Logowanie bez hasła?

Zastanawiali się nad tym uczestnicy debaty eksperckiej Miesięcznika Finansowego BANK, której partnerem była firma Secfense (specjalizująca się w rozwiązaniach z zakresu bezpieczeństwa dostępu i uwierzytelniania), a która obyła się przy okazji Forum Bezpieczeństwa Banków. Dyskusję prowadził Paweł Minkina, wiceprezes zarządu Centrum Procesów Bankowych i Informacji, redaktor naczelny miesięcznika, a uczestniczyli w niej: Przemysław Anduła, kierownik SOC/CSIRT VeloBanku; Tomasz Chmielewski, Chief Expert Digital Transformation ING Banku Śląskiego; Robert Jagura, dyrektor Departamentu Cyberbezpieczeństwa VeloBanku; Paweł Kowalski, Digital Security Product Owner mBanku; Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa SGB-Banku; Łukasz Mleczko, dyrektor Departamentu Relacji Zdalnych KB Alior Banku; Michał Pyszyński, dyrektor Departamentu Bezpieczeństwa Banku Polskiej Spółdzielczości; Marcin Schubert, dyrektor Departamentu Technologii Cyberbezpieczeństwa i Transformacji Cyberbezpieczeństwa Erste Banku Polska oraz Krzysztof Słotwiński, dyrektor Departamentu Bezpieczeństwa i Zarządzania Ciągłością Działania BNP Paribas Banku Polska. Partnera debaty reprezentowali: Beata Kwiatkowska, Business Development Officer oraz Bartosz Cieszewski, Solutions Architect.  

Paweł Minkina: Jak w państwa bankach traktuje się, pamiętając o kosztach obsługi haseł, kwestie uwierzytelniania. I jak postrzegacie państwo kwestię passwordless – czy to realna innowacja czy raczej wartość dodana marki? Czy obawiacie się takiej zmiany?

Krzysztof Słotwiński: Większość największych banków powstała przez fuzje i przejęcia. W naszym przypadku – BNP Paribas – jeślibyśmy zliczali je od początku, to takich połączeń było dwanaście. Przy tego typu operacjach zawsze pozostają stare systemy, takie legacy, które jednak trzeba przez jakiś czas utrzymywać. W przypadku takich systemów, a przechowujemy tam dane krytyczne, takie, które powinny być odpowiednio dobrze zabezpieczone, nasza procedura i polityka bezpieczeństwa nakazuje mieć dwuskładnikowe uwierzytelnienie. Są dwa sposoby, aby dla tych wszystkich systemów można było takie dwuskładnikowe uwierzytelnienie stworzyć. Pierwszy to zaproszenie developerów i poproszenie, aby spróbowali coś z tym zrobić. Drugi to samodzielne szukanie rozwiązania, które będzie to wspierało. I to najlepiej takiego, które nie będzie wymagało, żeby nasz pracownik, logujący się do takiego systemu legacy kilkukrotnie w ciągu dnia pracy, musiał wpisywać albo hasło, albo przepisywać z autentykatora ośmiocyfrowy kod. Postanowiliśmy zatem i zbudowaliśmy taki Broker MFA, który wykorzystuje natywne mechanizmy Windows, w naszym przypadku są to mechanizmy Windows Hello, i który bez konieczności jakiejkolwiek interakcji użytkownika loguje go do tych systemów – albo poprzez zeskanowanie twarzy, albo zeskanowanie odcisku palca. Oprócz bezpieczeństwa, które było priorytetem, na względzie mieliśmy wygodę naszych biznesowych użytkowników, bo tak naprawdę logowanie do tego systemu niczego od nich nie wymaga i zajmuje 10 sekund – podniesienie ekranu, zeskanowanie, wywołanie mechanizmu z Windows Hello i wejście do systemu. A przy tym bezpieczeństwo jest na totalnie innym poziomie.

