Raport Specjalny. Bezpieczeństwo Banków: Kradzieże tożsamości cyfrowej. IBM i Advatech o skutecznych sposobach ochrony
Nowe przepisy PSD2 mają na celu otwarcie rachunków płatniczych klientów banków dla podmiotów trzecich, które otrzymają dostęp do systemów bankowych. Dzięki temu firmy te będą mogły zweryfikować stan konta klienta i wykonać w jego imieniu transakcję.
Aby pomóc organizacjom w spełnieniu wymagań PSD2, IBM oferuje oparty na analizie ryzyka system kontroli dostępu, który łączy w sobie silne mechanizmy uwierzytelniania klienta, dokładny wgląd w tożsamość cyfrową oraz zrozumienie aktywności w różnych kanałach elektronicznych. Pozwala to na odróżnienie prawdziwych klientów od oszustów.
Kradzieże tożsamości cyfrowej to coraz większy problem
Hubert Ortyl, Business Development Manager Security Solutions z firmy Advatech, zauważa, że zagrożenie związane z przejmowaniem tożsamości cyfrowej w ostatnim czasie wyraźnie narasta.
– Jest nie tylko coraz więcej takich przypadków, ale wzrasta też wiedza cyberprzestępców na temat sposobów ataków, łączących socjotechnikę z różnego rodzaju szkodliwym oprogramowaniem. Jednym ze sposobów jest tzw. kompromitacja adresu mailowego polegająca na tym, że do pracownika pisze ktoś, kto podaje się na przykład za prezesa firmy. Nagłówek maila wygląda bardzo wiarygodnie, pracownik zaczyna się denerwować, nie zwraca uwagi na szczegóły, traci czujność i wysyła oszustowi informacje, chociaż nie powinien – opowiada Hubert Ortyl.
Innym częstym przypadkiem jest przejęcie kontroli nad mailem, podmiana jego treści albo załącznika, czy podmiana linków. – Problemem z tego obszaru są na przykład fałszywe maile udające wiadomości z banków, w których klienci proszeni są o dodatkowe logowanie do serwisu bankowego czy wykonanie operacji potwierdzonej SMS-em. To jeden ze sposobów na przejęcie sesji logowania, w efekcie czego użytkownik podaje przestępcom bardzo wrażliwe informacje. A stąd już tylko krok do utraty pieniędzy – tłumaczy Hubert Ortyl.
W związku z nowymi zagrożeniami banki wprowadzają metody weryfikacji tożsamości oparte na biometrii oraz analizie zachowania użytkowników. Chodzi o poświadczenie, że osoba, która za kogoś się podaje, nie kłamie, a dodatkowo ma prawo do wykonywania operacji, którą próbuje wykonać. Platforma IBM Trusteer została zaprojektowana właśnie po to, aby pomóc firmom w szybkim i skutecznym weryfikowaniu tożsamości cyfrowej. Usługa świadczona jest w modelu SaaS (software as a service). Klient kupuje do niej dostęp i uruchomienie IBM Trusteer nie wymaga z jego strony innych inwestycji.
Warto podkreślić, że PSD2 kładzie duży nacisk na łatwość używania usług internetowych przez klientów końcowych przy jednoczesnym zapewnieniu wysokiego poziomu bezpieczeństwa. – Te dwa trendy dotąd były trudne do realizacji, bo albo coś było łatwe w obsłudze, albo było bezpieczne. Narzędzia IBM Trusteer są przezroczyste dla użytkownika końcowego, możemy więc zbudować rozwiązanie jednocześnie łatwe i bezpieczne – mówi Michał Wawrzyński, Senior Sales Representative CEE w IBM.
Sztuczna inteligencja sprawdza tożsamość cyfrową
Aby rozpoznanie oszustów albo botów było szybkie i skuteczne, trzeba błyskawicznie analizować ogromne ilości danych z różnych źródeł. Dlatego wykorzystuje się do tego narzędzia oparte na sztucznej inteligencji.
– Ważnym źródłem informacji jest analiza standardowego zachowania użytkownika. Jeśli zwykle dokonuje on przelewów po 100 zł, a nagle wystawia zlecenie na kilka tysięcy i robi to na innym kontynencie, z dużym prawdopodobieństwem należy podejrzewać, że coś jest nie tak. Powinien wtedy nastąpić na przykład telefon z banku z prośbą o potwierdzenie chęci wykonania transakcji – opowiada Hubert Ortyl z Advatechu.
IBM Trusteer analizuje bezpieczeństwo z wielu perspektyw. – Patrzymy na takie atrybuty, jak adres, strefa czasowa, geolokalizacja i inne. Korzystamy z biometryki behawioralnej, czyli sprawdzamy np., z jaką częstotliwością i siłą użytkownik naciska klawisze klawiatury albo ile czasu spędza na poszczególnych stronach. Analizujemy też urządzenie, z którego korzysta dana osoba, czy jest ono bezpieczne, czy nie zostało zainfekowane złośliwym oprogramowaniem. Patrzymy również na środowisko sieciowe. Na rynku jest wiele rozwiązań, które opracowują te poszczególne aspekty, ale Trusteera wyróżnia to, że łączy je wszystkie, przez co dostarcza kompletny obraz na temat użytkownika – mówi Michał Wawrzyński z IBM.
