W ramach prac Rady ds. Systemu Płatniczego rozważane jest także wprowadzenie ustawowego obowiązku korzystania z biometrii behawioralnej
Wczoraj w gościnnych progach warszawskiej restauracji Flaming odbyło się kolejne wydarzenie z cyklu Cashless Breakfast. Tym razem poświęcone było w całości nowoczesnym technologiom służącym poprawie cyberbezpieczeństwa. A pretekstem do zorganizowania wydarzenia była inwestycja Biura Informacji Kredytowej w polski fintech Digital Fingerprints, oferujący narzędzie do biometrii behawioralnej. O tym, skąd pomysł na tę inwestycję mówił w wywiadzie udzielonym redaktorowi naczelnemu cashless.pl Jackowi Uryniukowi prezes BIK Mariusz Cholewa.
Podkreślił, że kierowana przez niego firma, oprócz tradycyjnej działalności, polegającej na gromadzeniu informacji na temat zobowiązań kredytowych klientów instytucji finansowych, rozwija także platformę antyfraudową. – Służy ona do tego, aby wyłapywać oszustów, którzy składają wnioski kredytowe w czyimś imieniu. Biometria behawioralna jest wg nas naturalnym elementem rozwojowym tej platformy – powiedział prezes BIK. Stąd włączenie spółki Digital Fingerprints do Grupy BIK. Oferowana przez polski fintech technologia trafi na platformę, z której korzystać będą mogły wszystkie banki działające na polskim rynku.
Jak dodał Cholewa, ideą pomysłu jest, by było to rozwiązanie sektorowe, a więc aby poszczególne banki nie wdrażały biometrii behawioralnej na własną rękę, tylko skorzystały z platformy dostępnej dla wszystkich. – Instytucje mogą oczywiście rozwijać własne rozwiązania, ale wtedy będą w stanie objąć nim tylko część najbardziej aktywnych klientów ze swojej bazy. Natomiast nie obejmą klientów, z którymi nie miały dotąd relacji, a którzy na przykład chcieliby z nimi takie relacje nawiązać. Przewagą platformy sektorowej jest też to, że wzorzec zachowań pozostawiony przez klienta w jednym banku będzie dostępny dla wszystkich innych instytucji – powiedział Mariusz Cholewa.
Prezes BIK uważa także, że sektorowe rozwiązanie biometrii behawioralnej, kierowane w pierwszej kolejności do banków i innych instytucji finansowych, może w najbliższej przyszłości służyć zwiększaniu bezpieczeństwa także w innych sektorach gospodarki, np. w telekomunikacji, e-commerce itd. – Będzie to też pierwsze nasze rozwiązanie, z którym będziemy mogli wyjść na cały świat. Technologia ta nie jest bowiem związana ze specyfiką polskiego rynku. Nasza strategia zakłada wejście na rynki zagraniczne. Chcielibyśmy skopiować nasz model np. w Niemczech, Turcji itd. – stwierdził Mariusz Cholewa.
Następnie Krzysztof Raczyński, prezes Digital Fingerprints, opowiedział o technologii stworzonej przez reprezentowany przez niego fintech. Jego zdaniem oferowane przez DF narzędzie zabezpiecza w znacznym stopniu przed najpopularniejszymi atakami na klientów, wykorzystującymi phishing czy przejęcie pulpitu na urządzeniu użytkownika, a także ułatwia bankom sprostanie wymogom dyrektywy PSD II związanym z koniecznością dodatkowego uwierzytelnienia niektórych transakcji płatniczych. Jak?
– W bankowości elektronicznej instalujemy skrypt, który zbiera dane na temat naszych zachowań: to, jak wciskamy klawisze na klawiaturze, to, jak ruszamy myszą, jak dotykamy palcem ekranu itd. Na przykład z pięciu wciśnięć klawiszy jesteśmy w stanie wyciągnąć aż 80 różnych cech charakterystycznych dla danego użytkownika. Wszystkie te dane za pomocą naszych algorytmów są przetwarzane i pozwalają stwierdzić, czy osoba korzystająca w danym momencie z usług elektronicznych jest tą, za którą się podaje – powiedział prezes DF.
