Raport Specjalny | Bezpieczeństwo Banków | Wyścig technologiczny nie jest panaceum na wszystkie problemy
Nowości technologiczne stosowane są zarówno po jasnej, jak i ciemnej stronie mocy. Czy instytucje finansowe i organy ścigania dotrzymują kroku kreatywności przestępców?
– To kwestia niezwykle trudna do oceny. O ile od administracji publicznej, czy legalnie działających firm, możemy oczekiwać, że informacje nieobjęte klauzulą tajności będą podawane do publicznej wiadomości, to przestępcy co do zasady nie ujawniają swych planów czy metod działania. Jeżeli powstaje jakaś metoda ataku i dowiaduje się o niej opinia publiczna, to z reguły są to sytuacje spektakularne, np. jeśli sprawcy włamują się do Pentagonu, fałszują kryptowaluty bądź dokonują wyłudzeń na wielką skalę.
Tak naprawdę najtrudniejsze są te przypadki, kiedy przestępcy postępują w sposób bardzo delikatny, chociażby zbierając informacje. Dzisiaj przestępstwa wymierzone w sektor finansowy to nie tylko okradanie klientów, czy samych instytucji, ale również, a może przede wszystkim, zbieranie informacji o przepływach finansowych, które też mają swoją cenę. Żeby odpowiedzieć na pytanie, jaki jest stan świadomości cyberprzestępców, trzeba by tak naprawdę do nich dołączyć, jednak w takiej sytuacji z oczywistych przyczyn byśmy nie upubliczniali wiedzy na ten temat. Taka jest logika działania – bez względu na to, czy stoję po jasnej, czy ciemnej stronie mocy, odpowiem panu to samo.
Do jakiego zatem stopnia rozwiązania technologiczne, w szczególności te bazujące na sztucznej inteligencji, są w stanie zwiększyć poziom bezpieczeństwa klientów instytucji finansowych i usług płatniczych, zwłaszcza jeśli weźmiemy pod uwagę, iż gros ataków na użytkowników końcowych bazuje nie tyle na lukach w systemach, ile podatności psychologicznej czynnika ludzkiego?
– W kontekście sztucznej inteligencji można osiągnąć dwa efekty. Pierwszym jest polepszenie sytuacji klientów poprzez wdrażanie przez instytucje finansowe coraz bardziej zaawansowanych systemów monitorujących. Działania w tym zakresie mają w sektorze długą tradycję, natomiast rozszerzanie możliwości algorytmicznych sprawia, że można wychwycić więcej podejrzanych sytuacji. Mam tu na myśli nie tylko zapobieganie fraudom w instytucjach finansowych, ale też monitorowanie ruchu w sieci, przeciwdziałanie szpiegostwu przemysłowemu czy wykrywanie wszelkiego rodzaju malware. Sztuczna inteligencja jest w stanie znacząco poprawić efektywność procedur monitorowania.
Po drugiej stronie mamy do czynienia z działaniami podejmowanymi przez świat przestępczy, angażujący AI w tworzenie coraz skuteczniejszych metod oszukańczych. Klasycznym przykładem może być ewolucja tzw. nigeryjskiego szwindlu – z początku mieliśmy do czynienia z dość prymitywnym przekazem, z reguły wyłącznie w języku angielskim, potem pojawiły się słabej jakości tłumaczenia na poszczególne języki narodowe. Dziś przestępcza korespondencja jest na tak wysokim poziomie, że faktycznie mogą się na nią złapać nie tylko osoby łatwowierne. Za tak wysokim poziomem tłumaczenia, jak również za generowaniem konwersacji z użytkownikami stoją rozwiązania technologiczne.
Można założyć, że wraz z rozwojem technologii będziemy mieć coraz większy problem, żeby stwierdzić, czy po drugiej stronie nie mamy do czynienia z człowiekiem. Automatyczny przeciwnik będzie coraz doskonalszy, a przy równoczesnym spadku cen tego typu rozwiązań IT coraz częściej będziemy zasypywani pozornie wiarygodnymi mailami czy informacjami. W tym kontekście edukowanie klienta będzie mocno niewystarczające, gdyż nikt nie nadąży, by przekazywać w takim tempie ostrzeżenia przed kolejnymi strategiami oszustw, a nawet jeśliby się to udało, to wciąż mamy do czynienia z elementem zaufania do określonych osób. Kiedy dzwoni do nas stały doradca finansowy, którego głos doskonale znamy, albo co gorsza uczestniczymy w wideokonferencji z tym człowiekiem, nie sposób a priori zakładać, że możemy mieć do czynienia z usiłowaniem wyłudzenia. Tymczasem wykorzystanie technologii deep fake sprawia, że takie zagrożenie staje się jak najbardziej realne.
