Safebank 2022: jak szeroka współpraca sektora finansowego?

Safebank 2022: jak szeroka współpraca sektora finansowego?
FBB 2022. Źródło: BANK.pl
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
"Współpraca sektora finansowego na rzecz bezpieczeństwa" - pod tym tytułem odbyła się trzecia sesja konferencji Safebank – Fundamenty Bezpieczeństwa Banków 2022.

„Biometria behawioralna – wnosimy bezpieczeństwo na inny poziom”, tak zatytułował swoje wystąpienie Bartosz Wójcicki, dyrektor, Product Owner, w Biurze Usług Antyfraudowych Biura Informacji Kredytowej.

Biometria behawioralna na nowej platformie BIK

Jak stwierdził, biometria behawioralna daje w kanałach zdalnych dodatkową możliwość weryfikacji tożsamości klienta.

Jest skuteczna na przykład wtedy, kiedy dane do logowania są przez klienta utracone lub przejęte przez osoby nieuprawnione.

Działa nawet przy dobrowolnym ich przekazaniu credentiali klienta, są to sytuacje określane jako „friendly frauds”. Przykładem może być niewylogowanie się rodzica z bankowości elektronicznej, a dziecko tymczasem będzie próbowało wykonać przelew lub dokonać zdalnego zakupu.

Jak podał zbudowanie systemu sektorowego wykorzystującego biometrię behawioralną jest możliwe dzięki dokonanemu w maju 2022 roku zakupowi przez do Grupę BIK firmy Digital Fingerprints. Jest to polski start-up, działający od 2017 roku, oferujący rozwiązania w zakresie cyberbezpieczeństwa wykorzystujące biometrię behawioralną.

Z rozwiązania korzystają już trzy banki, a objętych ochroną jest ponad 2 mln klientów. Na tej podstawie rozpoczęto budowę systemu sektorowego.

Biometria behawioralna może być zgodnie z PSD2 silną weryfikacją klienta. Zbiera ona dane o sposobie korzystania z urządzenia, takie jak: sposób pisania na klawiaturze, charakterystyka ruchów myszą itp.

Dane są zbierane w sposób niezauważalny dla użytkownika i nie ma żadnych dodatkowych czynności, które musi wykonać klient żeby taką ochronę włączyć.

W chwili, w której następuje pewna niezgodność zachowań, ktoś przejmie urządzenie, czy to za pomocą pulpitu zdalnego, czy poprzez przejęcie loginu i hasła lub poprzez podejście innej osoby do urządzenia, system wykrywa taką zmianę w bardzo krótkim czasie.

Pozwala to zatrzymać operację i wysłać komunikat ostrzegający do danej instytucji.

Identyfikacja jest ciągła, czyli nie weryfikujemy, nie identyfikujemy klienta tylko jeden raz na początku sesji, a trwa ona od momentu zalogowania, do zakończenia sesji.

Jak stwierdził, parametry rozpoznania klienta są na dość wysokim poziomie, 95% w serwisie internetowym i 96% kanale mobilnym.

Jak dodał, w obu kanałach zbierane są trochę inne dane. W rozwiązaniu sektorowym można wykorzystywać dane zbierane w wielu bankach, co podnosi skuteczność rozwiązania. Klient jest w efekcie taka samo dobrze chroniony w banku, z którego usług korzysta codziennie, jak i w banku, którego jest rzadkim użytkownikiem.

Przedstawiciel BIK podkreślił, że system nie zbiera informacji o tym co klient pisze, ale o tym jak pisze.

Czytaj także: Safebank: Zadania banków w przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu>>>

Panel: Współpraca sektora finansowego na rzecz bezpieczeństwa

W panelu dyskusyjnym poruszono tematykę dotycząca szukania efektów synergii w obszarze bezpieczeństwa, ryzyka nowych usług (produktów) finansowych. Mówiono o znaczeniu wymiany informacji dla bezpieczeństwa instytucji finansowych, o współpracy banków z niebankowymi instytucjami świadczącymi usługi finansowe oraz o budowania dialogu liderów pożyczek pozabankowych z sektorem bankowym.

Dyskusję moderował Wojciech Kordas, przewodniczący Prezydium Rady Bezpieczeństwa Banków w ZBP, dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim.

Udział w dyskusji wzięli: Agnieszka Wachnicka, prezes Zarządu Fundacji Rozwoju Rynku Finansowego, Piotr Balcerzak, dyrektor Zespołu Bezpieczeństwa Banków w ZBP, Bartosz Wójcicki, dyrektor w BIK oraz Konrad Krupiński, Financial Crime Prevention Manager w Aion Bank.

Konrad Krupiński stwierdził, że Aion Bank choć zmienił strategię, to nie znaczy, że nie prowadzi i nie świadczy usług bezpośrednio dla klienta końcowego. Jest bankiem, który z wyjątkiem jednego oddziału na kampusie w Brukseli – nie ma fizycznych oddziałów.

Potrzebna wymiana informacji pomiędzy instytucjami finansowymi

Cała akwizycja klienta odbywa się internetowo. Dlatego też nie ma pewnych ryzyk, na przykład związanych ze sprzedażą w oddziałach lub z dostarczaniem produktów i nawiązywaniem relacji z klientami. Bank skupia się na relacji zdalnej.