Ważne jest też to, że dane analizowane są w czasie rzeczywistym i gdy klient – np. bank albo firma ubezpieczeniowa – zapyta o ocenę ryzyka związanego z danym użytkownikiem, dzięki IBM Trusteer dostanie możliwie najświeższe informacje.
Banki, ubezpieczyciele, e-commerce – bardzo wrażliwe branże
W związku z dyrektywą PSD2 sektor bankowy powinien być szczególnie zainteresowany nowoczesnymi rozwiązaniami dotyczącymi weryfikacji tożsamości cyfrowej. Ale narzędzia takie jak IBM Trusteer już teraz znajdują znacznie szersze zastosowanie.
– Rozmawiamy o wszystkich branżach, które posługują się portalami internetowymi lub aplikacjami w kontakcie ze klientami końcowymi. W szczególności myślę o całej branży e-commerce, a także o ubezpieczycielach. Ci drudzy mocno rozwijają kanały cyfrowe, umożliwiając klientom nie tylko zakup polis tą drogą, ale też transfery pieniędzy, np. w ramach funduszy inwestycyjnych. Warto wspomnieć również o liniach lotniczych, które stają się ostatnio ofiarami ataków na programy lojalnościowe. Oszuści zaczęli wykradać dane użytkowników po to, żeby korzystając z ich punktów kupować bilety czy inne towary – mówi Michał Wawrzyński z IBM.
Problem weryfikacji tożsamości cyfrowej dotyka także sektora zdrowotnego i firm, które gromadzą bardzo wrażliwe dane oraz dają do nich dostęp klientom za pomocą np. portali czy aplikacji mobilnych. – Najbardziej wrażliwe są te dane, które po przejęciu można spieniężyć, czyli np. dane kart kredytowych, dane ubezpieczonych albo numery dowodów osobistych. Cyberprzestępcy handlują takimi informacjami, dlatego tego rodzaju kradzieże są dla nich szczególnie atrakcyjne – przyznaje Hubert Ortyl z Advatechu.
Bezpieczeństwo danych w bankach, czyli nowoczesny hardware
Oprócz bezpiecznej sieci, ważnym filarem działalności banków jest też zabezpieczenie danych na urządzeniach. – W tym przypadku najważniejsza jest analiza informacji w czasie rzeczywistym, aby błyskawicznie wykrywać oszustwa. Pomocne mogą być tu rozwiązania IBM Spectrum Scale i IBM FlashSystem, dzięki którym można szybciej reagować na zmiany w fałszywych wzorcach aktywności. Poprzez sztuczną inteligencję i zaawansowaną analitykę można modernizować infrastrukturę danych, by w pełni wykorzystać posiadane zasoby – tłumaczy Hubert Ortyl.
Rozwiązania IBM FlashSystem, dzięki szybkim odpowiedziom i analizie zagrożeń w czasie rzeczywistym, przekształcają tradycyjny sposób zarządzania danymi. Macierze IBM Storwize realizują natomiast szyfrowanie wewnątrz urządzenia oraz w warstwie zarządzania IBM Spectrum Virtualize, co tworzy kompletną ochronę w tym obszarze procesu biznesowego.
– Dostarczana przez IBM infrastruktura zdefiniowana programowo (Software Defined Infrastructure), wraz z rozwiązaniami pamięci masowej, pozwala 49 z 50 największych banków świata na szybki dostęp do danych, ich analizę i udostępnianie – w siedzibie i w chmurze – dla operacji front-to-back office. Oprócz niezawodności, skalowalności i nawet 100-krotnie wyższej wydajności w przypadku krytycznych analiz biznesowych, inteligentne rozwiązania pamięci masowych IBM mogą efektywnie chronić i przenosić dane, gdy jest to potrzebne. Rozwiązania obsługują obciążenia wszystkich typów, w tym duże zbiory informacji, sztuczną inteligencję i głębokie uczenie – dodaje Hubert Ortyl z Advatech.
Znaczenie dyrektywy PSD2
PSD2 określa wymagania bezpieczeństwa w trzech kluczowych obszarach, którymi są: zabezpieczenie interakcji klienta z zewnętrznymi dostawcami i bankami (opisane wyżej), zabezpieczenie transakcji API i administracji kont oraz monitorowanie transakcji. W każdym z tych obszarów odpowiednie narzędzia zapewnia platforma IBM Trusteer.
Michał Wawrzyński z IBM tłumaczy, że część z tych działań banki podejmują już dzisiaj, ale często pracują na bazie analizy danych historycznych. – Dzięki IBM Trusteer jesteśmy w stanie monitorować transakcje i związane z nimi procesy w czasie rzeczywistym. Wyróżnia nas też to, że działamy na skalę globalną, w porozumieniu z konsorcjum bezpieczeństwa, które dysponuje gigantyczną bazą wiedzy na temat współczesnych zagrożeń, przez co potrafimy je lepiej identyfikować i zwalczać – dodaje Michał Wawrzyński.