Web 3.0’ın ortaya çıkışı, dünya için çok önemli bir dönüşüm sırasında geldi. COVID-19 salgını sırasında evde kalmamız ve yüz yüze etkileşimleri sınırlamamız söylenmesine rağmen, hayat devam etmek zorundaydı. İşlerin her zamanki gibi devam etmesi, anlaşmaların imzalanması ve paranın yine de transfer edilmesi gerekiyordu. Web 3.0, işletmelerin tüm bunları kolaylaştıracak bir dijital geleceği benimsemeleri için bir fırsattır.
Üç yıl öncesine kıyasla daha birçok şey dijital olarak yapılabilir ve yapılıyor ve faydaları açık olsa da yeni riskler ve zorluklar ortaya çıktı. Web 3.0’a geçişle birlikte, saldırı yüzeyi de büyük ölçüde kontrolsüz müşteri yolculuğuna kaydı. Sonuç olarak, bilgilerimiz, paramız ve kimliğimiz her zamankinden daha savunmasız.
Güven Düzeyleri Yükseldi
On yıl önce, çevrimiçi olarak 20 ABD dolarına bir şey satın almak büyük bir olaydı, ancak bugün, hiç düşünmeden çevrimiçi olarak büyük satın almalar yapıyoruz. Konfor seviyemiz yıllar içinde muazzam bir şekilde arttı ve daha da artmaya devam edecek. Küçük satın almalar yapmaya başlamış olabiliriz, ancak artık krediler, para transferleri ve sigorta talepleri gibi yüksek değerli işlemlerin tümü dijital, bu da tehlikede olan çok daha fazla şey olduğu anlamına geliyor.
Tüketici düzeyinde, Apple Pay ve Amazon Pay gibi çevrimiçi satın alma işlemlerine güven ve güvenlik duygusu aşılayan platformlar ortaya çıktı. Yine de kişisel kredi kartı bilgilerimizi girmemiz istendiğinde çoğumuz duraklıyor ve sitenin, satıcının vb. işlemler. Dahası, bir şirketin söylediği kişi olduğunu onaylayacak bir sistem yoktur. Veya bir bağlantının geçerli olduğunu. Veya gerçek bir krediye imza atılıyor. Dijitalleştirilmiş bir dünyaya geçiş o kadar hızlı gerçekleşti ki, sürecin meşru olduğundan emin olmamız gerektiği gerçeğini kimse düşünmedi. Yüz yüze etkileşimler olmadan neyin gerçek olduğunu nasıl bilebiliriz?
Kimlik avı saldırılarının 2021’den bu yana %61 artmasının ve botların artık beş yıl öncesine göre daha fazla öne çıkmasının bir nedeni var: Saldırganların bir fırsat belirleyip onu yakalaması. Sektör olarak bir çıkmazdayız çünkü çözümlerimiz uç noktaları korumaya odaklandı. Ancak artık eksiksiz dijital süreçleri ve müşteri yolculuklarını güvence altına almamız gerekiyor. Sürekli olarak kimliğimizi kanıtlamamız gerekiyor. Çok faktörlü kimlik doğrulama (MFA), biyometri ve belirteç tabanlı kimlik doğrulama gibi çözümler bugün bunun bir kısmını yapıyor, ancak ne yazık ki yeterli değil. Neredeyse her hafta, MFA’yı atlayarak ortadaki düşman (AiTM) kimlik avı saldırıları gibi taktiklerden yararlanan gelişmiş iş e-postası gizliliği (BEC) dolandırıcılarının hikayelerini görüyoruz.
Yeni Bir Modelin Zamanı
Kuruluşlar, müşteri yolculuklarını incelemeli ve sürtüşme noktalarını belirlemelidir. Bu, yolculuk boyunca saldırganların yararlanabileceği örnekleri tam olarak belirlemelerine olanak tanır. Çoğu kuruluş bu örneklerden en az birini tespit etmiş ve koruyucu önlemler almıştır. Örneğin, son faturamızı görmeden önce, süreçte daha fazla ilerlemeden önce girmemiz gereken altı haneli bir kod içeren bir metin alırız. Bunlar doğru adımlar, ancak dijital bir işlemin yalnızca tek adımlı bir süreç olmadığını unutmamalıyız.
Bu işlemler boyunca sürekli kimlik doğrulama ve tanımlama gerektiren bir modele doğru ilerliyoruz. Bu model her kuruluş için biraz farklı görünecek, ancak sonuçta şu beş adımı izleyecektir:
- Bilinmeyen bir kimliği alın ve bilinen bir kimliğe dönüştürün. Bu, herhangi bir taahhüt veya işlem gerçekleşmeden önce her sürecin başında yapılmalıdır. İlgili her taraf, devlet tarafından verilmiş kimlik, biyometri vb. yoluyla kimliğini kanıtlamalıdır.
- Kimlikler onaylandıktan ve doğrulandıktan sonra, ister bir web sitesi, uygulama, elektronik belge veya sanal ortam olsun, dijital mülke erişmek için bireyselleştirilmiş kimlik bilgileri dağıtılmalıdır.
- Müşterileri ve tüketicileri, çeşitli kimlik doğrulama yöntemleriyle etkileşimli, güvenli bir sanal ortam üzerinden çok adımlı ve yüksek güvenceli işlemlerde yönlendirin.
- İşlemin kendisini yürütmek ve tamamlamak için, sürecin güçlü bir kimlik güvencesi sunması, dijital imza şifreleme gibi yeteneklerle donatılması ve en katı güvenlik standartlarına ve düzenlemelerine uyması gerekir..
- ESIGN, Tekdüzen Elektronik İşlemler Yasası (UETA) ve Tekdüzen Ticaret Kanunu (UCC) Madde 9-105 gibi yasalar uyarınca birçok sözleşme, yaşam döngüleri boyunca benzersiz, orijinal kopyalar olarak saklanmalı ve korunmalıdır. Belgenin veya işlemin bütünlüğünü sağlamak için gözetim zincirini korumalı ve denetim izini almalısınız..
Saldırı yüzeyindeki bir değişiklikle, güvenliğin yolculuk boyunca ve iş akışları boyunca örülmesi gerekecek ve var olan dijital deneyimi kesintiye uğratmamak için sorunsuz bir şekilde yapılması gerekecek. Yeni yıla girerken, bunun hem kurumlar hem de güvenlik şirketleri için en önemli öncelik olacağını ve dijital süreçlerde kimlik kanıtlamanın ve güveni sağlamanın başarının belirleyici faktörü olacağını tahmin ediyorum.