BANK 2024/10

Raport Specjalny | Płatności Bezgotówkowe | Wyzwania cyberbezpieczeństwa w dobie sztucznej inteligencji w sektorze fintech i płatnościach elektronicznych

Raport Specjalny | Płatności Bezgotówkowe | Wyzwania cyberbezpieczeństwa w dobie sztucznej inteligencji w sektorze fintech i płatnościach elektronicznych
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Obecny poziom odporności systemów płatności internetowych na cyberzagrożenia powoduje, że przeprowadzane przez przestępców cyberataki coraz częściej skupiają się na manipulacji klientem. O tym, jak sobie z tym radzić oraz czy AI może być wsparciem, czy przeszkodą dla podmiotów rozwijających systemy cyberbezpieczeństwa rozmawiali eksperci NASK – dr inż. Marcin Grabarczyk, dyrektor Pionu Transferu Technologii i Rozwoju Biznesu; Michał Rotnicki, ekspert ds. transferu technologii; Piotr Bisialski, kierownik Zespołu NASK Incident Response Team oraz dr inż. Mateusz Krzysztoń, kierownik Zakładu Systemów Rozproszonych.

Dr inż. Marcin Grabarczyk
dyrektor Pionu Transferu Technologii i Rozwoju Biznesu

Michał RotnickiMichał Rotnicki
ekspert ds. transferu technologii

Piotr BisialskiPiotr Bisialski
kierownik Zespołu NASK Incident Response Team

Mateusz KrzysztońDr inż. Mateusz Krzysztoń
kierownik Zakładu Systemów Rozproszonych

Michał Rotnicki: Współczesny użytkownik rynku płatności korzysta z całego ekosystemu narzędzi do obsługi usług cyfrowych. Nie ma problemu, aby jednocześnie posiadać w jednej kieszeni urządzenia z systemami Android i iOS. Używa on wielu narzędzi płatniczych, a jego oczekiwanie względem usług cyfrowych sprowadza się do tego, aby wszystko działo się natychmiast. Cierpliwość klientów kończy się po kilku sekundach. Jednak, obserwując krajobraz cyberzagrożeń publikowany przez ENISA, można zauważyć, że od pewnego czasu jednym z najczęstszych ataków stały się te oparte na socjotechnice. Można przyjąć, że dobrze bronimy się na poziomie technicznym, ale czy operatorzy płatności internetowych są w stanie poradzić sobie z atakami, które polegają na manipulacji klientem? I czy najmodniejsze słowo sezonu – AI – będzie sprzymierzeńcem jasnej czy ciemnej strony mocy?

Piotr Bisialski: W naszej codziennej pracy identyfikujemy różne wersje ataków, które praktycznie w całości opierają się na manipulacji i wykorzystaniu prostych narzędzi socjotechnicznych. Bardzo popularne są ataki, w których ofiara dobrowolnie udziela przestępcy zdalnego dostępu do swojego urządzenia oraz podaje dane do poprawnej autoryzacji transakcji bankowej. Przestępca posługuje się w praktyce powszechnie używanymi narzędziami, takimi jak komunikator internetowy, telefon i legalne programy do zdalnego dostępu. Do tego przestępcy są wspierani wszelkiego rodzaju usługami, gdzie w modelu SaaS, za bardzo przystępne kwoty, można swój atak wzbogacić o elementy phishingu lub innych technik, takich jak klonowanie głosu. Oznacza to, iż próg wejścia do świata cyberprzestępczości został dramatycznie obniżony.

Dr inż. Marcin Grabarczyk: Co ważne, wykrycie tego typu ataków i obrona przed nimi stanowią wyjątkowo trudne wyzwanie z perspektywy zespołów odpowiedzialnych za cyberbezpieczeństwo. Często w całym procesie kradzieży środków użytkownika nie dochodzi do żadnych podejrzanych lub nieuprawnionych działań z punktu widzenia techniki. Teoretycznie nie dochodzi do naruszenia żadnego z atrybutów bezpieczeństwa informacji, tj. poufności, integralności i dostępności.

Oznacza to, że cała machina systemów budujących cyberodporność podmiotu świadczącego usługi płatnicze może nie zauważyć zdarzenia. Parafrazując, możemy budować dowolnie grube i wysokie mury, ale finalnie okazuje się, że przez bramę do naszej twierdzy przemaszeruje sobowtór. Tymczasem prawdziwy użytkownik, znajdując się pod wpływem przestępcy, nie będzie świadomy, jak dysponuje swoim mieniem. Bardzo obawiamy się sytuacji, w której przestępcy uzyskają dostęp do narzędzi automatyzujących ataki socjotechniczne, wspieranych przez szeroko rozumiane techniki deepfake. To może być prawdziwy szok dla całej branży. AI to, niestety, potężne narzędzie w rękach przestępców.

