluklarını verenler, sahipleri ve doğrulayıcılar arasında yeniden dağıtarak bireylere kişisel bilgileri seçici olarak açıklama yetkisi verir, böylece dolandırıcılık riskleri en aza indirilir ve mahremiyet artar. Ancak, kullanıcıları faydalar konusunda eğitme ve yeni kullanıcı deneyimi paradigmasına uyum sağlama konusunda zorluklar devam ediyor.
Merkezi olmayan kimlik, daha fazla kullanıcı kontrolü ve gizliliği vaat ediyor. Bu nasıl başarılır ve siber güvenlik açısından sonuçları nelerdir?
Merkezi olmayan kimlik (DCI), kullanıcıların kimlik bilgilerini kontrol etmesine ve bir hizmete erişmek için gereksiz miktarda kişisel bilgi sağlama ihtiyacını ortadan kaldırmasına olanak tanıyan bir kimlik yönetimi yaklaşımıdır. Bu süreçte her biri önemli bir rol oynayan üç taraf vardır: ihraççı, hak sahibi ve doğrulayıcı. İhraççı, doğrulanabilir bir dijital kimlik bilgisi oluşturan kuruluştur (üniversiteler, kredi büroları, eczaneler vb.); kimlik bilgileri, bir kimliğin benzersiz özelliklerini (doğum tarihi, adres, derece türü, kredi puanı vb.) temsil eden bir dizi taleptir.
Amaç, bireyleri, gerektiğinde kendi bireysel hak taleplerini serbest bırakma konusunda güçlendirmektir. Örneğin, ehliyetten doğum tarihini yalnızca yaşı doğrulamak gerektiğinde yayınlayın; bunun yerine adres, kilo ve boy bilgilerini de paylaşın. Merkezi olmayan kimlik, kişisel verileri bireyin yetkisine vererek gizliliği artırır ve kimlik bilgilerinin arkasındaki kişinin iddia ettiği kişi olduğundan emin olunmasına yardımcı olarak dolandırıcılık ve hesap ele geçirme olasılığını azaltır.
Siber güvenlik açısından bakıldığında ise tüm saldırı yüzeyini küçülterek değiştiriyor. Her birey kendi verilerini yönetip sakladığından, siber suçluların saldırabileceği merkezi bir bilgi kaynağı yoktur.
Merkezi olmayan kimlik çözümlerini uygularken siber güvenlik profesyonellerinin karşılaştığı temel zorluklar nelerdir?
Şu anda çoğu sektörde olduğu gibi yapay zeka da operasyonları etkiliyor ve kuruluşların gerçek zamanlı olarak gelişmesine neden oluyor. Merkezi olmayan kimlikte de durum farklı değil. Yapay zeka, bireylerin gerçekliğini daha az belirgin hale getirecek, bu nedenle kuruluşların, kişilerin kimlik bilgisi verilmeden önce söyledikleri kişi olmalarını sağlamak için kimlik doğrulamaya yönelik katmanlı yaklaşımlar sunmaları gerekecek.
Kullanıcı deneyimi aynı zamanda cüzdanın nasıl kullanılacağı, cüzdan kurtarma, cüzdan seçimi, hangi taleplerin kullanılabilir hale getirileceğinin seçilmesi vb. gibi zorlukları da beraberinde getirir. Ek olarak, kartı verenler ve doğrulayıcılar farklı kuruluşlar olduğunda, birlikte çalışabilen protokoller gerektirir; bu da henüz başlangıç aşamasındadır gelişme.
Merkezi olmayan kimlik sistemlerinin başarıyla dağıtılmasında standartlar ve birlikte çalışabilirlik nasıl bir rol oynuyor?
Standartlar ve birlikte çalışabilirlik, DCI’nın internet ölçeğinde benimsenmesi ve ağ etkilerinden yararlanması açısından kritik öneme sahip olacaktır. Verici ve doğrulayıcı olarak hareket eden farklı kuruluşların yanı sıra farklı cüzdanlar arasında birlikte çalışabilirliği sağlamak için standartların mevcut olması gerekir; bunların tümü, farklı satıcıların açık kaynak uygulamalarıyla etkinleştirilebilir. Bu, bir kuruluşun kişisel verilerle ilişkisi ve bu verileri araştırma yetenekleri hakkında yeniden düşünmeyi gerektirir.
Kuruluşlar ve son kullanıcılar, veriler üzerinde anlamlı kişisel kontrol sağlayan anlayışlı ve kişiselleştirilmiş hizmetler oluşturmak için yeni yöntemlere yeniden yöneldiğinde, daha fazla benimsendiğini göreceğiz. Standartlar, büyük dijital cüzdan oyuncularının yanı sıra daha küçük ve daha niş uzmanlık sağlayıcılarının, ihraççı ve doğrulayıcı rollerindeki hizmetlerle sorunsuz bir şekilde birlikte çalışmasını sağlayabilir.
Merkezi olmayan kimlik sistemleri GDPR veya CCPA gibi düzenleyici çerçevelerle nasıl uyum sağlar?
DCI, kullanıcının bilgilerinin kontrolünü elinde tutmasını ve gizliliğini korumasını sağlamak için tasarlandığı için bu çerçevelerle uyumludur. Merkezi olmayan dijital kimliğin temel kiracılarından biri, kişisel verilere maruz kalmayı en aza indirerek uyumsuzluk olasılığını ortadan kaldırmaktır. Uyumlu olmanın mutlaka güvenliği veya gizliliği garanti etmediğini unutmamak önemlidir.
Merkezi olmayan kimlik, siber güvenlik uygulamalarının manzarasını nasıl değiştirecek?
DCI, PPI’yi depolamak ve veri ihlali riskiyle karşı karşıya kalmak yerine, kullanıcıların talep üzerine bir cüzdandan ÜFE sağlamasına güvenebilecekleri için birçok kuruluş için güvenliği artıracaktır. DCI, saldırganların merkezi bir yerden erişebileceği bilgileri sınırlamak için kullanılabilir.
Her yenilikte olduğu gibi, tehdit aktörleri çoğu zaman en sağlam güvenlik operasyonlarına ve protokollerine bile sızmanın yollarını buluyor. Bunun ışığında, merkezi olmayan bir kimlik yaklaşımını uygularken bile kuruluşların dikkatli kalması kritik önem taşıyor.
Merkezi olmayan kimlik daha yaygın hale geldikçe, kuruluşların potansiyel riskleri engellemek için yeteneklere ve ürünlere sürekli yatırım yaparak saldırganlardan bir adım önde olmaları gerekiyor.
Kullanıcıları merkezi olmayan kimliğin yararları ve kullanımı konusunda eğitmede ne gibi zorluklar öngörüyorsunuz?
Merkezi olmayan kimlik, kullanıcı deneyimini tamamen değiştirir. Kuruluşların kullanıcıları yalnızca anlayabilecekleri basit bir şekilde avantajlar konusunda eğitmeleri gerekmeyecek, aynı zamanda kullanıcı deneyiminin önceki kimlik doğrulama süreçlerinden neden ve nasıl farklı olacağını da açıklamaları gerekecek.