Raport Specjalny | Cyberbezpieczeństwo – NASK | Biometria behawioralna i AI kształtują przyszłość bezpieczeństwa bankowości?
Aleksandra Żurek
STARSZY SPECJALISTA DS. WSPARCIA ROZWOJU PRODUKTÓW I USŁUG PION TRANSFERU TECHNOLOGII NASK – PAŃSTWOWY INSTYTUT BADAWCZY
Banki przeprowadzają miliony transakcji dziennie, które trzeba sprawdzać. Algorytmy, szukając anomalii, biorą pod uwagę coraz więcej scenariuszy, bo spektrum przestępstw bazowych rozszerza się w zastraszającym tempie. Ataki phishingowe, malware, ransomware, 0-day, cyberataki na infrastrukturę IT, kradzieże danych i social engineering, to tylko niektóre z nich. Lista zagrożeń rośnie i stanowi poważne ryzyko dla bezpieczeństwa zasobów i danych klientów oraz stabilności systemów bankowych. Przestępcy są zawsze krok przed nami. Ten wyścig trwa i możliwe, że nie uda się nam uzyskać znaczącej przewagi, ale na pewno możemy zminimalizować dystans, który kosztuje banki i klientów zbyt wiele.
Mieszanka wybuchowa – AI i zróżnicowane źródła danych
Sztuczna inteligencja jest niczym jin i yang. W rękach nieodpowiednich osób stanowi zagrożenie.
Wykorzystana w dobrym celu staje się tarczą przeciwko niemu. AI odgrywa obecnie znaczącą rolę w zapobieganiu i reagowaniu na incydenty bezpieczeństwa w bankowości. Może analizować duże zbiory danych w czasie rzeczywistym oraz sprawnie wykrywać i agregować wzorce ataków. Algorytmy AI pozwalają na automatyzację działań związanych z reakcją na wykryte zagrożenia, co daje bankom przewagę. Globalne bazy sygnatur umożliwiają opracowanie prostych modeli uczenia maszynowego, z drugiej jednak strony prawdziwym wyzwaniem są nowe, niesklasyfikowane zagrożenia i ukryte zamiany w kodzie, w tym tzw. 0-day. Czy można uchronić organizacje przed czymś, co nie zostało rozpracowane przez żaden system chroniący? Tak, ale wymaga to użycia nowatorskiego narzędzia, które zasilimy informacjami o różnym typie potencjalnego ryzyka. Jest to osiągalne, jeśli połączymy sztuczną inteligencję z obszernym źródłem heterogenicznych danych.
W Państwowym Instytucie Badawczym NASK aktualizujemy bazy sygnatur 24/7. Opieramy się na wielopoziomowej analizie zagrożeń – technicznej, behawioralnej oraz kontekstowej – w oparciu o wiele zróżnicowanych źródeł danych, jak m.in. Darknet, honeypot, sinkhol, spampot, samtrap oraz inne otwarte i zamknięte źródła monitorowania nieindeksowanych warstw internetu (Deep i Dark Web). Informacje są przetwarzane w taki sposób, aby umożliwić, powstałemu w NASK systemowi BotSense, bezsygnaturowe wykrywanie złośliwych ingerencji nawet 10–20 dni przed tym zanim zostaną one odnotowane w globalnych bazach sygnatur. Odpowiadający za to moduł Malware Hunter AI pozwala wcześniej wejść na poziom operacyjny i zminimalizować straty.
Spersonalizowane bezpieczeństwo, czyli biometria behawioralna
Mimo wysokiej skuteczności narzędzi, takich jak BotSense Malware Hunter AI, nadal ogromny odsetek fraudów stanowią ataki socjotechniczne lub przejęcia kontroli dostępów. Odpowiedzią na ten typ zagrożenia jest biometria behawioralna, która jest pasywną formą uwierzytelniania. Bazuje na zbudowaniu profilu interakcji i zachowania klienta z jego urządzeniem. Jeśli ten wzorzec się zmieni, np. w efekcie przejęcia urządzenia przez przestępców, w tym zdalnego sterowania czy manipulacji, system wykryje te zmiany i zaalarmuje bank. Działania przestępców zostaną zablokowane. A jeśli klient działa na swoją niekorzyść, nieświadomie słuchając instrukcji oszusta, taka zmiana również zostanie wykryta.
