Raport Specjalny | IT@BANK 2022 – BIK SA | Bezpieczny klient, bezpieczny bank dzięki biometrii behawioralnej?
Dlaczego Biuro Informacji Kredytowej zainteresowało się biometrią behawioralną i kupiło od mBanku firmę technologiczną dysponującą tą technologią?
– BIK, poza swoją podstawową działalnością polegającą na gromadzeniu i udostępnianiu informacji na temat zobowiązań kredytowych, od kilku lat rozwija rozwiązania antyfraudowe dla całego sektora bankowego.
Aktualnie udostępniamy klientom dwie platformy antyfraudowe. Platforma Antyfraudowa PAF – to sektorowy system do prewencji wyłudzeń w obszarze kredytowym dla klientów indywidualnych jak i firm, w tym firm leasingowych i faktoringowych. Z tego rozwiązania korzystają już 23 instytucje. W tej grupie są wszystkie banki z pierwszej dziesiątki i ciągle dołączają kolejne.
Sektorowa Platforma Antyfraudowa PAF od początku swojego działania zatrzymała już wnioski kredytowe na kwotę blisko pół miliarda złotych oznaczonych jako próby wyłudzenia. To jest wymierna korzyść dla całego sektora finansowego.
Drugie nasze sektorowe rozwiązanie służące ochronie i przeciwdziałaniu nadużyciom w kanałach online, które cały czas rozwijamy, to platforma Cyber Fraud Detection. To rozwiązanie analizuje urządzenia końcowe klientów. Z Platformy CFD korzysta 15 instytucji. W ramach platformy wymieniane są informacje i ostrzeżenia pomiędzy uczestnikami platformy o podejrzanych urządzeniach.
Gdzie tu jest miejsce na biometrię behawioralną?
– Patrząc na przyśpieszoną digitalizację procesów, która miała miejsce w ostatnim czasie i widząc, że jest coraz więcej transakcji w kanałach online oraz fakt, że niestety przestępcy także przenieśli się do kanałów elektronicznych, zastanawialiśmy się, jak jeszcze skuteczniej chronić instytucje finansowe i ich klientów.
Każdy wprowadzany nowy elektroniczny kanał dostępu dla klientów jest testowany i atakowany przez cyberprzestępców. Ponad 50% ataków jest nakierowanych na kradzież tożsamości przy wykorzystaniu różnych metod socjotechnicznych, takich jak phishing, malware.
To powoduje, że przy realizacji transakcji nie wystarczy już proste zabezpieczenie typu login i hasło do bankowości elektronicznej czy mobilnej. Wymagana jest ciągła weryfikacja transakcji już po zalogowaniu się użytkownika w oparciu o dodatkowe mechanizmy, faktory uwierzytelniające klienta i jego transakcję.
Odpowiedzią na tą potrzebę jest właśnie biometria behawioralna jako kolejny rodzaj zabezpieczenia, którego wcześniej na rynku nie było.
Szukaliśmy rozwiązania, które zaspokoi obecne oczekiwania sektora w zakresie ochrony użytkowników w kanałach online i jednocześnie będzie spełniało nasze strategiczne założenia dotyczące ochrony całego sektora i współdzielenia danych.
I tę technologię posiadał mBank?
– Tak. Analizowaliśmy różne rozwiązania biometrii behawioralnej dostępne na rynku polskim i zagranicznym. Zdecydowaliśmy się na zakup i dołączenie do Grupy BIK spółki Digital FingerPrints, posiadającej rozwiązanie biometrii behawioralnej, wykorzystywane w mBank.
To rozwiązanie będzie służyło wszystkim bankom w ramach platform, o których pani przed chwilą mówiła?
– Platforma Biometrii Behawioralnej to kolejne sektorowe rozwiązanie antyfraudowe oferowane przez BIK. Będzie służyła do uwierzytelniania dostępu do danych i do systemów bankowości elektronicznej i mobilnej poprzez tworzenie modeli behawioralnych klientów – bardzo zaawansowanych zbiorów unikalnych zachowań użytkownika odróżniających go od innych użytkowników.
Biometria behawioralna, wykorzystując zaawansowane algorytmy machine learningu, tworzy model zachowania użytkownika przed urządzeniem, którego używa. Czyli na podstawie tempa naciskania przycisków na klawiaturze, czy ruchów myszą, bądź odczytów z sensora smartfonu buduje się model behawioralny zachowania użytkownika i ten model jest unikalny.