Bartosz Cieszewski: Bardzo dobrze, że powiedziałeś o czasie, który na to poświęcamy, bo to jest coś, czego tak naprawdę z reguły się nie liczy. Patrzymy na benchmarki, koszty używania aplikacji, a to – jeśli zsumujemy np. 30 użytkowników – potrafią być kolosalne koszty. FIDO Alliance wydało w zeszłym roku bardzo interesujący raport Passkey Index, który zlicza te wartości. I okazało się, że średni czas logowania z dobrze działającym jednym składnikiem, który jest niezbędny i z jakimś hasłem, które mamy przechowywane w miarę rozsądnym portfelu haseł, wynosi około 30 sekund – a mówimy o rozwiązaniu, które działa prawidłowo. W rzeczywistości jednak tak nie jest – hasło musimy znaleźć, telefon leży w drugim pokoju, zatem wszystko się wydłuża i do takiego OK logowania dochodzimy nawet i 300 sekund. Wprowadzenie passkeys zmniejsza ten czas do średnio 8,5 sekundy. Kiedy pomnożymy to przez ilość użytkowników i przez roboczogodziny, to tak naprawdę oprócz wygody, która jest w tym przypadku niekwestionowana, otrzymujemy konkretne liczby, które naprawdę robią wrażenie.

Paweł Kowalski: Dorzucę jeszcze jeden nieoczywisty koszt, o którym w ogóle się nie mówi, bo trudno go zbadać – koszt rozproszenia. Jeżeli coś robię, jestem na jakimś spotkaniu i muszę się zalogować do jakiegoś systemu, to chcąc nie chcąc, wyłączam się i tracę wątek. A potem muszę to nadrobić. Mam też znakomite statystyki ze wspomnianego raportu. Po pierwsze, mamy 80% mniej interakcji z helpdeskiem, a po drugie – co bardzo mnie zdziwiło – jako użytkownicy różnych systemów, nie tylko bankowych, średnio spędzamy na resetowaniu haseł 11 godzin w ciągu roku. To ponad jeden dzień pracy! A do tego dochodzi jeszcze czas odzyskiwania dostępu do naszych różnych aplikacji. Inna statystyka, którą znam, mówi o 70 USD per reset. I jest to nie tylko koszt pracy serwisu, ale i frustracji klienta. A skoro najcenniejszy jest klient, to nie powinien spędzać ileś tam czasu na kontakcie z helpdeskiem czy na odzyskiwaniu hasła. Trzy lata temu zbudowaliśmy własne narzędzie, rodzaj brokera, do którego podpinamy najróżniejsze metody uwierzytelnienia. I na dzisiaj – oprócz rozwiązań standardowych, czyli biometrii, PIN, urządzenia zaufanego – mamy mObywatela, mamy kartę, którą przykładamy do telefonu na obydwu platformach, za chwilę będzie tam jeszcze selfie, warstwa elektroniczna dowodu i wreszcie eIDAS, który nas wszystkich czeka. Jak zatem widać my passwordless właściwie już jesteśmy. Mamy jeszcze hasło w przeglądarce, ale przeglądarka jest naprawdę bardzo mało używana – z naszych statystyk wynika, że 93% interakcji klienta odbywa się przez aplikację mobilną.

Krzysztof Słotwiński: My też mamy strategię mobile first, w bankowości detalicznej praktycznie przestajemy rozwijać część webową, natomiast wprowadziliśmy passkeys dla klientów bankowości korporacyjnej, bo tam zdecydowana większość transakcji odbywa się online bądź przez połączenie z dedykowanymi kanałami, z systemami finansowymi. I tam właśnie ta integracja passkeys – to że ma się go w telefonie i ma się go w bankowości internetowej – daje możliwość szybkiego logowania. W ocenie naszych klientów korporacyjnych to ogromny przeskok w stosunku do tego, co mieli dotychczas. A mieli albo hasła maskowane, albo nośniki USB i musieli pamiętać o nich, a zdarzało się, że zostawiali je w komputerze, zatem tego zabezpieczenia praktycznie nie było. A passkeys to zupełnie inny poziom bezpieczeństwa i łatwości logowania się. Perspektywa klienta jest zaś bardzo istotna – z reguły jeśli zablokuje sobie konto, bo wprowadził kilka razy złe hasło, przekłada swoją frustrację na media społecznościowe. A z nich korzystają między innymi i te osoby, czy organizacje, którzy być może chcieliby rozpocząć współpracować z daną instytucją finansową, ale – śledząc wpisy niezadowolonych – dochodzą do wniosku, że raczej nie warto, bo stosuje ona jakieś dziwne metody autoryzacji.