Jak stwierdził, dla przestępców nie ma znaczenia, z jaką instytucją nawiązują relacje i jakie produkty ona oferuje. Liczy się tylko fakt zdalnego dostępu do banku bez jakiegokolwiek pośrednictwa człowieka.

Przedstawiciel Aion Banku zwrócił uwagę na konieczność budowania bezpieczeństwa dzięki korzystaniu z systemów uczących się, a nie wykorzystujących reguły.

Kolejnym poziomem zabezpieczenia jest wymiana informacji.

Jak stwierdziła Agnieszka Wachnicka, wymiana informacji jest ważna, bo mamy wszyscy uczestnicy rynku mają ten sam wspólny problem.

Ten problem często rozlewa się z sektora bankowego na inne sektory. Przykładowo przez tzw. zdalny pulpit zostaje przejęty dostęp do rachunku bankowego, a następnie pojawiają się próby zaciągania kredytów w sektorze bankowym. Później przestępcy, dysponując pełną paletą danych klienta, próbują zaciągać pożyczki już w sektorze pozabankowym.

Główne instytucje pożyczkowe inwestują w systemy zapobiegania fraudom i rzeczywiście są one bardzo skuteczne. Jak wspomniała, czołowe instytucje pożyczkowe wymieniają się danymi.

Zwróciła uwagę na brak jednej definicji fraudu, co utrudnia wymianę informacji pomiędzy branżami.

Czytaj także: Safebank: Dora i cyberodporność banków>>>

Wymiana informacji dotyczy już nie tylko banków i firm pożyczkowych, ale także firm leasingowych i faktoringowych

Piotr Balcerzak przypomniał, że bezpieczeństwo banku było obszarem współpracy międzybankowej już w chwili powstawania ZBP, a Rada Bezpieczeństwa Banków, dawniej Komitet Bezpieczeństwa Banków – to najstarszy Komitet działający w strukturach ZBP. Odbywało się to ewolucyjnie i zależało od zmian w przepisach prawa, np. artykuł 106 prawa bankowego, który pozwolił na wymianę informacji objętych między innymi tajemnicą bankową.

Zwrócił uwagę, że obecnie wymiana informacji musi być bardzo szeroka i dotyczyć nie tylko banków. Trzeba szukać wiarygodnych partnerów na zewnątrz, bo są to bardzo cenne źródła informacji, które powodują, że banki mogą działać lepiej i bardziej profesjonalnie. Jak podkreślił, kwestią fundamentalną jest zaufanie.

BIK jest jedynym z dostawców platform do wymiany tej informacji i jak stwierdził Bartosz Wójcicki, chyba najmłodszym dostawcą usług cyfrowych na rynku polskim. Pod koniec 2017 r. do platformy antyfraudowej dołączyły trzy banki i nastąpiła efektywna wymiana danych pomiędzy nimi, dotycząca wniosków kredytowych.

Obecnie 26 podmiotów korzysta z tej platformy. Od początku istnienia dzięki niej zaoszczędzono znacznie ponad pół miliarda złotych. Wspomniał o kanale online i przeciwdziałaniu fraudom transakcyjnym (badanie urządzenia i jego spójności). Jak podał, obecnie korzysta z niego 20 klientów.

Najnowsze rozwiązanie, to platforma biometrii behawioralnej. Jego zdaniem przydałoby się, gdyby ktoś wymyślił i zbudował system, który by weryfikował, czy klient jest świadomy ryzyka jakie podejmuje przy inwestowaniu – jeśli widzi się, jak wiele jest obecnie fraudów inwestycyjnych. Wspomniał też o przyłączeniu się do wymiany informacji firm leasingowych i faktoringowych.

W trakcie dyskusji poruszono problem powstawania stron podszywających się pod portale banków. Zwracano uwagę na potrzebę analizowania, nie tylko danych statycznych klienta. Trzeba sięgać głębiej i badać urządzenie, z którego on korzysta, jego lokalizację i czy zgadza się ona z numerem IP. Również, czy dokument tożsamości jest zastrzeżony, i czy nie ma negatywnych informacji o samym kliencie. Wspomniano o możliwości transferu środków przez urządzenie osoby, która była ofiarą przestępstwa.

Zwrócono uwagę, że najsłabszym ogniwem jest człowiek podatny na różnego rodzaju socjotechniki, który sam udostępnia przestępcom swoje dane do logowania, a nawet zaciąga dla nich pożyczki. Dlatego potrzebna jest edukacja i powszechne informowanie o zagrożeniach. Jednak nie można klientom blokować dostępu do ich środków.

Podsumowując Konferencję, Paweł Minkina, wiceprezes Centrum Prawa Bankowego i Informacji podkreślił, że jest jeszcze wiele tematów do rozpracowania, które są związane z bezpieczeństwem sektora finansowego. Do niektórych trzeba będzie wrócić bardzo szybko, a inne rozwinąć w przyszłym roku.

Źródło: BANK.pl