Raport Specjalny – IT@BANK 2023 | Bezpieczeństwo – BIK SA | W obliczu cyberzagrożeń | Perspektywa klientów indywidualnych, przedsiębiorców oraz instytucji finansowych
Cyberprzestępczość, wymierzona w klientów instytucji finansowych, rozwija się niezwykle dynamicznie. W tym roku 36% Polaków osobiście doświadczyło próby wyłudzenia, co oznacza czteroprocentowy wzrost w porównaniu z rokiem minionym. Skuteczność sprawców jest wysoka – ich sukcesem kończy się nawet co piąty cyberatak na przeciętnego Kowalskiego. A to dopiero przedsmak tego, co może przynieść upowszechnienie deepfake i przestępczych technik, bazujących na sztucznej inteligencji. Wobec tak poważnych zagrożeń potrzeba nowego podejścia do ochrony banków i ich klientów, a Platforma Biometrii Behawioralnej BIK doskonale wpisuje się w ten nurt.
Dzięki upowszechnieniu dobrodziejstw cyfrowej gospodarki większość Polaków dysponuje kluczem do swych pieniędzy w postaci aplikacji w komputerach czy smartfonach, z czego skwapliwie korzystają przestępcy. Wyłudzenie danych dostępowych do konta od przeciętnego konsumenta czy też skłonienie go z użyciem socjotechnicznych sztuczek, by przelał na konto sprawców swoje oszczędności, jest znacznie prostsze aniżeli atak na pilnie strzeżone, bankowe zasoby IT, wiąże się też z niepomiernie niższym ryzykiem. Sukcesom oszustów wydatnie sprzyja nieświadomość ich ofiar.
Dane, zamieszczone w najnowszym Raporcie Antyfraudowym BIK wskazują, iż co dziesiąty z naszych rodaków nie zdaje sobie sprawy z ryzyka, związanego z wyciekiem danych osobowych. Jedynie mniej niż dwie trzecie konsumentów rozumie, że przestępcy dysponujący naszym adresem i numerem PESEL są w stanie wykorzystać te informacje w celu wyłudzenia kredytu bądź pożyczki. Z roku na rok statystyki te ulegają wprawdzie stopniowej poprawie, ale codzienne zachowania Polaków potwierdzają, że świadomość zagrożeń jest wciąż niewystarczająca i wymaga stałej pracy.
Najsłabsze ogniwa obrotu gospodarczego
Konsumenci. BIK, w swoim Raporcie, zwraca uwagę np., że 25% odbiorców przesyłek e-commerce nie usuwa z opakowań etykiet zawierających dane osobowe przed ich wyrzuceniem. Stwarza to tym samym ryzyko wykorzystania tych informacji w celach oszukańczych. Kolejna zatrważająca wiadomość, to fakt, że co trzeci z naszych rodaków nie widzi nic niepokojącego w otwieraniu załączników do maili niewiadomego pochodzenia lub klikaniu w zawarte w nich linki, a 20% odbiorców korespondencji elektronicznej nie weryfikuje nawet adresu jej nadawcy.
Nawet sytuacje ewidentnego zagrożenia nie każdego skłaniają do podjęcia odpowiednich środków. Niepokoją dane o niemal 40% Polakach, którzy nie widzą potrzeby zastrzegania utraconego dokumentu tożsamości. Z kolei dla 12% konsumentów świadomość przechwycenia ich danych osobowych przez osoby niepowołane nie byłaby wystarczającą przesłanką, by sprawdzić, czy oszuści nie wykorzystali ich do zaciągania zobowiązań finansowych – podkreślono w raporcie.
Przedsiębiorcy. Ryzykowne zachowania nie są jedynie domeną konsumentów, tradycyjnie już uznawanych za najsłabsze ogniwo obrotu gospodarczego. Także mali i średni przedsiębiorcy, którzy zgodnie z prawem klasyfikowani są jako profesjonalni uczestnicy obrotu gospodarczego, potrafią wykazywać się „nadmiernym zaufaniem” czy wręcz lekkomyślnością wobec zagrożeń epoki cyfrowej.
Informacje, zawarte w Raporcie Antyfraudowym BIK skłaniają do refleksji – przeszło 80% właścicieli firm z segmentu MŚP nadal nie dostrzega, że dotyczy ich zjawisko fraudu. A co za tym idzie, nie widzi potrzeby inwestycji w jakichkolwiek rozwiązania antyfraudowe lub wykupienia usług podnoszących bezpieczeństwo. Korelacja tych danych z informacją, że z próbą wyłudzenia zetknął się w tym roku niemal co piąty polski small biznes, może prowadzić do wniosku, iż reprezentanci sektora MŚP postępują w myśl starej, acz nie zasługującej na pochwałę zasady „Mądry Polak po szkodzie”, decydując się na zabezpieczenie własnych systemów dopiero wówczas, gdy problem dotknie ich bezpośrednio. Z owej nieświadomości skwapliwie korzystają sprawcy, posługując się wobec drobnych przedsiębiorców analogicznymi socjotechnikami, jak te wymierzone w konsumentów.