Marcin Schubert: To, o czym mówimy, wyraźnie można było zauważyć w dwóch dużych atakach, do których doszło w ub.r. – chodzi o Marks & Spencer oraz Land Rover. Ktoś prostą socjotechniką zdobył dostęp do ich systemów, a później zaszkodził całej organizacji. W obu przypadkach było to zatrzymanie biznesu na ponad miesiąc, i na długie tygodnie dla klientów. Jeśli zatem spojrzymy na omawiane problemy przez ten pryzmat, to wyraźnie widzimy, że nie jest to już kwestia tego, czy chcemy i czy będziemy dążyć do tego świata passkeys i innych technologii autentykacyjnych – to już po prostu wymóg.

Michał Pyszyński: Trzeba jednak pamiętać, że naszymi klientami są także osoby starsze, przyzwyczajone do klasycznych systemów. Tacy klienci zniechęcali się wiele razy do nowoczesnych technologii i powtarzali – zwłaszcza jeśli coś nie działało i trzeba było skontaktować się z helpdeskiem – że niby ta nowa technologia, ta informatyka miała nam pomóc, a kłopotów jest więcej, zatem wolimy już zwykłe hasła. Dość często zauważam, że dział bezpieczeństwa jest postrzegany jako ten, który przychodzi, znowu coś wymyśla i tylko utrudnia życie. Dla nas technologia jest czymś normalnym, jednak większość ludzi – chociaż posiada najnowsze telefony, tablety i chce korzystać ze sztucznej inteligencji, chmury – umiejętności korzystania ma raczej mierne. Gubią się oni w najprostszych rzeczach. Nic zatem dziwnego, że każdą zmianę, każdy nowy pomysł postrzegają właśnie tak, że bezpieczeństwo czy informatyka znowu coś wymyśla.

Łukasz Mleczko: Generalnie bezpieczeństwo jest postrzegane jako bloker różnego rodzaju procesów. Oczekujemy, że wszystko będzie przebiegało szybko i bezproblemowo, i tego samego oczekuje klient. A przy tym liczy się wynik biznesowy. Oczywiście zabezpieczanie procesu jest niezbędne, ale dodam jedną rzecz, bo wydaje mi się, że w sektorze finansowym coś jednak się zmieniło – kiedyś to ta strona biznesowa grała pierwsze skrzypce, teraz zaś mamy dużą świadomość, że najważniejsze jest cyberbezpieczeństwo i ewidentnie idziemy w parze i gramy razem. To są kwestie, które zajmują najwięcej czasu w agendzie bieżących spraw.

Krzysztof Słotwiński: Jeżeli projektujemy jakieś rozwiązania, to jednym z głównych priorytetów jest zaufanie klienta. Dzieje się tak, bo satysfakcja klienta to dla nas dodatkowa wartość i na koniec dnia daje dodatkowe przychody. Kiedy klienci będą wiedzieli, że robią transakcje z bankiem, który dba o to zaufanie, dba o bezpieczeństwo, dużo łatwiej i dużo szybciej będą z takim podmiotem współpracować. Staramy się zatem brać to pod uwagę przy prowadzeniu wszystkich linii biznesowych i przy każdej transformacji. Dlatego dużą wagę przypisujemy passkeysom. Podniesienie telefonu i zeskanowanie QR kodu na ekranie oraz potwierdzenie swojej tożsamości poprzez klucz dostępu, który jest w telefonie albo w komputerze, to po prostu mega płynne działanie. Mocno angażujemy się w projektowanie takich rozwiązań, bo wiemy, jak są dla nas istotne.