Jego zdaniem cała analiza związana ze zidentyfikowaniem użytkownika, a więc stwierdzeniem, czy osoba wpisująca login i hasło do rachunku bankowego to jest ta sama osoba, która robi to zwykle, zajmuje mniej niż sekundę. – Pozwala to wykryć próbę oszustwa w błyskawicznym czasie. Ponadto ze względu na fakt, że nasz skrypt działa od momentu zalogowania do wylogowania, możemy wykryć ataki, które konwencjonalnymi metodami jest ciężko wykryć, na przykład, gdy klient zalogował się na konto, ale przy pomocy socjotechniki został namówiony do zainstalowania zdalnego pulpitu, a kontrolę nad urządzeniem przejął oszust, który składa dyspozycję przelewu – stwierdził Krzysztof Raczyński.
Z kolei Michał Łukasiewicz z BIK-u scharakteryzował zasady wdrożenia narzędzia spółki DF do platformy oferowanej przez BIK. – Oszustwa na rynku finansowym charakteryzują fale. Tzn. każda fala nowego malware, phishingu itp., prędzej czy później dogodni każdą instytucję. Zastanawialiśmy się, co zrobić, aby zabezpieczyć przed tym cały sektor, nie czekając na kolejną falę. Odpowiedzią na to jest biometria behawioralna, która jest nowym rodzajem zabezpieczenia, jakiego wcześniej na rynku nie było – stwierdził przedstawiciel BIK.
Podkreślił, że istotą rozwiązania wdrażanego przez BIK wspólnie z DF jest jego sektorowość. – To pozwala na to, że dane do zbudowania modelu behawioralnego klienta pochodzą z każdego miejsca, w którym pozostawił on swoją zgodę na to. Dzięki temu model ten buduje się szybciej, jest lepszej jakości i jest dostępny od razu po aktywacji nowej usługi, np. po założeniu rachunku – powiedział Michał Łukasiewicz. Dodał, że idzie za tym także współdzielenie modelu, to znaczy, że jest on dostępny dla wszystkich instytucji, co jest wielką przewagą nad wdrożeniami prowadzonymi przez banki indywidualnie tylko dla własnych klientów. Dodatkową korzyścią z platformy sektorowej jest też niższy koszt implementacji technologii.
Kolejnym punktem programu wczorajszego Cashless Breakfast był panel dyskusyjny na temat nowoczesnych technologii w cyberbezpieczeństwie. Najpierw uczestnicy dyskusji ocenili bieżącą sytuację związaną z zagrożeniami, jaka wytworzyła się po ataku Rosji na Ukrainę. – Co ciekawe zaraz po wybuchu wojny zauważyliśmy spadek ataków na klientów ze strony cyberprzestępców, których większość stanowią mieszane grupy z Rosji, Ukrainy czy Białorusi. Po prostu po wybuchu konfliktu duża ich część przestała ze sobą współpracować. Teraz ta działalność cyberprzestępcza wraca do normy sprzed wojny – powiedział Krzysztof Zieliński, dyrektor Departamentu cyberbezpieczeństwa w KNF.
Dodał, że inaczej było, jeśli chodzi o ataki na instytucje finansowe, których nasilenie wynikało prawdopodobnie ze względu na fakt, że od początku Polska stała się głównym krajem wspierającym Ukrainę w walce z Rosją. – Wzmożone ataki ze strony agresora, takie jak na przykład DDoS, dotykają nie tylko instytucje finansowe i nie tylko w Polsce – stwierdził przedstawiciel KNF.
Z kolei Krzysztof Słotwiński, dyrektor Pionu bezpieczeństwa i zarządzania ciągłością działania w BNP Paribas, powiedział, że funkcjonujące w Polsce instytucje dobrze poradziły sobie w tym okresie między innymi dzięki inicjatywie KNF-u, który od początku wojny organizował cykliczne spotkania z przedstawicielami całego sektora finansowego. Służyły one wymianie informacji pomiędzy poszczególnymi uczestnikami rynku, co bardzo pomagało w walce z incydentami.
