Bank i Klient: Identyfikacja w cyfrowym kanale
Bartosz Wójcicki
dyrektor Biura Usług Antyfraudowych BIK SA
O zagadnieniach dotyczących rozwoju technologii z wykorzystaniem biometrii, o innowacyjnych rozwiązaniach i doświadczeniach sektora bankowego i nie tylko, oraz o postępującej transformacji cyfrowej w świecie finansów odbędzie się szereg dyskusji i prelekcji podczas odbywającego się 3 października „International Biometric Congress 2018”.
Biometria staje się jednym z elementów bankowości, a mądre zaprojektowanie oraz wdrożenie usług z jej wykorzystaniem może oznaczać dla instytucji finansowych wiele nowych możliwości działania, w tym wyłapywania działań hakerskich w celach fraudowych.
Uwierzytelnić klienta
Jednym z najbardziej istotnych i wrażliwych elementów we wszystkich procesach bankowych, które dotyczą większości czynności realizowanych na linii bank – klient jest identyfikacja. W tradycyjnym modelu bankowości, w oddziałach stosuje się różne metody: podpis, indywidualna karta chipowa itp. – zawsze jednak z wykorzystaniem dokumentu tożsamości. Sam dokument jednak nie wystarczy, musi zostać okazany przez osobę będącą jego posiadaczem, a zdjęcie widniejące na dokumencie musi być adekwatne do wyglądu legitymującej się nim osoby.
W tej tradycyjnej metodzie autentykacji klienta istotna jest korelacja dwóch elementów, jednak z powodu tzw. niezależnych od nas czynników może być zawodna. Wpływają na to przyczyny dość prozaiczne, jak np. różnica pomiędzy zdjęciem w dokumencie i twarzą okaziciela, którego wygląd wraz z upływem czasu znacząco się zmienił. Inna możliwa sytuacja, trudna do przeprowadzenia – choć nie jest niewykonalna, to upodobnienie się do kogoś za pomocą bardzo dobrej charakteryzacji.
Ze względu na te i inne zawodne tradycyjne i dotychczas stosowane rozwiązania uwierzytelniające klienta, potrzebne są dodatkowe czynniki, które mogą być użyte do identyfikacji. Odpowiedzią na to, w szczególności w bankowości mobilnej, już jest wykorzystanie biometrii. Co więcej, wykorzystywanie elementów biometrycznych, uznanych jako niezmienne w cyklu życia danego człowieka, to trend ważny dla każdego z kanałów komunikacji instytucji finansowej z klientem, oczywiście pod warunkiem, że pozwoli bezpiecznie i wygodnie go dodatkowo zidentyfikować.
Biometria to określenie, które wielu osobom kojarzy się z autoryzacją odczytu na urządzeniu za pomocą linii papilarnych czy ze znanymi z filmów skanerami tęczówki oka. Biometryczna identyfikacja osoby jest coraz częściej stosowana jako element zabezpieczeń obiektów (kontrola dostępu do pomieszczeń) i bardzo powszechnie stosowana w zabezpieczaniu urządzeń (smartfony, tablety, komputery). Normą jest odblokowanie klawiatury za pomocą odcisku palca użytkownika, a coraz więcej urządzeń zastąpiło tę funkcję odczytem obrazu twarzy z kamery urządzenia. Użycie jednak tych fizycznych parametrów do zabezpieczenia komunikacji w kanałach zdalnych, np. kanałach internetowych, jest bardzo trudne. Podmiot wymagający zdalnej weryfikacji biometrycznej nie ma bowiem kontroli nad urządzaniem zbierającym odcisk palca czy kamerą odczytującą siatkówkę oka, a co za tym idzie dużo łatwiej jest „oszukać” takie urządzenie.
Autentykacja w kanałach zdalnych
Przykładem standardowych mechanizmów zabezpieczających mogą być dodatkowe elementy, jak np. przepisanie kodu SMS czy kodu (np. tokenu) z dodatkowego urządzenia, potwierdzenie operacji mechanizmem challange-response itp. Jednak takie działania wymagają od klienta wykonania dodatkowych czynności i niestety wpływają negatywnie na tzw. User Experience, czyli doświadczenia użytkownika w korzystaniu z danego portalu czy usługi. Okazuje się, że każde wprowadzenie akcji uzupełniających, nawet o elementy zwiększające bezpieczeństwo operacji, zniechęca klientów do kontynuacji procesu i odbierane jest jako utrudnienie.
Istnieją jednak mechanizmy, które pozwalają dodatkowo uwiarygodnić klienta bez nadmiernej komplikacji procesu. Biometria może wykorzystywać różnego rodzaju indywidualne cechy danej osoby. Powstaje zatem pytanie, czy i jak możemy użyć naszych cech fizycznych, aby zwiększyć wiarygodność zadeklarowanej tożsamości w kanałach zdalnych? Okazuje się, że istnieje szereg czynników, które w znaczny sposób poprawiają identyfikację naszej tożsamości, a jednocześnie zachowują standardy bezpieczeństwa.
Jednym z przykładów, które mogą wpłynąć na zwiększenie bezpieczeństwa klienta, jest identyfikacja urządzenia, z którego następuje kontakt w kanałach zdalnych. Jeżeli klient loguje się zawsze z tego samego urządzenia, jest on bardziej wiarygodny. Z drugiej strony, jeżeli na tym samym urządzeniu występuje wiele prób wykonywania operacji przez różne, niepowiązane osoby – może to świadczyć o próbie oszustwa czy o nieautoryzowanym dostępie niepowołanych osób do podstawowych elementów, jakimi są login i hasło.
Profil behawioralny i jego zalety
Z przeprowadzonych badań wynika, że każdy z nas w unikalny sposób korzysta z urządzenia elektronicznego, głównie poprzez korzystanie z klawiatury czy ekranu dotykowego. Dodatkowa identyfikacja na podstawie badania tego sposobu korzystania z urządzenia to tzw. biometria behawioralna lub biometria pasywna, która może wzmocnić zabezpieczenie związane z identyfikacją w kanałach zdalnych.
Samo wyznaczanie profilu behawioralnego polega na połączeniu wielu czynników, którymi naturalnie posługujemy się, pracując na komputerze, tablecie czy smartfonie. Jednym z nich jest tempo wpisywania znaków na klawiaturze. Do profilu behawioralnego nie musimy znać szczegółowo sekwencji naciskanych przycisków, a jedynie odstęp czasu pomiędzy poszczególnymi grupami przycisków na klawiaturze – swoistą melodię pisania. Podobnie jest z charakterystyką ruchów myszą – wynika ona z anatomicznej budowy dłoni i nadgarstka, co w znaczny sposób może podnieść wiarygodność profilu behawioralnego. W przypadku korzystania z urządzeń dotykowych towarzyszą nam zazwyczaj indywidualne upodobania w sposobie trzymania urządzenia (informacje pobierane są z wbudowanego akcelerometru) czy wielkości punktu dotyku oraz siły nacisku. Otóż te elementy także mogą być (i w wielu przypadkach już są) wykorzystane do budowania profilu. Oczywiste jest, że system musi nauczyć się nas rozpoznawać – profilu behawioralnego nie da się bowiem z nas odczytać, jak np. odcisku palca. Stąd zatem przy tej metodzie zwiększenia wiarygodności bardzo dużą wagę przykłada się do wszelkich anomalii.
Profil behawioralny ma jeszcze jedną, znaczącą przewagę nad tradycyjną parą dokument tożsamości – wizerunek, omawianą na początku tego artykułu, ponieważ cały czas adaptuje się do danego człowieka wraz z zachodzącymi w nim zmianami.
Po co nam biometria?
Obecnie systemy analityczne w instytucjach finansowych, badając transakcje wykonywane przez klientów i w przypadku identyfikacji nietypowego zachowania (np. wykonanie transakcji w nocy czy transfer wszystkich środków na nowo zdefiniowany rachunek, przeprowadzenie operacji z innego kraju), powiadamiają komórki antyfraudowe w bankach o nietypowych zachowaniach w formie specjalnych alertów. Warto zwrócić także uwagę, że każde dołączenie danych o urządzeniu czy danych o profilu behawioralnym może także w znaczny sposób zmniejszyć ilość generowanych (a więc koniecznych do obsłużenia), tzw. false positives, czyli przypadków, gdy system niepotrzebnie zaalertował dane zdarzenie. W przypadku gdy dodatkowe metody identyfikacji potwierdzą wiarygodność klienta, czyli zgodność profilu behawioralnego klienta z jego urządzeniem, to można bez dodatkowej weryfikacji zrealizować transakcję, a co za tym idzie zwiększyć User Experience klienta z korzystania z danego portalu.
Biometria nie ma na celu tylko zwiększenia atrakcyjności banku dla klientów, ale jej kluczowym zadaniem jest lepsza ochrona, wygoda w obsłudze, niezależnie od rodzaju kanału kontaktu, oraz zwiększenie i zautomatyzowanie procesu uwierzytelniania klientów. Systemy bezpieczeństwa bazujące na biometrycznym profilowaniu klientów i ich urządzeń mają przede wszystkim chronić środki finansowe klientów, zgromadzone na rachunkach bankowych. Wykorzystywane przez przestępców luki w zabezpieczeniach (co dotyczy w szczególności urządzeń końcowych klientów) służą do przejmowania danych logowania (loginu i hasła) oraz danych pozwalających np. uzyskać duplikat kart SIM, co umożliwia przestępcom kradzież środków klientów. Niejednokrotnie wykorzystywane są także różne socjotechniki do pozyskania tego typu danych (telefon z rzekomego banku mówiący o awarii i konieczności podania danych logowania, czy np. przeczytanie kodu z otrzymanego SMS).
Mniejsze ryzyko banku, większe bezpieczeństwo klienta
Zgodnie z orzecznictwem sądowym to na bankach, jako posiadających większe możliwości technologiczne, coraz bardziej zaczyna spoczywać obowiązek zabezpieczania pieniędzy klienta. W przypadku wdrożenia dodatkowych mechanizmów wspominanych powyżej, możliwe jest przeciwdziałanie kradzieży środków dzięki szybkiej detekcji niepożądanych zdarzeń, a co za tym idzie minimalizowanie kosztów operacyjnych zarówno obsługi incydentów, jak również wypłaconych ewentualnych odszkodowań dla klientów.
W dostarczaniu usług pozwalających na wdrażanie zabezpieczeń specjalizuje się Biuro Informacji Kredytowej, które posiada największy zbiór danych kredytowych w Polsce, pochodzący z całego sektora bankowego zarówno o klientach indywidualnych i przedsiębiorcach, a także z obszaru pożyczek pozabankowych. BIK bacznie obserwuje i aktywnie podąża w stronę nowatorskich rozwiązań. Specyfiką BIK jest stały proces przemian technologicznych. Współpracując z nowoczesnym sektorem bankowym i pożyczkowym, BIK służy swoim klientom ponad 20-letnim doświadczeniem w dostarczaniu informacji, których celem jest m.in. minimalizowanie ryzyka kredytowego. Ponadto BIK od kilku lat z sukcesami rozwija także narzędzia antyfraudowe.
Systemy oferowane przez BIK zapewniają efektywną wymianę informacji pomiędzy poszczególnymi instytucjami, pozwalając zarazem redukować ryzyko i jego koszty. Właśnie od efektywnej wymiany informacji o stwierdzonych nadużyciach lub ich próbach, zależy szybkie ujawnienie niepożądanych zdarzeń. Produkty oferowane przez BIK w tym obszarze są dostosowane do wymogów prawnych, obowiązujących na rynku polskim, co również minimalizuje koszty wdrożenia i ewentualnego dostosowania systemów.
Podążając za innowacyjnymi rozwiązaniami, Biuro Informacji Kredytowej podjęło prace nad technologią biometrii behawioralnej w kontekście bezpiecznego uwierzytelniania klientów w kanałach zdalnych, a także systemowego gromadzenia i wykorzystania informacji o klientach. BIK, który dostarcza informacje ograniczające ryzyko kredytowe, od kilku lat z sukcesami rozwija także narzędzia, pozwalające na ograniczanie ryzyka operacyjnego.
W ramach produktów i usług antyfraudowych, kierowanych do instytucji finansowych, BIK oferuje także produkty bezpośrednio dla konsumentów. Warto wskazać na Alerty BIK, informujące o składanych zapytaniach kredytowych przez instytucje finansowe, które pozwalają na szybką reakcję w przypadku, gdy dana osoba nie wnioskuje o produkt kredytowy.
Zespół ekspertów zajmujących się produktami antyfraudowymi w BIK posiada olbrzymie doświadczenie i każdorazowo wspiera poszczególne instytucje we wdrażaniu rozwiązań, proponując najbardziej sprawdzone i efektywne metody antyfraudowe.