Michał Pyszyński: Jako banki czy jako architekci rozwiązań zawsze myślimy o użytkowniku i o jego bezpieczeństwie, to jest fundament naszego działania. Moim zdaniem większość instytucji finansowych, jeśli nie wszystkie, doskonale rozumieją, że bezpieczeństwo jest wartością podstawową i może dawać przewagę. Doskonale może to ilustrować reakcja klientów na mechanizmy bezpieczeństwa. Ci, którzy o nie nie zadbali i zostali okradzeni są zdruzgotani; a ci, których odpowiednio chronimy i z tej ochrony korzystają, są zadowoleni. Powiedzmy sobie szczerze, ten dzisiejszy cyberświat to po prostu dzicz. O hakerach słyszeli niemal wszyscy, a sporo z nas odebrało telefon, gdzie ktoś z drugiej strony słuchawki opowiadał, kolokwialnie mówiąc, jakieś bajeczki. Codziennie słyszymy i czytamy o kolejnych atakach, a z drugiej strony mamy regulatorów, którzy – jak wszyscy wiemy – próbują nam powiedzieć, że mamy za wszystko odpowiadać i za wszystko płacić, niezależnie od tego, ile kluczy dostępu klient wydał i komu. Ich zdaniem zawsze dzieje się tak z naszej winy.

Przemysław Anduła: Ukryte koszty to także śledzenie potencjalnych wycieków danych, jest ono czasochłonne i kosztowne. Dodatkowo behawiorystyka biometryczna nie nadąża za rozwojem AI, sztuczna inteligencja działa dużo szybciej niż my się tej behawiorstyki uczymy. Do tego dochodzi obsługa potencjalnie niezadowolonych klientów, na błędach których na szczęście dla nas się uczymy. Dlatego warto tworzyć rozwiązania, które zmniejszają konieczność interakcji po stronie klientów, a pewne rzeczy przejmować na siebie. Koszty związane z realizacją obowiązujących regulacji i koniecznością zwracania środków klientom są tak duże, że zdecydowanie lepiej jest systematycznie unowocześniać rozwiązania wzmacniające cyberbezpieczństwo. To rozwiązanie na pewno jest tańsze.

Tomasz Chmielewski: Próbujemy zarządzać z aplikacji, potwierdzać wszystko z aplikacji, wciąż jednak są klienci, którzy mówią: ja nie chcę, nie umiem, nie wiem jak, rozmawiam przez telefon, a on mi każe coś kliknąć. Mówimy wtedy OK, skoro nie chce korzystać z aplikacji, to może chociaż SMS-a odbierze. I mamy podobną historię – klient nie umie przepisać treści, nie potrafi przełączyć się pomiędzy rozmową a SMS-em. Wszyscy mamy grupę klientów wykluczonych technologicznie, którzy opierają się nowoczesnym rozwiązaniom. Pytanie brzmi zatem: jak mimo wszystko przekonać ich do korzystania z technologii albo uświadomić, że skoro nie chcą, to powinni zaakceptować ryzyko i ewentualne straty, jakie w związku z nim mogą ponieść. Nie jestem jednak pewien, czy to jest w ogóle możliwe, bo w świetle prawa to my odpowiadamy za wszystko i to my bierzemy ryzyko na siebie. Klient jest chroniony w każdym momencie. Innymi słowy – nie zamkniemy okienek i nie zmusimy klienta do jednego sposobu autoryzacji w aplikacji mobilnej, choćby dlatego, że mamy świadomość, iż społeczeństwo się starzeje. Uważnie zatem przyglądamy się naszym klientom i staramy się tak dobrać rozwiązania, aby z jednej strony były bezpieczne, a z drugiej – dostosowane do potrzeb użytkownika, żeby go po prostu nie stracić. Nie ma co mówić albo, albo, tylko powoli ich oswajać z tymi wszystkimi rozwiązaniami, dając im dodatkową drugą albo trzecią warstwę – choćby tylko po to, żeby oni powoli do nich się przyzwyczajali. Jest to jednak edukacja długookresowa i nastawienia klientów nie zmieni się w miesiąc czy dwa. Poczucie bezpieczeństwa trzeba kreować już u najmłodszych klientów.

