개요
고객
Aetna는 약 3,790만 명의 사람들에게 서비스를 제공하는 선도적인 의료 기관입니다.
도전
Aetna의 온라인 서비스 고객, 파트너 및 직원을 위한 더 나은 인증. 의료 기관은 HIPAA 및 HITECH와 같은 의료 규정을 준수하고 데이터 노출로 인한 값비싼 벌금 및 소송을 방지하기 위해 보호된 건강 정보(PHI)를 보호해야 합니다.
솔루션
Aetna는 사용자 인증을 위한 FIDO 표준을 채택하여 생체 인식을 사용하여 고객과 차세대 인증 프로세스(Aetna Mobile 앱의 온라인 세션 전반에 걸쳐 사용자를 인증하는 행동 기반 보안)를 확인합니다.
결과
- 앱 사용 후 2주 이내에 Aetna는 사용자 행동 기준을 설정할 수 있었습니다.
- Aetna는 사용자를 보호하기 위해 행동 데이터를 사용하며, 지속적으로 데이터를 입력한 다음 궁극적으로 폐기하는 FIDO NGA 위험 엔진에 데이터를 공급합니다. 위험 엔진은 6개의 보안 제어 계층으로 보호됩니다.
FIDO 솔루션
Aetna는 고객, 파트너 및 직원에게 데이터가 안전하다는 강력한 메시지를 보내는 동시에 참여를 단순화하여 전반적인 경험에 통합된 사용자 인증이 필요했습니다. Aetna는 사용자 인증, 생체 인식 및 차세대 인증을 위해 FIDO 표준을 사용하게 된 것을 자랑스럽게 생각합니다.
FIDO는 다음과 같은 이점을 제공합니다.
FIDO Alliance의 사양 및 인증은 많은 앱 및 웹 사이트에서 사용할 수 있는 하드웨어, 모바일 및 생체 인식 기반 인증자의 상호 운용 가능한 에코시스템을 가능하게 합니다. 이 에코시스템을 통해 기업과 서비스 제공업체는 암호에 대한 의존도를 줄이고 훔친 암호를 사용하는 피싱, 메시지 가로채기(man-in-the-middle) 및 재생 공격으로부터 보호하는 강력한 인증 솔루션을 배포할 수 있습니다.
“FIDO Alliance는 개방형 표준을 기반으로 사용자 인증을 개발하므로 Aetna와 같은 회사는 최고의 최신 기술을 채택할 수 있습니다.FIDO 얼라이언스(FIDO Alliance)의 브렛 맥도웰(Brett McDowell) 전무이사는 “표준 기반 아키텍처는 시장과 함께 발전할 수 있고, 운영 비용이 적게 들며, 수명이 다한 시스템의 운영 및 유지 관리 위험을 줄일 수 있다”고 말했다.
상세 정보
도전
의료 기관은 위험과 위협의 새로운 시대에 대비하여 사용자 인증을 발전시키기 위해 노력하고 있습니다. 의료 데이터는 보험 청구, 건강 저축 계좌, 유연한 저축 계좌 등을 포함한 여러 유형의 사기에 사용될 수 있는 풍부한 개인, 금융 및 의료 데이터를 제공하기 때문에 사이버 범죄자들에게 매우 중요합니다.
의료 기관은 HIPAA 및 HITECH와 같은 의료 규정을 준수하고 데이터 노출로 인한 값비싼 벌금 및 소송을 방지하기 위해 보호된 건강 정보(PHI)를 보호해야 합니다.
또한 의료 보안 리더는 사이버 범죄자가 개인 인구 통계 정보를 사용하여 암호 재설정 기능을 우회하는 계정 탈취를 피하기를 원합니다. Anthem, Equifax, Yahoo 등을 포함한 몇 가지 주요 데이터 유출 사건 이후 사이버 범죄자들은 대규모로 사용자를 가장하는 데 사용할 수 있는 풍부한 프로필을 수집할 수 있습니다. “현실은 업계가 점점 더 많은 계정 탈취 시도를 받고 있다는 것입니다”라고 의료 회사의 최고 보안 책임자(CSO)로 근무하는 Aetna의 Jim Routh는 말했습니다. “바이너리 인증 [using passwords] 은 오늘날 노후화되었습니다.”