Dr inż. Mateusz Krzysztoń: Faktycznie, rozwój AI tworzy nowe możliwości zarówno dla osób rozwijających systemy cyberbezpieczeństwa, jak i dla przestępców. Jednak nie zgodzę się, że jest to sytuacja dla nas nowa – również przed erą AI mieliśmy do czynienia z ciągłym wyścigiem między obiema grupami, które stale udoskonalały swoje narzędzia lub tworzyły nowe w celu uzyskania przewagi. Natomiast faktycznie można zauważyć pewne przyspieszenie tego wyścigu wraz z rozwojem AI. Nawiązując do przykładu Marcina z sobowtórem wkradającym się do zamku, AI pomaga nam w stawieniu czoła atakom, w których przestępca wejdzie w posiadanie standardowych danych uwierzytelniających, jak login i hasło, podszywając się pod użytkownika. Z pomocą przychodzą tu nie tylko standardowe już rozwiązania biometryczne, weryfikujące tożsamość użytkownika na podstawie np. odcisku palca czy skanu tęczówki, ale również biometria behawioralna, która pozwala na weryfikację tożsamości użytkownika na podstawie jego sposobu interakcji ze stroną internetową czy aplikacją mobilną. Z wykorzystaniem metod sztucznej inteligencji potrafimy zbudować wiarygodny wzorzec zachowania użytkownika i na jego podstawie skutecznie weryfikować tożsamość. Takie wzorce zachowania jesteśmy w stanie budować bezpośrednio na urządzeniu użytkownika, dbając w ten sposób o jego prywatność. Jednak, aby chronić nowe urządzenia użytkownika, a nie tylko dotychczas używane, potrzebujemy jego zgody.

Michał Rotnicki: Coraz bardziej rozbudowana legislacja z jednej strony porządkuje zasady przetwarzania informacji w internecie, z drugiej zaś staje się istotnym ograniczeniem dla podmiotów, które powinny dbać o bezpieczeństwo swoich klientów. Podmiot komercyjny lub naukowy, zanim zastosuje nowe techniki profilowania użytkownika, musi najpierw zmierzyć się z ograniczeniami prawnymi narzucanymi przez przepisy dotyczące przetwarzania danych biometrycznych i osobowych. Na horyzoncie pojawia się AI Act. Problem polega na tym, że tam, gdzie walczymy z przestępcami, okazuje się nagle, że mamy związane ręce. A przestępcy? Wręcz przeciwnie. Jeśli tylko uda im się pozyskać dane do uczenia modeli AI, nie będą skrępowani przepisami prawa. Można powiedzieć, że przestępcy, dążąc do maksymalizacji zysku, lekceważą literę prawa i optymalnie wykorzystują możliwości techniczne. Czy to nie wywołuje frustracji?

Dr inż. Marcin Grabarczyk: Frustracja nie jest dobrym doradcą w starciu z przestępcami. Tak jak prawodawstwo reguluje i poniekąd ogranicza nieskrępowane działania techniczne, tak jednocześnie wymaga od podmiotów świadczących usługi elektroniczne budowania coraz bardziej kompleksowych systemów cyberbezpieczeństwa. Sektor finansowy jest tu zazwyczaj prekursorem – wkrótce zaczniemy stosować regulacje DORA oraz NIS2. Nie można po prostu stwierdzić, że czegoś nie da się zrobić. To nasza odpowiedzialność społeczna, aby zapewniać bezpieczeństwo cyberprzestrzeni, tak by świadczenie usług drogą elektroniczną było racjonalnie bezpieczne i wspierało rozwój gospodarczy.

Dr inż. Mateusz Krzysztoń: Istnieje już szereg metod wykrywających sytuacje, w których operacja finansowa nie jest wykonywana przez właściwego użytkownika. Do tych metod należą wspomniana biometria behawioralna, systemy antyfraudowe czy wykrywanie sesji zdalnego pulpitu, narzędzia często wykorzystywanego przez oszustów. Potrafimy też weryfikować bezpieczeństwo urządzenia, w szczególności mobilnego, pod kątem integralności urządzenia czy obecności złośliwego oprogramowania. Co ważne, jesteśmy w stanie stosować te metody nawet przy zachowaniu pełnej prywatności danych użytkownika oraz zgodności z innymi ograniczeniami prawnymi.

Dr inż. Marcin Grabarczyk: Kluczem do sukcesu nie jest jedynie zbudowanie technologii cyberbezpieczeństwa dopasowanej do dzisiejszych ataków i zagrożeń, lecz także patrzenie w kierunku zbliżających się wyzwań. Już dziś trzeba być gotowym na ataki przyszłości. Szczególną siłę widzę w połączeniu potencjału intelektualnego zespołów analityków cyberbezpieczeństwa, naukowców rozwijających techniki sztucznej inteligencji oraz profesjonalnych zespołów programistycznych, które potrafią wdrożyć sztuczną inteligencję do ochrony usług elektronicznych. Ciekawym przykładem jest ewolucja produktów z rodziny BotSense. Od 2018 r. nadążamy za zmieniającym się wektorem ataków, nie tracąc jednocześnie charakteru naszych produktów, czyli lekkości i neutralności wobec chronionych systemów. Można powiedzieć, że niektóre rodzaje ataków związanych z użytkownikami zniknęły z cyberprzestrzeni. Jednocześnie dzięki współpracy z zespołami naukowymi rozwijamy nowe funkcjonalności, np. bezsygnaturowe wykrywanie złośliwych aplikacji mobilnych.

Dr inż. Mateusz Krzysztoń: Czyli można powiedzieć, że rozważając zastosowanie technologii cyberbezpieczeństwa, warto nie tylko uwzględnić ich obecną skuteczność, ale także zastanowić się, jakim potencjałem intelektualnym dysponuje producent i czy jest on gotowy do podjęcia niekończącego się wyścigu z przestępcami?

Dr inż. Marcin Grabarczyk: Zgadza się, ważne jest, aby oceniać zarówno skuteczność technologii, jak i potencjał intelektualny producenta. Tylko w ten sposób możemy zapewnić odpowiednią ochronę w obliczu rosnących zagrożeń.