Paweł Minkina: Czy zatem bezhasłowość, bądź rozwiązania, które zapewnią szybszy sposób logowania, to już must have; trzeba je mieć, żeby klient nie zrezygnował z usług? A może to po prostu jest jeden z elementów rozwoju biznesowego?

Łukasz Mleczko: Wydaje mi się, że to jest jednak must have – tak z punktu widzenia klienta, jak i biznesu. Wszystkie te wielkie projekty robimy przecież po to, żeby zapewnić klientowi wygodę. A wygoda i szybkość są szczególnie ważne dla tego młodego pokolenia, które targetujemy i któremu oferujemy dodatkowe produkty. Nie oszukujmy się – w najbliższych latach łatwość logowania na pewno będzie jedną z najważniejszych kwestii. Nie zapominajmy też, że ci klienci, którzy już z tego rozwiązania korzystają, doceniają je; a jeśli nawet przeniosą się do innych instytucji a one im tego nie zapewnią, to szybko do nas wrócą. Z drugiej strony ważne jest także i to, jak w sytuacjach problematycznych dla klienta się zachowamy. Czy potrafimy mu wytłumaczyć, że jeśli nawet zgubił urządzenie, to nie jest to wielkim problemem, bo za chwilę będzie mógł korzystać z usług w jakiś inny sposób, albo nawet tak jak dotychczas, bo otrzyma nowe urządzenie. Takie wsparcie to jeden z nieodłącznych elementów utrzymania klienta.
Jeśli zaś chodzi o zarządzanie zmianą, to zdecydowanie zgadzam się, że jest to bardzo ważny, choć niełatwy, element gwarantujący sukces. Uwierzytelnianie bezhasłowe dla klientów musi współistnieć z dotychczasowymi metodami. Czyli – systematycznie edukujemy klienta, przekazujemy mu wiedzę, tłumaczymy trudniejsze kwestie, w żadnym wypadku nie rezygnujemy też z onboardingu, jednak obie te metody funkcjonują równolegle. Dzięki temu klient może w swoim własnym tempie podjąć decyzję, czy już jest gotowy na tę nowoczesność i innowacyjność. Warto mieć przy tym świadomość, że zawsze będą tacy, którzy jako pierwsi podnoszą rękę i bardzo chętnie z nowości korzystają, ale będą i tacy, którzy poczekają, bo po prostu muszą się z nią oswoić. A takie podejście hybrydowe pozwala nam uniknąć zarzutu, że nagle do czegoś naszych klientów przymuszamy. My do niczego nie przymuszamy, raczej zachęcamy.

Marcin Schubert: Pamiętajmy o jednym – postępu nikt nie zatrzyma. Doświadczenie zaś pokazuje, że jeśli ktoś już zaczął korzystać z nowoczesnej formy uwierzytelnienia, to raczej nie powie: kurczę, rozmyśliłem się, chciałbym przejść z powrotem na PIN-y, kody itd. To już niemal wymóg cywilizacyjny, bo dokonująca się ewolucja – tak ewolucja, a nie rewolucja – powoduje, że nowoczesne rozwiązania technologiczne niejako wrastają w DNA codziennych działań klienta i stają się czymś, czego on nie da już sobie odebrać. Tak, to jest dzisiaj bezapelacyjnie podstawowy element wygody klienta, a ta wygoda bez wątpienia jest najważniejszym elementem utrzymania i budowania relacji z nim.