Z badań przeprowadzonych w tym roku przez BIK wynika, że główne zagrożenie stanowią ataki phishingowe, połączone z przesyłaniem linków kierujących na fałszywe strony banków bądź instytucji płatniczych. Wypierają one dominującą do niedawna strategię przestępców, polegającą na rozsyłaniu sfałszowanych faktur, na co reprezentanci small biznesu zdążyli się już uodpornić. Tymczasem straty, ponoszone przez małe i średnie firmy wskutek nowych schematów wyłudzeń mogą być nieporównanie groźniejsze – kliknięcie w link może skutkować przejęciem kontroli nad rachunkiem firmowym przez sprawców. To w konsekwencji skończyć się może nie tylko opróżnieniem tegoż ze wszystkich zgromadzonych środków, ale i zaciągnięciem na konto nieświadomego przedsiębiorcy nowego zobowiązania w postaci np. kredytu czy chociażby wykorzystaniem całego dostępnego limitu kredytowego. Zagrożeniem może być też przysłowiowy „złodziej domowy” – w niemal 13% firm oszukańcze próby były dziełem ich pracowników. Można się spodziewać, iż w obliczu deficytu rąk do pracy problem ten będzie narastał, wielu przedsiębiorców nie może sobie wszak pozwolić na komfort dogłębnej weryfikacji kandydatów.
Nowe regulacje prawne szansą dla podniesienia bezpieczeństwa
Ostateczne konsekwencje coraz bardziej zaawansowanych i trudnych do zdemaskowania fraudów poniosą nie tylko sami oszukani, ale przede wszystkim instytucje finansowe. Już dziś polskie prawo przychyla się do interpretacji, iż klient poddany socjotechnicznej presji tak naprawdę nie autoryzował transakcji w pełni świadomie, a co za tym idzie, dostawca usług płatniczych powinien zwrócić mu środki, skradzione przez sprawców. Wiele wskazuje na to, iż analogiczny mechanizm może znaleźć się również w rozporządzeniu PSR, które za kilka lat zastąpi obecnie obowiązującą dyrektywę o usługach płatniczych PSD2.
W takich uwarunkowaniach banki muszą dysponować skutecznym narzędziem do weryfikacji aktywności swych klientów w zdalnych kanałach transakcyjnych, tak by na bieżąco wychwycić każde niestandardowe zachowanie klienta i w porę zablokować operację lub przynajmniej skontaktować się z posiadaczem konta w celu weryfikacji. Możliwości takie zapewnia analiza behawioralna, która dzięki zaawansowanym algorytmom uczenia maszynowego pozwala stworzyć unikalny profil interakcji każdego klienta banku z urządzeniem elektronicznym, obejmujący np. sposób wprowadzania danych z klawiatury, poruszania myszką czy posługiwania się ekranem dotykowym.
Wspólny ekosystem bezpieczeństwa – na przykładzie biometrii BIK
Mechanizm analizy behawioralnej został wykorzystany jako podstawa funkcjonowania Platformy Biometrii Behawioralnej BIK. To rozwiązanie pionierskie nie tylko na rynku polskim, ale i w skali europejskiej, umożliwia bowiem weryfikację interakcji użytkownika ze swym urządzeniem z jednoczesnym zachowaniem bezkontekstowości, co zapewnia poszanowanie prywatności i pełną zgodność ze standardami w zakresie ochrony danych osobowych, w tym w szczególności RODO oraz wymogów określonych w przepisach dotyczących usług płatniczych.
Weryfikacja przebiega podczas całego trwania sesji, co wyklucza możliwość niewychwycenia przypadku, kiedy zmanipulowanego użytkownika konta zastępują przestępcy, po uprzedniej instalacji tzw. zdalnego pulpitu. Rozwiązanie jest przy tym komfortowe zarówno dla banku, jak i jego klientów. Ci ostatni zyskują dodatkową, wymierną ochronę przed utratą pieniędzy czy przejęciem dostępu do konta bez konieczności instalowania jakichkolwiek dodatkowych aplikacji w swym urządzeniu czy też wprowadzania dodatkowych loginów, haseł czy tokenów.
Przeciętny Kowalski nawet nie poczuje, że jego kontakty z bankiem zostały objęte nowym, wyższym poziomem zabezpieczenia. Z kolei w przypadku banków kluczowym benefitem, związanym z posługiwaniem się Platformą Biometrii Behawioralnej BIK jest sektorowy charakter całego przedsięwzięcia.
Poszczególne modele użytkowników są udostępniane wszystkim uczestnikom Platformy w ramach współpracy sektorowej banków. Zwiększa to poziom ochrony klientów, a w konsekwencji również samych banków przed ewentualnymi szkodami reputacyjnymi (bank może podejmować decyzje, będąc bardziej świadomym czy ma do czynienia z użytkowaniem czy przestępcą). Warto podkreślić, że rozwiązanie biometrii behawioralnej wykazuje ogromną elastyczność technologiczną, ponieważ mechanizmy weryfikacji użytkownika mogą być zaimplementowane zarówno w chmurze, jak i w środowisku klienta. To zaś stwarza możliwości jej dalszego rozwoju, również poza sektor bankowy. W dobie, kiedy zakres usług, świadczonych przez poszczególnych dostawców, przenika się coraz silniej, a ekosystemy sprzedażowe i crosselling rozwijają się, zyskuje to szczególny wymiar.