– Co ciekawe już w listopadzie ubiegłego roku mieliśmy bardzo dużą liczbę ataków, co w mojej ocenie było próbą testowania przez agresorów zabezpieczeń stosowanych przez nasze instytucje. Liczba ataków wykorzystujących phishing była 10-krotnie większa niż wcześniej – powiedział przedstawiciel BNP Paribas.
Natomiast Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków i szef FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa przy Związku Banków Polskich podkreślił, że w poradzeniu sobie z nowymi zagrożeniami po wybuchu wojny w Ukrainie polskim instytucjom finansowymi pomogła współpraca sektorowa, także w dziedzinie komunikacji z klientami. – Zetknęliśmy się na przykład z kampaniami fake-newsowymi, zmierzającymi do podważenia wiarygodności instytucji finansowych w Polsce i wywołania tzw. runu na kasy i bankomaty – powiedział Piotr Balcerzak. Dzięki opracowaniu wspólnego przekazu do klientów udało się zapobiec podważeniu wiarygodności polskiej branży finansowej, choć bezpośrednio po wybuchu wojny w Ukrainie zdarzały się braki gotówki w bankomatach.
Tymczasem Agnieszka Szopa-Maziukiewicz, dyrektorka IT w BIK potwierdziła, że kluczem do tego, że branża finansowa jako całość poradziła sobie i nadal radzi ze wzmożoną aktywnością cyberprzestępców, jest współpraca sektorowa. – Jako BIK staramy się dostarczać rozwiązania technologiczne takie jak wspomniana już dzisiaj platforma antyfraudowa, która w czasie rzeczywistym ostrzega o zagrożeniach wszystkich uczestników – powiedziała przedstawicielka BIK-u. Jej zdaniem biometria behawioralna będzie kolejnym elementem podnoszącym wartość współpracy sektorowej a w kolejnym etapie – także międzysektorowej, z innymi branżami obecnymi w gospodarce.
Czy jednak klienci w swojej większości zechcą korzystać z biometrii behawioralnej, która zakłada zgodę na zbieranie kolejnych danych o ich zachowaniach? – Klienci boją się wszystkiego, ale takie mamy czasy, że wszędzie zbiera się dane, a każda nowa technologia niesie ze sobą nowe ryzyka. Jednak bezpieczeństwo klientów zapewni odpowiednie wykorzystanie danych, a biometria behawioralna naszym zdaniem, jako regulatora rynku, zapewniać będzie klientom wyższy poziom bezpieczeństwa. Oczywiście pod warunkiem, że wyrażą na to zgodę – powiedział Krzysztof Zieliński.
Niewykluczone jednak, że powstanie ustawowy obowiązek korzystania z biometrii behawioralnej. – Rozmowy na ten temat prowadzone są w ramach grupy ds. bezpieczeństwa płatności, powstałej przy Radzie ds. Systemu Płatniczego. To, czy dojdzie do ustawowego uregulowania tej kwestii, czy nie, będzie pewnie wynikiem dyskusji, w której bierze udział bardzo szerokie grono uczestników rynku finansowego – powiedział Piotr Balcerzak. Jego zdaniem koronnym argumentem za ustawą jest to, że przestępca, który przełamie inne zabezpieczenia i zaloguje się na rachunek swojej ofiary, może odwołać zwykłą zgodę na wykorzystanie biometrii behawioralnej, a wtedy po prostu przestanie ona działać.
Sceptyczny w tej sprawie jest przedstawiciel KNF. – Nie jestem przekonany czy ustawowe wymuszanie zgód na stosowanie biometrii behawioralnej to jest kierunek, w którym powinniśmy iść. Na siłę klientów nie da się zabezpieczyć – powiedział Krzysztof Zieliński. Natomiast Agnieszka Szopa-Maziukiewicz jest zdania, że fakt, iż biometria behawioralna działa w interesie konsumentów czasem nawet wbrew ich świadomości, uzasadniać może ustawowe uregulowanie obowiązku jej stosowania. Niemniej wszyscy uczestnicy dyskusji zgodzili się, że w upowszechnieniu tej technologii pomogłaby szeroka edukacja konsumentów w tym zakresie.