לקראת אירוע | עלייתו של המשתמש: "הבא את הזהות שלך" – חלק א'
הזהויות הדיגיטליות הן קו ההגנה החדש שמגשר בין אבטחה מוכוונת איסורים(No) לבין אבטחה מוכוונת שליטה וידע (Know)
מאת עודד צור, מנהל תחום אבטחת מידע ב-CA Technologies ישראל
פתאום כולם בעניין: מבקשים ליצור קשר עם אנשי מקצוע בעולם באמצעות LinkedIn? אתם יכולים, אם רק תרצו, להשתמש בחשבון Facebook כדי להיכנס ל-LinkedIn. מבקשים למצוא מוזיקה מתאימה ב-Spotify? היכנסו באמצעות Facebook. אפילו בממשלת בריטניה שוקלים לאפשר לאזרחים להשתמש בזהויות מהרשת החברתית כדי לגשת בצורה בטוחה לשירותים ציבוריים במסגרת תוכנית של Identity Assurance (ר"ת IDA). מגמה זו מכונה 'הבא את הזהות שלך' (Bring Your Own Identity – BYOID) והיא עומדת להפוך לנחלת הכלל.
בסקר שהזמינה לאחרונה חברת CA Technologies ובוצע על ידי חברת המחקר Quocirca נמצא, בין השאר, כי ב-27 אחוזים מבין החברות המסחריות משתמשים במדיה חברתית כמקור לזהויות של צרכנים. על פי Gartner, עד סוף שנת 2015 יתבססו 50 אחוזים מהזהויות החדשות של לקוחות בענף הקמעונאות על זהויות מהרשתות החברתיות, בהשוואה לפחות מ-5 אחוזים כיום. לצד טכנולוגיות ה-federation והמיחשוב הנייד, תהיה לאימוץ זהויות מהרשתות החברתיות השפעה חשובה על התחום של ניהול הזיהוי והגישה (IAM) משנת 2013 והלאה, על פי האנליסטים.
קל להבין מדוע. ראשית, כשמאפשרים לצרכנים להיכנס לאתרים מאובטחים תוך שימוש בזהויות של Facebook, LinkedIn, Twitter או רשתות חברתיות אחרות, מסייעים להם להתגבר על 'עייפות הכניסה' (Login fatigue) הנובעת מהצורך לזכור מספר רב מדי של שמות משתמש, סיסמאות ותשובות לשאלות אבטחה. אפשרות זו מצמצמת את הטרדה ומשפרת את חוויית המשתמש במהלך ההרשמה של הלקוח ובכניסות הבאות שלו. שנית, מחוץ לתחומי הארגון נוצרות זהויות רבות יותר ונשמרים פרטי זיהוי רבים יותר. זהויות אלה, וההתנהגויות שמשויכות אליהן, משמשות להגדרת האינטראקציות עם הארגון והכנת פרופילים. ושלישית, הדגש בתחום הזהות מושם כיום יותר על התנהגות ואחריות, ופחות על שם משתמש וסיסמה.
עם זאת, יש מי שיטענו כי השינויים מתרחשים בקצב מהיר מדי. חלק מהמבקרים טוענים כי לא ניתן לבטוח בזהות שמקורה באתר של מדיה חברתית. אולם, ניתן להיעזר במספר גדל והולך של שירותים שמחשבים את מידת האמון שניתן לתת בזהויות אלה ומגדירים סף לקבלתן. אתרים אלה מגדירים, למשל, שאם משתמש מסוים עושה שימוש באותה זהות ב-Facebook במשך חמש שנים, וצבר היסטוריית תקשורת מספיק ארוכה, סביר להניח שהיא אינה מזויפת. למעשה, מאחר שהחברות של המדיה החברתית מיישמות אמצעים רבים לבקרה על החשבונות שיוצרים המשתמשים, קשה יותר ליצור זהות מזויפת באתרים של מדיה חברתית מאשר בתהליך רישום שבו פותחים חשבון חדש וייחודי כדי לקבל שירות נתון.
מהסקר של Quocirca עולה כי המגמה של 'הבא את הזהות שלך' (BYOID) לא תהיה מוגבלת לעולם של הצרכנים הפרטיים בלבד, ותתפשט גם לעובדים שיוכלו, למשל, לעבור ממשרה למשרה עם הזהות שלהם, כשם שהם עוברים כבר היום עם הטלפון החכם ועם אמצעי גישה נוספים.
יש, כמובן, גם 'אבל'. אם האתרים של המדיה החברתית משמשים כמקור לזהויות, על הארגונים להתייחס לכך בצורה נבונה. מחלקות השיווק לא יכולות לצפות, שמשתמשים מאתרי מדיה חברתית, שהם צד שלישי, יבצעו המרה ישירה לזהות ביישומי הארגון שלהן; אי אפשר גם לצפות מהמשתמשים שייכנסו פעם אחר פעם או ימלאו אותם נתונים באותם טפסים שוב ושוב.