Można to porównać do naszego tradycyjnego charakteru pisma. Stawiając litery na kartce za pomocą długopisu, każdy robi to w charakterystyczny tylko dla siebie sposób, jest inny kształt liter, inny kąt nachylania itd.
Po tym jak profil klienta zostanie zbudowany, przy każdym jego zalogowaniu się do bankowości mobilnej czy elektronicznej i realizacji transakcji następuje weryfikacja użytkownika w odniesieniu do zbudowanego wcześniej modelu zachowań. Jeżeli zastosujemy biometrie behawioralną w aplikacjach bankowych, to z bardzo dużym prawdopodobieństwem jesteśmy w stanie tylko po zachowaniu klienta potwierdzić lub zaprzeczyć, że z danego konta korzysta przypisany do niego właściciel, czy też inna osoba nie pasująca do profilu użytkownika próbuje wykonywać transakcję.
Ale dlaczego ważne jest, aby w tym budowaniu i użytkowaniu rozwiązania biometrycznego brało udział więcej banków, a nie jeden, np. mBank, który miał już to rozwiązanie?
– Podstawą naszych rozwiązań antyfraudowych jest współpraca i wymiana informacji pomiędzy instytucjami. W tym przypadku taka współpraca przynosi również wymierne korzyści dla całego sektora. Sektorowa biometria behawioralna jest ważna zarówno dla banku, jak i klienta banku. Z punktu widzenia banku jest dodatkową warstwą zabezpieczeń, która w trybie online wykrywa i ostrzega o zachowaniach niezgodnych z profilem behawioralnym użytkownika, ogranicza koszty operacyjne oraz może być jednym z elementów silnej autoryzacji.
Dzięki wymianie, współdzieleniu danych, możemy szybciej budować modele behawioralne klientów. Modele te będą zasilane danymi pochodzącymi z różnych instytucji, o ile klient korzysta z usług kilku banków i jednocześnie ten stworzony model można współdzielić w więcej niż jednej instytucji.
Inaczej mówiąc, wzorzec zachowań klienta w jednym banku będzie dostępny dla innych banków. Przy takim podejściu klient będzie chroniony od początku, nawet przy mniejszej aktywności w danym banku.
Przy rozwiązaniach sektorowych ważna jest też kwestia skali. Ponieważ są one współdzielone, to są one również bardziej efektywne kosztowo dla uczestników rozwiązania. Projekty informatyczne związane z przyłączeniem się są wystandaryzowane i w efekcie są szybsze.
Przed chwilą mówiła pani o credentialach klientów, które są kradzione przez przestępców i wasze rozwiązanie właśnie jest bardzo skuteczne w zapobieganiu skutkom takiej kradzieży?
-Takie nieuprawnione operacje w bankowości elektronicznej i mobilnej są natychmiast wykrywane, zachowanie fraudstera przed urządzeniem jest inne od zachowania klienta zbudowanego w jego profilu behawioralnym. W takim przypadku nasza platforma natychmiast w trybie online powiadamia instytucję o takim incydencie.
Podczas Forum Usług Płatniczych, które odbyło się kilka tygodni temu, o efektach biometrii behawioralnej mówił przedstawiciel jednego z banków, który już takie rozwiązanie testuje za zgodą wybranych klientów. Podał przykład klienta, który już w kilka dni po wprowadzeniu tej usługi został poinformowany o zatrzymaniu przez bank jednej z transakcji na jego rachunku. Okazało się, że biometria behawioralna wykryła, że operację na jego loginie i haśle wykonywała inna osoba. Klient wyjaśnił, że na jego credentialach działa jego żona, a on je jej udostępnił. Oczywiście bank przy okazji przypomniał klientowi, że danych do logowania nikomu nie należy przekazywać. I drugi przykład opisany przez bankowca jako „przypadek weekendowy”, w którym to klient będący pod wpływem alkoholu nie mógł przeprowadzić transakcji, bo jego zachowanie odbiegało od jego modelu. To pokazuje, że biometria behawioralna jest bardzo skuteczna, ale w jakim stopniu?
– Nasze rozwiązanie biometrii behawioralnej ma bardzo wysoką skuteczność, potwierdzoną przez banki, które już używają tego rozwiązania produkcyjnie.