Pamięć mięśniowa nie działa tak samo w stresie, dlatego ruch użytkownika będzie różnił się od dotychczasowego. W tym przypadku prawdopodobnie pojawią się chwilowe blokady i spowolnienia, które umożliwią zatrzymanie rozpędzonej akcji socjotechnicznej. Te momenty, w których użytkownik traci płynność swoich działań, pozwalają na ponowne uruchomienie obszarów w mózgu odpowiadających za racjonalne myślenie. W sytuacji zagrożenia, potęgowanej przez stres i pośpiech, logika jest wyciszana, aby oszczędzić energię i przekierować organizm na szybkie działanie. Dlatego niezależnie od poziomu świadomości, praktycznie każdy może stracić czujność i poddać się manipulacji. Cyberprzestępcy doskonale o tym wiedzą.
Gdy biometria behawioralna w systemie bankowym wykryje zmianę zachowania użytkownika i podejrzewa potencjalny fraud, zazwyczaj uruchamiane są procedury zapobiegawcze mające na celu zabezpieczenie konta i środków użytkownika. System bankowy może poprosić użytkownika o dodatkową weryfikację tożsamości, monitorować transakcje, zablokować chwilowo dostęp do usługi lub skontaktować się z właścicielem konta bezpośrednio. O podjętych krokach decyduje bank, a proces jest automatyzowany na podstawie ustawień stopniowania alertów. System BotSense pozostaje przy tym przeźroczysty dla użytkownika chronionej aplikacji, a jednocześnie jest ukrywany przed złośliwymi oprogramowaniem, aby nie wykryło ono jego działania. Jego kod ukrywany jest przy użyciu specjalistycznych technik, dobieranych i konfigurowalnych po stronie serwera.
Najlepsze systemy to te, które przetwarzają odpowiednią ilość informacji o wysokiej jakości. Warto zwiększać świadomość wśród użytkowników i podkreślać, że analiza behawioralna nie zbiera danych wrażliwych. A pozyskiwane informacje są natychmiast szyfrowane i maskowane. Dlatego wyrażenie zgody na pozyskiwanie i analizowanie danych behawioralnych działa na korzyść klientów bankowości. W przypadku modułu Biometrii Behawioralnej w systemie BotSense pozyskujemy tylko informacje o tym, jak użytkownik wchodzi w interakcje ze swoim urządzeniem. Mówimy tutaj o sposobie, w jakim klient posługuje się myszką i klawiaturą, o dynamice tych ruchów czy nawet sposobie, w jaki urządzenie jest trzymane w dłoni. W rezultacie otrzymujemy unikalny wzór zachowania użytkownika. Sama taka informacja nie pozwoli zidentyfikować, kogo ona dotyczy. Dopiero połączenie informacji i wskazania zagrożonego konta podczas zaistniałego w bankowości incydentu pozwalają na skorzystanie z tych wzorców. Nie ma tutaj zatem mowy o klasycznym profilowaniu.
Inaczej mówiąc, wiedząc, że sprawa dotyczy Jana Kowalskiego, zapis behawioralny ma ogromne znaczenie przy weryfikacji, jednak bez tej informacji to tylko nic nieznacząca sekwencja ruchów. Klient banku zyskuje w tej sytuacji transparentne dla niego narzędzie, które przy każdym użyciu sprawdza czy jest on bezpieczny. Choć gromadzenie danych to booster dla wszystkich systemów opartych na AI, to problem z uzyskaniem zgodny na ich gromadzenie jest powszechnie znany. Wyróżnikiem systemu BotSense jest to, że dane analizowane i zapisywane są jedynie na urządzeniu końcowym użytkownika, bez ich przechowywania na serwerach BotSense – tam sprawdzana jest tylko ich integralność. Tworzy to pomost między potrzebą korzystania z zaawansowanych metod weryfikacji użytkownika a realiami bankowości.
Metody, które omówiliśmy powyżej, zarówno Malware Hunter AI jak i biometria behawioralna mają też społeczny wydźwięk. Instytucje finansowe są zobowiązane do zapobiegania, monitorowania i zgłaszania potencjalnych naruszeń organom walczącym z finansowymi przestępstwami. Każda wykryta, przetworzona i odnotowana informacja o potencjalnym ataku lub istniejącym zagrożeniu, stanowi siłę napędową do walki z nimi. Pozwalają nam tworzyć lepsze systemy i szybciej reagować na anomalie. Kształtujemy przyszłość bezpieczeństwa bankowości i możemy zmniejszyć dysproporcję między nami a cyberprzestępcami w tym cyfrowym wyścigu.
