Marc Vanmaele
CEO – Trustbuilder
De financiële sector staat voor grote veranderingen, en dat zal een grote impact hebben op de manier waarop het beheer van identiteiten en toegangsverlening gebeurt.
Tekst: Joris Hendrickx
Wat houdt identity en access management precies in?
“Als een gebruiker zich aanmeldt op een bancair platform, dan dient die ten eerste zijn identiteit te valideren. De context bepaalt voor elk geval welke methode hiervoor het meest aangewezen is. Het kan simpelweg gaan over een gebruikersnaam en een wachtwoord, maar voor bancaire transacties is dat niet veilig genoeg.”
“Vervolgens moet worden bepaald waar hij toegang tot heeft en wat hij wel of niet mag doen. Via single sign-on krijgt de gebruiker automatisch toegang tot bepaalde toepassingen, zonder telkens opnieuw zijn identiteit te bevestigen.”
“Het komt echter voor dat een gebruiker aanvankelijk een toepassing gebruikt waar het veiligheidsrisico laag is, maar vervolgens doorgaat naar een toepassing met een hoger risicoprofiel. In dat geval moet vaak toch opnieuw een (strengere) identiteitsverificatie gebeuren. Dit noemt men ook wel step-up authenticatie.”
“Vroeger was dat relatief eenvoudig, maar intussen is het veel complexer geworden omdat de context belangrijker is geworden. Dat komt vooral door de huidige populariteit van mobiele toestellen.”
Het komt er voor organisaties op aan om steeds de juiste balans te vinden tussen de gewenste veiligheidsgraad en het gebruiksgemak.
“De plaats waar de gebruiker iets wil doen varieert hierdoor. Er moet worden gekeken naar het toestel dat wordt gebruikt (is het reeds gekend of nog niet), de plaats waar het wordt gebruikt, het tijdstip (is dit ongewoon),… Al deze parameters worden geverifieerd en daar wordt vervolgens een risicoanalyse op toegepast.”
Hoe kan dat worden gecombineerd met gebruiksgemak?
“Gebruikers zijn wat dat betreft enorm veeleisend geworden, want allerlei sociale media en mobiele apps hebben hen hierin verwend. Het mag niet moeilijker zijn dan nodig, anders haakt men af. Het komt er voor organisaties dus op aan om op ieder moment, op iedere plaats, binnen iedere context en voor iedere transactie de juiste balans te vinden tussen de gewenste veiligheidsgraad en het gebruiksgemak.”
“Soms zullen een gebruikersnaam en wachtwoord volstaan, maar in andere gevallen is meer veiligheid vereist. Bij bancaire transacties moet dan mogelijk de klassieke kaartlezer worden gebruikt. Deze kaartlezer is echter omslachtig voor de gebruikers. Gelukkig is deze in veel gevallen niet meer nodig omdat met nieuwe methodes dezelfde graad van veiligheid kan worden bekomen.”
“Het kan daarbij ook gaan om een combinatie van meerdere methodes (multi-factor authenticatie). Bijvoorbeeld een pincode in combinatie met een bankkaart en biometrie. Iedere smartphone heeft een uniek nummer, waardoor het platform onmiddellijk weet over welk toestel het gaat. Veel smartphones kunnen ook een vingerafdruk lezen, waardoor dit een gebruiksvriendelijke manier is om de veiligheidscontrole aan te vullen. Maar het is niet end-to-end: de vingerafdruk maakt een lokale sleutel vrij welke dan gebruikt wordt voor het aanmelden of ondertekenen van transacties.”
Welke evoluties spelen zich af binnen dit domein?
“Een nieuwe dimensie is het feit dat de toepassingen en de achterliggende data steeds minder onder de controle van de organisatie zitten. Zo zullen banktoepassingen binnen enkele jaren mogelijk worden uitbesteed aan derde partijen. Vooral voor interne zaken gebruiken banken nu al cloudservices.”
“In het verleden werden identiteiten steeds door de banken zelf beheerd. Er is nu echter ook de mobiele app itsme, die naar alle waarschijnlijkheid dé nieuwe authenticatiefactor wordt om je identiteit te valideren, ook voor bancaire transacties. Het beheer en de validatie van de identiteit worden dus uitbesteed naar een externe partij.”
En aan de front-end zijde?
“We zien in de banksector een verschuiving van het businessmodel. Voor een deel is dat te wijten aan de PSD2-richtlijn. Die richtlijn verplicht de banken om hun back-end (waar de transacties worden uitgevoerd) los te koppelen van de front-end (de interface met de gebruiker waar ook de validatie van de gebruiker gebeurt).”
Banken moeten zoeken naar nieuwe opportuniteiten om toegevoegde waarde te bieden en zich te onderscheiden.
“Hierdoor kunnen ook derden hun front-end via API’s linken naar de back-end van de bank. Die derden zijn vaak fintechbedrijven die zeer innovatieve en gebruiksvriendelijke oplossingen hebben ontwikkeld. Maar het kunnen ook grote spelers zoals Google zijn.”
“De markt wordt dus helemaal opengetrokken door PSD2. Banken moeten zoeken naar nieuwe opportuniteiten om toegevoegde waarde te bieden en zich te onderscheiden, willen ze niet beperkt worden tot het beheren van rekeningen en uitvoeren van transacties van derde partijen. Door via hun mobiele app bijkomende services aan te bieden en te linken naar toepassingen van derden kunnen ze hun klanten bij hen houden.”
“In dat laatste geval fungeren ze als een vertrouwde partij en intermediair die alles orkestreert en ervoor zorgt dat de transacties naar de derden veilig gebeuren. Wij leveren alvast de TrustBuilder identity hub die hen helpt om die nieuwe rol op te nemen.”
