保险巨头Aflac通过“Quackcess Granted”实现无密码化,不仅提高了安全性,还减少了客户支持电话,并增强了客户体验。
Aflac作为一家补充保险提供商,保护为员工、客户及其服务的企业收集的信息是公司文化的核心理念之一,全球CISO Tim Callahan表示。
“网络犯罪分子具有创新性,愿意冒险,无视法规,”Callahan说,“犯罪分子将供应商渠道视为较弱的攻击目标,这些渠道遭受的攻击有所增加,我们有一个强大的第三方安全计划,但我们无法控制其环境。”
此外,鉴于当前的地缘政治局势,企业可能成为附带或间接攻击的目标,Callahan说。
“虽然Aflac可能不会成为国家级攻击的直接目标,但我们仍可能受到大规模攻击的影响,”他表示,“同样,供应商渠道也受到软件供应链问题的影响,这也可能对我们的公司产生连带影响。”
‘Quackcess Granted’:用Passkey取代密码
为了加强防御并保护重要数据,Aflac启动了一项为期多年的网络安全计划成熟路径,Callahan表示,合作伙伴关系是这一战略的关键。
“我们加强了与Zscaler和CrowdStrike等供应商的战略合作关系,使我们的合作更加紧密,”他说,“我们还与WWT等公司建立了合作伙伴关系,以满足我们在美国和日本的全球需求。”
其中最引人注目的一项工作就是“Quackcess Granted”,这是Aflac消费者身份和访问管理(CIAM)框架的持续开发项目。
最初,CIAM为客户创建了一个简单、安全的单一认证框架,Callahan表示。Aflac与身份和访问管理解决方案提供商Transmit Security合作,部署了高级身份验证选项,从而能够解决客户主要围绕人生重大事件与Aflac互动时的核心问题。
“当客户在需要帮助时联系Aflac时,他们不一定记得自己的凭据,往往会因为密码问题而被困扰。”Callahan说。
为此,Aflac提供了一种名为Passkey的解决方案,为客户提供了基于开放标准的安全、无密码登录体验。对于那些尚未准备好使用Passkey的用户,密码依然有效,或者可以作为备用选项。
“Aflac是第一批将这种功能推向市场的主要保险公司之一,”Callahan表示,“Passkey已被Amazon、PayPal、Home Depot等领先公司采用。”
据称,Passkey提供了一种更安全、用户友好的身份验证方式,具有强大的抗钓鱼能力,与设备绑定,并且消除了对密码的需求。
自2023年11月有限发布以来,Aflac在2024年5月全面推出了Passkey,并取得了显著的业务成果。例如,Passkey的采用率已超过最初的目标,达到32%,远高于预期的10%。截至目前,大约有265000名Aflac保单持有人选择了注册Passkey,这突显了该技术对Aflac客户的价值和吸引力,公司指出。
由于在Passkey项目上的出色表现,Aflac获得了2024年CSO奖,该奖项表彰了在安全项目中展示出卓越思想领导力和商业价值的公司。
通过Passkey,Aflac在与密码重置和登录问题相关的客户支持电话方面显著减少——这是该项目的主要目标之一,这不仅减轻了客户支持资源的压力,还表明了用户熟练度和满意度的提高,且未收到客户需要技术支持使用Passkey的报告。
Aflac保单持有人的登录成功率也有所提高,通过取消密码,Passkey简化了登录流程,减少了因遗忘密码而导致的登录失败,得益于Passkey,Aflac的登录错误率减少了11%。
此外,Passkey还提升了Aflac数字生态系统中的运营效率,随着支持电话和登录错误的减少,客户支持团队可以专注于更高价值的活动,从而提高整个企业的整体生产力和效率。
Passkey的实施还帮助Aflac加强了网络安全,降低了数据泄露、密码相关漏洞以及未经授权访问的风险。
“Aflac将通过有针对性的客户沟通和基于数据分析的更深入整合,继续推动Passkey的采用,”Callahan表示,“我们还预计,随着该解决方案在行业内变得更加普及,客户采用率将进一步提高。”
“Quackcess Granted”和Passkey得到了广泛支持,Aflac正努力使授权和身份验证对客户来说更加安全和简便。
“Aflac只有有限的方式来改善密码体验或使传统的多因素身份验证对我们的客户更加友好,”Aflac全球安全部门的高级消费者身份验证负责人Virgil Pool表示,“通过与Transmit Security合作提供Passkey,我们迈出了更重要的一步,通过这种方式,我们实现了在客户需要帮助时让他们更容易获得帮助的目标。”
网络安全文化带来的回报
作为其安全策略的一部分,Aflac优先考虑与技术和业务合作伙伴的关系,并“非常有意地”向合作伙伴、员工和客户解释了安全的重要性。
“我们的员工和合作伙伴都具备网络安全意识,并一直支持我们的目标,这是因为我们在沟通中不仅关注技术变更,还强调变更背后的原因。”Callahan表示。
他指出,公司拥有庞大而复杂的技术基础,并在IT和安全工具的部署上保持警惕,确保有充足的时间进行测试和逐步实施。
“例如,当我们实施零信任架构时,我们从小规模开始,采用定制化的方法,一次一个部门,一栋一栋地推进,”Callahan说,“在实施过程中,我们会审查任何调整,然后再继续推进,这种方法帮助我们避免了可能对业务产生影响的错误和陷阱。”
Callahan表示,随着威胁速度和复杂性的增加,需要更高水平的安全弹性来保持公司的企业风险容忍度。Aflac始终致力于“突破网络安全的界限”,通过高度重视信息安全来防范外部和内部的威胁。
“我们的方法深深植根于公司的文化,”Callahan说,“从董事会议室到员工休息室,我们始终承诺以正确的方式行事。”
Callahan指出,获得业务合作伙伴对任何网络安全计划的支持的关键在于让他们参与决策过程。“他们因此会理解需求,并能够提供反馈和支持,帮助我们推进工作。”
Aflac将高级业务合作伙伴纳入其名为“安全监督委员会”的治理委员会,通过这个平台,管理层可以向安全团队告知政策、标准和决策对业务的影响。“我们生活在一个没有意外的世界中,因为他们参与了整个过程。”Callahan说。
“Aflac的目标是提升安全态势,减少网络攻击的影响,同时提供无缝的用户体验,”Callahan表示,“Passkey的成功证明了在提供更好安全性的同时,也提升了用户体验。”