Ale tu jest jeden zasadniczy problem. Klient banku musi się zgodzić, aby takie rozwiązanie w jego przypadku zostało wprowadzone.
– Na chwilę obecną zgodnie z wypracowaną wykładnią obowiązującego prawa dane klientów mogą być zbierane tylko w konkretnym celu i zakresie, i tylko po wyrażeniu zgody klienta. Trzeba mieć na uwadze, że nasz system nie zbiera danych wrażliwych, nie zbieramy i nie analizujemy treści wpisywanych przez klienta.
Do budowy jego modelu zachowania wystarczą tylko kontekstowe informacje o wciśnięciu klawiszy czy dotknięciach ekranu smartfonu. Klient nie musi się obawiać, nie są ujawniane żadne dane wrażliwe, dane o transakcji, którą przeprowadza. Do budowy profilu zbieramy tylko dane bezkontekstowe, czyli z tej perspektywy klient może czuć się bezpieczny.
W tej sytuacji wydaje się, że sensowe byłoby wprowadzenie ustawowego obowiązku stosowania w transakcjach elektronicznych i mobilnych biometrii behawioralnej, skoro rozwiązanie to nie używa danych wrażliwych, a znacznie podnosi bezpieczeństwo klienta?
– Widzielibyśmy raczej taką zmianę przepisów prawa, która uprawniałaby wprost do wymiany w ramach sektora finansowego informacji pozyskanych w ramach biometrii behawioralnej. Podobnie jak jest z informacjami o zdarzeniach mających charakter uzasadnionych podejrzeń dokonywanych na szkodę banków i innych instytucji. Staramy się, we współpracy ze Związkiem Banków Polskich, przedstawiać w tym zakresie propozycje zmian legislacyjnych.
Rozwiązania wykorzystujące biometrię behawioralną pokazują już swoją skuteczność w sektorze bankowym, ale przecież zdalne kontakty rodzące określone skutki finansowe czy prawne dla użytkowników poruszających się w świecie cyfrowym odbywają się również poza bankami, czy widzą państwo możliwość wykorzystywania tej powstającej platformy BIK np. w e-commerce, może w kontaktach z administracją publiczną, w obrocie prawnym?
– W pierwszej kolejności sektorowe rozwiązanie biometrii behawioralnej kierujemy do banków i instytucji finansowych, niemniej widzimy możliwość zwiększenia bezpieczeństwa także w innych sektorach gospodarki dzięki naszej platformie.
Najbardziej oczywiste obszary to telekomunikacja czy e-commerce. Musimy jednak wziąć pod uwagę, że w innych gałęziach gospodarki klienci mniej regularnie korzystają ze zdalnych kanałów komunikacji niż w sektorze bankowym.
Tu jest potrzebne nieco inne podejście, nad którym będziemy pracowali w przyszłości.
A czy to rozwiązanie może być naszym hitem eksportowym? Bo taka wspólna dla banków behawioralna platforma jest chyba oryginalnym polskim pomysłem?
– Rzeczywiście, jeśli chodzi o biometrię behawioralną i jej rozwój, to myślimy nie tylko o rynku polskim, ale także o ekspansji zagranicznej. Już rozpoczęliśmy rozmowy z zagranicznymi instytucjami finansowymi, ponieważ takiego jak nasze sektorowego rozwiązania z wymianą i współdzieleniem danych nie ma w innych krajach. Mamy już pierwszych zainteresowanych.
Aktywnie współpracujemy w ramach ACCIS, międzynarodowego stowarzyszenia zrzeszającego m.in. różne biura kredytowe na świecie, i właśnie przez relacje z innymi biurami staramy się rozpowszechnić nasze rozwiązanie za granicą.
Nie sądzi pani, że powinny nastąpić odpowiednie zmiany w regulacjach unijnych, aby przepisy RODO bezpośrednio dopuszczały stosowanie biometrii behawioralnej w takim zakresie, w jakim stosuje ją w tej chwili BIK. To chyba służyłoby wszystkim, bez szkody dla klientów?
– To na pewno ułatwiłoby bardzo walkę z fraudami. Jak już mówiłam, rozpoczęliśmy z dużym wsparciem ZBP rozmowy dotyczące zmian w przepisach prawa. Musimy sobie jednak zdawać sprawę z tego, że jest to skomplikowany proces, który będzie trwał.