Raport Specjalny. Bezpieczeństwo Banków: Zapobiegaj, a nie walcz. Jak sprostać wymaganiom strong customer authentication (SCA) dyrektywy payment services directive 2 (PSD2)

BANK 2019/05

Duża liczba zmian w sektorze bankowym narzucana przez regulatora wymusza na wszystkich instytucjach finansowych wdrażanie coraz bardziej innowacyjnych rozwiązań. Użytkownicy są często przytłoczeni stopniem skomplikowania systemów. Dodatkowe wymagania związane z bezpieczeństwem wpływają negatywnie na transakcyjność. Digital Fingerprints w ciągu ostatnich dwóch lat opracowało technologię, która bez znaczącej ingerencji w system odbiorcy dostarcza skuteczny i bezpieczny sposób ciągłego uwierzytelniania użytkownika. Dzięki biometrii behawioralnej przeciwdziałamy wyłudzeniom związanym z kradzieżą loginów i haseł, atakami typu klonowanie kart SIM, a także innymi metodami, które uderzają w klientów naszych partnerów. Pierwsze banki w Polsce już korzystają z tej technologii, chroniąc kilkaset tysięcy klientów. System opracowany przez naszych ekspertów jest prosty w integracji z systemami Security Information and Event Management (SIEM), a także systemami antyfraudowymi, które są stosowane w bankach.

W erze transformacji cyfrowej rozumiemy jak ważne dla naszych klientów jest szybkie wprowadzenie innowacji, a także szybkie reagowanie na powstające zagrożenia związane z cyberprzestępczością. Według CISCO Annual Cybersecurity Report jednym z sektorów najbardziej narażonych na cyberataki są finanse. Wynika to z faktu, że jest to branża, która gromadzi najwięcej cennych zasobów i danych. W związku z tym bezpieczeństwo obrotu elektronicznego to główne wyzwanie stawiane aktualnie przed sektorem finansowym. Zadanie wydaje się być ambitne, mając na uwadze, że cyberprzestępczość przyjmuje różne formy, a branża musi zapobiegać m.in. oszustwom, nieuprawnionym wejściom na konta oraz kradzieżom tożsamości.

Warunki rosnącej digitalizacji gospodarki wprowadzają konieczność wdrażania coraz to nowych, bezpieczniejszych sposobów uwierzytelniania użytkowników. Wymogi Strong Customer Authentication (SCA) dyrektywy PSD2 nakładają obowiązek wdrożenia u każdego podmiotu kilku sposobów stałego uwierzytelniania. Jest to niewątpliwie dla sektora finansowego zaproszenie do świata biometrii behawioralnej, która w tym wypadku ukazuje się jako idealne rozwiązanie, ponieważ nie wymaga od klientów dodatkowych urządzeń lub działań.

Czy SMS-y będą nadal wystarczającym sposobem uwierzytelniania? Słuchając głosów na konferencjach branżowych dotyczących Regulatory Technical Standards (RTS) dyrektywy PSD2 wydaje się wręcz pewne, że będzie to zdecydowanie za mało. RTS-y definiują takie zagadnienia, jak silne uwierzytelnianie czy screen scrapping, czyli kwestię dostępu do rachunków klienta.

Dodatkowo regulacja PSD2 stawia sektor bankowy przed kolejnym wyzwaniem, jakim jest konieczność błyskawicznej obsługi nieautoryzowanych transakcji wychodzących z kont klientów. Balans w relacji bank-klient zostanie zdecydowanie przesunięty w stronę klienta, który będzie mógł się domagać zwrotu środków w ciągu 24 godzin od zdarzenia. Spowoduje to powstanie nowej klasy wyłudzeń, gdzie właściciel konta sam przelewa środki, a następnie zgłasza włamanie na konto, żeby wyłudzić zwrot. Konwencjonalne metody autentykacji użytkownika nie są gotowe na takie ataki.

Produkt Digital Fingerprints najlepiej i najprościej definiuje nasze motto „It’s not what you do, it’s the way you do it”. Stworzyliśmy mechanizm, który niepostrzeżenie rozpozna innego użytkownika niż właściciel konta korzystającego z jego dostępu do bankowości elektronicznej. Tworzymy modele uczenia maszynowego w oparciu o dane pozyskane podczas interakcji człowieka z komputerem (Human Computer Interaction – HCI). Tym samym kończymy erę uciążliwych sprzętów (tokeny, zdrapki), które można łatwo zgubić, i skomplikowanych haseł. Jest to rozwiązanie, które nie wymaga żadnych dodatkowych działań – customer story i user experience nie cierpi na rzecz bezpieczeństwa.