Zresztą z podobnym problemem mamy do czynienia w przypadku fałszowania dokumentów. OK, być może odpowiednio przeszkolony kasjer w banku wyłapie większość fałszywek, ale jeśli weźmiemy pracownika wypożyczalni rowerów czy kajaków, który na podstawie dowodu tożsamości weryfikuje klienta, to istnieje prawdopodobieństwo graniczące z pewnością, że on naprawdę nie wie, czy okazany dowód osobisty jest fałszywy, czy autentyczny. Skoro przy tak trywialnych sytuacjach, jak rozpoznawanie dokumentów tożsamości, większość osób wciąż ma problem z właściwą oceną, to tym bardziej nie sposób sprawić, by przeciętny konsument poradził sobie z rozpoznaniem oszukańczego bota, wspieranego sztuczną inteligencją.
Tyle że do tej pory mieliśmy do czynienia z pewnym naturalnym stopniowaniem ryzyka. Kradzież roweru z wypożyczalni z użyciem fałszywego dokumentu była dla jej właściciela stratą, ale nie katastrofą. Z kolei w przypadkach poważniejszych, gdzie wchodziły w grę olbrzymie sumy pieniędzy, jak w bankach czy na rynku kapitałowym, dowody tożsamości sprawdzali wykwalifikowani pracownicy, dysponujący odpowiednim sprzętem. Dlaczego w dobie sztucznej inteligencji ten model miałby się nie sprawdzić?
– Jak już wcześniej wspomniałem, zmieniła się technologia, i to diametralnie. Postęp, zarówno po stronie fałszerzy, jak i wykrywania fałszerstw, wymaga stałego podnoszenia poziomu świadomości technicznej, tymczasem to właśnie człowiek jest najsłabszym elementem tego wyścigu, bardzo często nie jest on w stanie dotrzymać kroku rozwiązaniom IT. Dlatego konsument siłą rzeczy będzie miał coraz bardziej ograniczone możliwości zrozumienia tego, co się dzieje, tymczasem wszystkim nam chodzi o to, żeby ten konsument nie był poszkodowany. Można wskazać segmenty rynku finansowego, które sobie lepiej czy gorzej poradziły z tym wyzwaniem. Swego czasu mieliśmy wysyp fałszywych sklepów internetowych, które służyły wyłudzaniu pieniędzy za zamawiane towary, organa ścigania zwalczały oczywiście ten proceder, ale przy olbrzymiej jego skali było to niczym walka z wiatrakami. Tymczasem znaleziono bardzo proste rozwiązanie, w postaci zaufanej strony trzeciej. Stąd tak wielki sukces platform sprzedażowych, które zapewniają gwarancję bezpieczeństwa jako swoistą wartość dodaną. Jeśli kupujemy cokolwiek na takim marketplace, to sprzedawca otrzymuje środki dopiero po faktycznym wywiązaniu się z transakcji, a klient korzysta z ochrony w ramach licznych programów bezpieczeństwa.
Strata kilkuset czy nawet kilku tysięcy złotych w wyniku oszukańczej transakcji jest jednak znacznie mniejszym problemem aniżeli kradzież tożsamości, kiedy to możemy utracić nie tylko oszczędności życia, ale też zorientować się, że na nasze konto ktoś zaciągnął kredyty na setki tysięcy czy nawet miliony złotych. Które rozwiązania IT w nadchodzących latach będą stanowić najskuteczniejszą tarczę przed tworzeniem naszego alter ego przez zorganizowane grupy przestępcze?
– Takim skutecznym rozwiązaniem będzie bez wątpienia wprowadzenie jednolitego europejskiego dokumentu tożsamości. Jego warstwa techniczna jest olbrzymim krokiem naprzód w porównaniu do rozwiązań dotychczasowych, radykalnie ograniczając możliwość fałszowania. Rzecz w tym, że nie wykorzystujemy wszystkich możliwości, jakie daje ta technologia. Kwestią sporną było chociażby, w jakim celu zostaną użyte odciski palców zawarte w tym dokumencie, które mają charakter danych wrażliwych. Oczywiście, te odciski palców można pozyskać w inny sposób, choćby podając komuś szklankę wody, jednak ich wykorzystanie przez instytucje finansowe stwarza pewne ryzyko. Jeśli chcemy otworzyć konto, zaciągnąć duży kredyt albo uwierzytelnić się u notariusza podczas zakupu nieruchomości, używając odcisków palców, to jest to bez wątpienia wygodne, jednak należy rozważyć, co się stanie, jeśli te dane zostaną przejęte przez osobę niepowołaną, która zacznie się nimi posługiwać w celach niezgodnych z prawem. Który z użytkowników wtedy zostanie ostatecznie rozpoznany jako ten prawdziwy? Przecież notariusz nie jest w stanie sprawdzić odcisków palców. W tym kontekście umożliwienie notariuszom porównania odcisków palców klienta z wzorcami, pobranymi przez instytucje wydające dokument tożsamości, stanowiłoby olbrzymi postęp.
Przypomnę, że użycie na szerzą skalę odcisków palców pojawiło się w związku z wydawaniem wiz, kiedy okazało się, że osoby, ubiegające się o wizę w krajach trzecich, niekoniecznie są tymi, których dane podają. Unia Europejska wykonała pierwszy krok w związku z wizami Schengen, zaczęto pobierać odciski palców, co wpłynęło na ograniczenie posługiwania się cudzymi dokumentami tożsamości. Z podobnego rozwiązania mogłyby przecież korzystać instytucje finansowe, a efektem byłoby wyeliminowanie olbrzymiej liczby fraudów, zwłaszcza w przypadku operacji na większe kwoty.
Równolegle pojawia się pytanie, jak wykorzystywać rejestry danych? I tutaj są dwie koncepcje: albo same rejestry zawierają coraz więcej danych, i dopuszczamy do korzystania z nich pewne kategorie osób. Tyle że formułowanie pytań i odpowiedzi może być wówczas dość trudne. Wystarczy pomylić się w danych adresowych, albo wręcz inaczej zapisać nazwę ulicy, np. z pominięciem imienia czy stopnia wojskowego patrona, i już mamy do czynienia z sytuacją, którą system rozpozna jako inny stan faktyczny. Alternatywną opcją jest ta zawarta w nowym projekcie rozporządzenia eIDAS, która polega na gromadzeniu danych po stronie użytkownika w ramach tzw. European Privacy Wallet.
Ta idea nie pojawia się w Europie znikąd. Jeżeli popatrzymy na systemy bankowe niektórych krajów, to w większości z nich do uwierzytelniania klienta nie wystarczy dokument tożsamości. Niekiedy należy pokazać cztery dowody tożsamości różnej kategorii, np. rachunki za wywóz śmieci z danej miejscowości za ostatnie pięć lat, pokazujące, że ktoś faktycznie tam mieszka. W takiej sytuacji przygotowanie do fraudu jest znacznie bardziej skomplikowane, bo trzeba się uwiarygadniać przez pięć lat.
European Privacy Wallet w założeniu ma być miejscem, gdzie będą przechowywane dane, ale są one trzymane przy orderach. Każdy dysponowałby certyfikatami cyfrowymi, potwierdzającymi pewne fakty, które można by wykorzystywać w zależności od potrzeb. Jeżeli się zbierze wszystkie te elementy razem, będziemy mieli do czynienia z lepszą formułą potwierdzania tożsamości. W pewnym momencie proponowaliśmy, żeby wykorzystywać do tego celu urzędowe potwierdzenia odbioru (UPO) zeznań podatkowych, ponieważ one potwierdzają, że dana osoba istniała dla polskiego systemu podatkowego. Jeżeli więc ktoś kreowałby tożsamość, aby wyłudzić kredyt, to musiałby przez pięć lat płacić podatki, bo bank mógłby go poprosić o pięć urzędowych potwierdzeń odbioru zeznań podatkowych.
Jak w tym kontekście możemy ocenić poziom zabezpieczeń stosowanych w Polsce? I to zarówno w bankowości, jak i zwłaszcza w administracji publicznej, bo wiemy, że usługi publiczne online stały się ostatnio bardzo popularne?
– Uruchomienie dostępu do usług publicznych dzięki profilowi zaufanemu w większości przypadków odbywało się za pomocą banków. To była idea zapożyczona z krajów skandynawskich, żeby mieć jeden punkt zaczepienia i za jego pomocą móc obsługiwać sprawy mające relatywnie niewielką wagę. Rzecz w tym, że sam system ePUAP jest jednak dosyć prowizorycznym rozwiązaniem, co skwapliwie mogą wykorzystywać sprawcy. Przykładowo – jeśli ktoś zgłasza utratę prawa jazdy, to jego tożsamość nie jest zbyt wnikliwie weryfikowana, zwłaszcza gdy dokonuje się to np. w konsulacie. Potem ta sama osoba zgłasza utratę dokumentu tożsamości, uwierzytelniając się otrzymanym wtórnikiem prawa jazdy.
Najgorsze jest to, że obecnie nie do końca wiemy, jaki jest punkt początkowy zaufania w całym systemie. Inaczej wygląda sytuacja, jeżeli pierwszy kontakt nastąpił poprzez osobiste stawiennictwo w określonym miejscu i pobranie odcisków palców, inaczej, jeżeli była to jakaś forma zastępcza. Ufając określonej osobie, my tych danych nie mamy i nie wiemy, co naprawdę zostało zweryfikowane. Oczywiście nie należy odrzucać tych najsłabszych sposobów, ale podejmując decyzję, dobrze byłoby wiedzieć, na jakim poziomie zaufania do określonej tożsamości się znajdujemy. Warto byłoby zbudować system analogiczny do Common Criteria bezpieczeństwa produktów sprzętowych, gdzie mamy poziomy od 1 aż do 7, i na tej postawie decydować, czy daną czynność możemy przeprowadzić przy użyciu sprzętu sklasyfikowanego na odpowiednim poziomie. Jeśli ktoś np. uwierzytelnił się tylko telefonicznie, to wydanie karty debetowej nie będzie jakimś szczególnie dużym ryzykiem, ale udzielenie wysokokwotowego finansowania już tak.
Sektor bankowy bardzo podkreśla znaczenie wymiany informacji. Na ile tego rodzaju działania pozwalają kreować bezpieczny, cyfrowy świat i przeciwdziałać elektronicznej przestępczości?
– To bardzo trudne wyzwanie, ponieważ nieskrępowana wymiana informacji jest szalenie niebezpieczna. Nawet gdy mamy do czynienia z instytucjami zaufania publicznego, to w dalszym ciągu obowiązuje złota zasada minimalizacji danych. Zawsze istnieje prawdopodobieństwo, że system w określonym miejscu okaże się nieszczelny, wówczas chcemy, żeby ewentualne konsekwencje były ograniczone tylko do tego miejsca. Jeżeli mamy do czynienia z bezpośrednim i szybkim przepływem danych, to nierzadko nie jesteśmy w stanie go zatrzymać. Tu znowu przypomnę podejście ujęte w eIDAS, gdzie metadane tak naprawdę są po stronie użytkownika. Wówczas ryzyko, związane z udostępnieniem danych określonym podmiotom, w tym wymiana tych zasobów między różnymi instytucjami, spoczywa po stronie osoby, której dane dotyczą – pacjenta, interesanta czy klienta sektora bankowego. Technologicznie da się to zrobić, bo wystarczy zrealizować European Privacy Wallet.
Rzecz w tym, że współczesny konsument nie chce rezygnować z wygody i prostoty obsługi różnych produktów, utożsamianej z hasłem one click. Czy zatem możliwe jest zapewnienie produktów i usług, które byłyby bezpieczne i zarazem spełniały tak wygórowane oczekiwania odnośnie prostoty obsługi, a może trzeba sobie w którymś momencie powiedzieć, że jest to utopia, i ceną za bezpieczeństwo musi być pewne ograniczenie łatwości korzystania z takich usług, jak finansowe?
– Uważam, że konsument ma prawo domagać się prostych i intuicyjnych usług, które poniekąd są już w pewnym stopniu realizowane. Największym grzechem obecnych systemów jest konieczność uczenia się obsługi całkiem nowych rozwiązań przy zmianie usługodawcy, nawet kiedy mówimy o tak skomodytyzowanych usługach, jak finansowe. Znacznym wsparciem dla konsumenta byłoby, gdyby dostawcy usług porozumieli się w ramach danej branży, i ustalili jakieś wspólne reguły, by zmniejszyć uciążliwość dla użytkownika. Ten problem nie dotyczy wyłącznie osób z niskimi kwalifikacjami technologicznymi, można wskazać wiele przypadków, gdzie ktoś jest za pan brat z technologią, a i tak przesiadka z jednego modelu telefonu na inny, nawet używający tego samego systemu operacyjnego, stanowi dlań niemałe wyzwanie – np. przez brak czasu na zaznajomienie się z nowym interfejsem. To samo z usługami finansowymi.
Nikt nie oczekuje, by banki rywalizowały, który z nich zaprojektuje lepszą aplikację czy stronę WWW, albo jaki będzie nowy układ graficzny zmienionej aplikacji. Wychodząc ze szkoły podstawowej, konsument powinien nauczyć się, jak obsługiwać konto bankowe i w zasadzie z tą wiedzą dojść aż do emerytury. Oczywiście technologie się zmieniają, i to trzeba uwzględniać w produktach, ale tylko wówczas, gdy jest to absolutnie niezbędne, np. ze względów bezpieczeństwa, albo naprawdę ułatwia życie użytkownikowi. Poszukiwanie prostych rozwiązań może się opłacić nie tylko klientowi, ale i dostawcy usług. Podam przykład biletów komunikacji miejskiej, aktywowanych przez kod QR. Wprowadzenie tego schematu znacząco ogranicza wydatki przewoźników miejskich na zakup urządzeń do zakupu i obsługi e-biletów, które dodatkowo powinny być odpowiednio certyfikowane, serwisowane itp. W ten prosty sposób gdzieniegdzie udało się osiągnąć nawet znacznie lepszy efekt, ograniczając zarazem wydatki. Myślę, że współczesny klientocentryzm powinien uwzględniać i takie potrzeby, sam wyścig technologiczny nie jest panaceum na wszystkie problemy.