의료 산업에서 피싱 방지 보안 구축
해결책: Routh는 Aetna의 온라인 서비스를 사용하는 고객, 파트너 및 직원을 인증하는 더 나은 방법을 찾고 싶었습니다. 이 회사는 모바일 및 웹 플랫폼 전반에 걸쳐 차세대 인증(NGA)을 출시하여 온라인 서비스의 보안과 사용성을 개선하기 위해 2단계 접근 방식을 취하고 있습니다.
첫째, Aetna는 사용자 인증을 위해 FIDO 표준을 채택했으며, 고객을 확인하기 위해 암호 대신 생체 인식을 사용합니다. 생체 인식 기능은 급속하게 진화하고 있고 Aetna는 소프트웨어와 장치의 맞은편에 표준 공용영역을 사용하고 있는 동안 선택권을 가진 소비자에게 힘을 주고 싶었습니다. 또한 표준 기반 아키텍처는 비표준 기반 아키텍처에 비해 운영 비용이 저렴합니다.
FIDO 인증은 사용자 인증의 미래 경쟁력을 보장하고 간소화합니다.
“Aetna는 생체 인식 정보를 위한 FIDO 견실함을 창조하고 전체 인증 과정을 간단하게 하기 위하여 기준을 채택했습니다,” Routh를 말합니다. “FIDO는 소비자의 선택이나 장치에 내장된 보안 기능의 영향으로부터 우리를 보호합니다. 이 표준은 인증 프로세스를 애플리케이션 개발자와 분리하므로 이동 통신사, 장치 제조업체 또는 온라인 서비스의 구성에 관계없이 매번 인증할 수 있습니다. 더 중요한 것은 회원의 생체 인식 정보가 장치를 벗어나지 않아 회원의 신원이 보호되고 손상되지 않도록 한다는 것입니다.”
개방형 표준을 기반으로 사용자 인증을 개발하는 것은 Aetna와 같은 회사가 공급업체의 독점 제품에 얽매이지 않고 최고의 현대 기술을 채택할 수 있도록 “미래 보장” 솔루션도 제공합니다.
표준 기반 아키텍처는 시장에 따라 발전하고 확장할 수 있으며, 독점 아키텍처보다 운영 비용이 적게 들고, 시스템 운영 및 유지 관리의 위험도 줄여줍니다.
Aetna는 온라인 세션 중에 사용자를 인증하기 위해 최대 60개의 동작을 사용합니다
프로그램의 두번째 단계에서는, Aetna는 그것의 차세대 인증 과정을 밖으로 굴렸다: Aetna 이동할 수 있는 app에 그들의 온라인 회의를 통하여 사용자를 증명하는 행동 근거한 안전. Aetna는 사용자가 일정하게 유지되도록 위치, 액세스 시간, 지문 및 키 입력 스타일과 같은 30-60가지 동작을 지속적으로 검토합니다. 예를 들어 개인이 친구에게 전화를 건네주면 앱은 새 사용자를 인식하고 다른 형태의 인증을 요청합니다.
FIDO를 통한 보안의 새로운 표준 설정
FIDO 표준은 NGA 위험 엔진에 행동 데이터를 지속적으로 입력할 수 있도록 지원합니다. Aetna는 사용자 행동 기준을 설정하는 데 1-2 주 동안 앱을 사용했습니다. Aetna는 사용자를 보호하기 위한 목적으로만 행동 데이터를 사용하며, 이를 위험 엔진에 공급한 다음 궁극적으로 폐기합니다. 위험 엔진은 6개의 보안 제어 계층으로 보호됩니다.
Aetna는 사용자 인증이 전반적인 경험의 일부가 될 수 있다는 것을 이해하며, Aetna가 데이터 보호를 진지하게 받아들인다는 강력한 메시지를 고객, 파트너 및 직원에게 보내는 동시에 참여를 단순화합니다. 많은 분석가들은 탁월한 정보 위험 관리 기능 및 관행(다단계 인증 포함)이 끊임없는 해킹 및 데이터 침해 시대에 회사를 차별화하는 데 도움이 될 수 있다고 말했습니다.
“우리는 두드러지게 암호를 기억하는 필요를 삭제해서 Aetna가 소비자를 결합하는 방법을 개량하고 있는 동안, 보안을 개량하는 기회가 있습니다,” Routh는 말했습니다.