Jako Digital Fingerprints oferujemy usługę, która działa nie tylko w środowisku cloudowym, czyli ogranicza koszty po stronie budowania infrastruktury i jej administrowania w trybie on premise, ale także nie ingeruje bezpośrednio w system klienta i nie przetwarza bezpośrednio danych użytkowników, co rozwiązuje palące problemy związane z RODO. Tym samym nie zbieramy żadnych informacji uznawanych za jednoznacznie identyfikujące użytkownika, tzn. danych o przeglądarce bądź adresie IP. Celem naszej firmy nie jest pozyskiwanie danych o tym, co robi użytkownik, ale w jaki sposób to robi – pomiary skoncentrowane są tylko i wyłącznie na jego zachowaniu. W tym wypadku przedmiotem naszej weryfikacji jest charakterystyka tego, w jakim tempie pisze na klawiaturze, dynamika poruszania kursora lub krzywa tworzona podczas ruchu myszką itp. Nasze zachowanie – podobnie jak odciski palców – jest trudne do podrobienia dla każdej jednostki. Zbieramy dane dzięki szerokiej palecie sensorów wbudowanych w urządzenia, z których dany użytkownik korzysta w codziennym kontakcie z internetem. Źródłem danych są dla nas urządzenia wejścia, takie jak: mysz, klawiatura, touchpad, a także sensory urządzeń mobilnych. Każdy służy temu, by proces uwierzytelniania był silniejszy i trudniejszy do podrobienia. Na podstawie zgromadzonych informacji budujemy modele uczenia maszynowego indywidualnie dla każdego odbiorcy, by zmaksymalizować jakość dostarczanej usługi. Tak przygotowane rozwiązanie pozwala na skalowanie naszego rozwiązania dla milionów użytkowników. Jakość modeli dobierana jest wraz z partnerami w zależności od analizy ryzyka. Podstawą naszego systemu jest uczenie maszynowe. Im więcej danych posiadamy – tym lepszej jakości modele dostarczamy.

Stworzyliśmy Digital Fingerprints, aby dostarczyć narzędzie, które obroni każdego użytkownika usługi o kluczowym znaczeniu przed kradzieżą cyfrowych zasobów, a także tożsamości. Bardzo istotnym elementem przy przetwarzaniu danych jest dbanie o prywatność i cel przetwarzania. Dzięki temu nasz produkt można śmiało wykorzystać w formie działania prewencyjnego, które skutecznie zapobiegnie wszelkim nieuprawnionym dostępom do kont użytkowników. Niewątpliwie mocną stroną naszego rozwiązania jest krótki czas identyfikacji zdarzenia do klasyfikacji zachowania. Daje to możliwość praktycznie natychmiastowej reakcji dostawcy usługi na zaobserwowany incydent. Co więcej, nasza usługa wykonuje ciągłe uwierzytelnianie i chroni użytkownika jeszcze przed momentem zalogowania. Jej działanie trwa do momentu, aż sesja w danym serwisie się nie zakończy. Dzięki temu możliwa jest ochrona przed kradzieżami sesji i kradzieżami tożsamości. Podczas pojedynczej sesji online sprawdzamy kilkadziesiąt do kilku tysięcy razy czy osoba używająca danego loginu i hasła zachowuje się tak jak pierwotny użytkownik podczas poprzednich sesji.

Zachowania każdego użytkownika zmieniają się w czasie i mogą mieć charakter nagły (np. w przypadku zdarzenia losowego związanego ze złamaniem ręki). Istotnym aspektem, który wpływa na jakość systemów uczenia maszynowego jest umiejętność dostosowania się do zmian. Nasze rozwiązanie szybko dostosowuje się do zmian w zachowaniu użytkownika, a częstotliwość adaptacji jest elementem konfiguracji. System przygotowany jest do aktualizacji modeli uczenia maszynowego nawet po każdym zalogowaniu do systemu.

Takie rozwiązanie pozwala naszym klientom oszczędzić nie tylko czas i pieniądze, które przeznaczają na likwidację negatywnych skutków cyberataków, ale także podnieść swoją konkurencyjność na szybko rozwijającym się rynku usług bankowych. Dodatkowo wymaganie PSD2 tak zwanego silnego uwierzytelniania jest spełniane bez naruszania prywatności użytkownika i bez negatywnego wpływu na user experience.

Udostępnij artykuł: