Biometria behawioralna pomaga w walce z hakerami

Materiał powstał we współpracy z BIK

Aż 95 proc. Polaków na co dzień korzysta z internetu, a bankowość internetowa i mobilna zyskują popularność. Z jednej strony nowe technologie ułatwiają życie, a z drugiej są źródłem zagrożenia, m.in. w postaci cyberataków. Coraz częściej oszuści, wykorzystując socjotechniki, pozyskują dane klientów, niezbędne do logowania i do autoryzacji transakcji. Jak można się przed nimi bronić w sektorze finansowym?

Obecnie prawie 23 mln Polaków używa aktywnie bankowości elektronicznej, a ponad 20 mln bankowości mobilnej. Używa aktywnie, czyli przynajmniej raz w miesiącu loguje się do bankowości. Przyspieszona digitalizacja, którą obserwujemy od czasu wybuchu pandemii, przekłada się na większą liczbę transakcji elektronicznych, ale również niestety na większą aktywność oszustów i cyberprzestępców.

Według statystyk NBP, liczba i wartość transakcji oszukańczych z roku na rok rośnie. Od 2020 r., czyli od momentu przyspieszenia digitalizacji procesów, ta liczba się podwaja. W całym 2022 r. takich transakcji wyłudzeń było około 60 tys. na prawie 200 mln zł – tylko z wykorzystaniem funkcjonalności „polecenie przelewu”.

Jak wyglądają te oszukańcze transakcje?

Ponad 60 proc. ataków jest nakierowanych na kradzież tożsamości, z wykorzystaniem różnych metod socjotechnicznych. To np. fałszywe linki w mailach, SMS-ach, maile ze złośliwym oprogramowaniem czy wykorzystanie pulpitów zdalnych. Praktycznie wszystkie banki ciągle publikują komunikaty i ostrzeżenia dla klientów. Wyraźnie widać, że do zabezpieczenia się w bankowości elektronicznej nie wystarczy już login i hasło. Wymagana jest ciągła weryfikacja transakcji – również już po zalogowaniu, w oparciu o dodatkowe mechanizmy uwierzytelniające.

Obecnie bezpieczeństwo w świecie cyfrowym zależy od trzech głównych czynników. Po pierwsze, konieczne są nowoczesne systemy i narzędzia, które w czasie rzeczywistym monitorują transakcje i zachowanie użytkowników, wychwytując niestandardowe zachowania i informując banki i inne instytucje o podejrzanych transakcjach. Po drugie, w świecie cyfrowym konieczna jest współpraca i wymiana informacji w całym sektorze o wyłudzeniach i atakach.

To właśnie wdraża BIK – czyli rozwiązania sektorowe. Wszyscy uczestnicy korzystają z systemu i wymieniają się informacjami o zagrożeniach, co zdecydowanie minimalizuje skalę i skutki cyberataków. Trzecim ważnym elementem jest budowanie świadomości użytkownika końcowego i edukowanie go w zakresie możliwych zagrożeń.

W jaki sposób BIK łączy kompetencje w obszarze wymiany informacji i analizy z zaawansowaną technologią antyfraudową?

Grupa BIK to największa baza informacji o zobowiązaniach finansowych i kredytowych w Polsce. Obecnie nasza baza zawiera informacje o około 170 mln rachunków, należących do 25 mln klientów indywidualnych. Mamy też w bazie ponad 5 mln rachunków, należących do prawie 2 mln firm. Z naszych usług korzysta około 750 instytucji, w tym wszystkie banki komercyjne, spółdzielcze, większość firm pożyczkowych, leasingowych oraz faktoringowych. Banki i i inne instytucje finansowe aktualizują dane przynajmniej dwa raz w tygodniu. Posiadamy odpowiednie systemy i rozwiązania IT oraz kompetencje niezbędne do zarządzania tak olbrzymimi wolumenami danych.

Oprócz podstawowych danych – czyli raportów kredytowych – dostarczamy też instytucjom finansowym różnego rodzaju zaawansowane analizy i scoringi, które wykorzystywane są do oceny zdolności kredytowej konsumentów. Dzielimy się też z rynkiem statystykami i analizami na temat tego, co ma wpływ na gospodarkę i zachowania klientów na rynku kredytowym.

Poza swoją podstawową działalnością BIK wspiera też bezpieczeństwo systemu finansowego, dostarczając nowatorskie rozwiązania antyfraudowe.

Jakie konkretnie narzędzia zostały już wdrożone przez BIK i na jakich poziomach zabezpieczają użytkowników?

Wśród systemów, które wdrożyliśmy, jest m.in. Platforma Antyfraudowa BIK. To system do prewencji w obszarze kredytowym – dla klientów indywidualnych oraz dla firm. Działa w trybie rzeczywistym, analizując wnioski kredytowe, wyszukując podejrzanych powiązań oraz generując alerty i ostrzeżenia dla wszystkich uczestników platformy. Z tego rozwiązania korzysta już 28 instytucji finansowych, a kolejne systematycznie dołączają. Mamy obecnie około 20 nowych projektów podłączeniowych. Od początku swojej działalności Platforma Antyfraudowa BIK zatrzymała wnioski kredytowe, będące próbami wyłudzenia, na łączną kwotę ponad 600 mln zł.

Nasze drugie rozwiązanie, też o charakterze sektorowym, służy nie tylko do badania nadużyć na poziomie wniosków kredytowych, ale również w obszarze nadużyć w kanałach online. To Platforma Cyber Fraud Detection. Jej zadaniem jest analiza zachowania końcowego urządzenia użytkownika. Z tej platformy również korzysta już ponad 20 instytucji.

Ponadto ostatnio udostępniliśmy nasze najnowsze rozwiązanie, czyli Platformę Biometrii Behawioralnej BIK.

Jaki jest cel i zasada jej działania?

Biometria behawioralna wykorzystuje zaawansowane algorytmy uczenia maszynowego. Na podstawie naszego zachowania przed urządzeniem, np. tempa naciskania przycisków na klawiaturze, sposobie ruszania myszką czy odczytów z sensora smartfona, buduje model behawioralny. Jest on unikalny dla każdego z nas. Gdy profil klienta zostanie zbudowany, przy każdym zalogowaniu do bankowości mobilnej czy elektronicznej następuje weryfikacja naszego zachowania w stosunku do zbudowanego wcześniej modelu. W ten sposób z bardzo dużym prawdopodobieństwem – tylko po zachowaniu klienta – jesteśmy w stanie stwierdzić czy z danego konta korzysta przypisany do niego właściciel czy inna osoba.

Jakie są unikalne cechy tego rozwiązania?

Biometria behawioralna to nowy, wyższy poziom zabezpieczenia klienta i jego transakcji w kanałach elektronicznych. To rozwiązanie transparentne, niewidoczne dla klienta, działa w tle. Klient nie musi wykonywać żadnych dodatkowych działań. Co ważne, biometria behawioralna nie jest rozwiązaniem punktowym, tak jak inne systemy biometryczne.

Platforma Biometrii Behawioralnej BIK działa w trybie ciągłym – od momentu zalogowania przez cały czas trwania całej sesji. To pozwala na wykrycie próby nieautoryzowanego dostępu (np. zainstalowania zdalnego pulpitu) również po zalogowaniu. Unikalną cechą naszego rozwiązania jest sektorowość, czyli wymiana informacji w ekosystemie finansowym. Profil jest zasilany danymi z różnych źródeł, z różnych banków jednocześnie. Dzięki temu profil użytkownika budowany jest szybciej i jest możliwość wykorzystania zbudowanego profilu do ochrony nie tylko aktywnych klientów, ale też tych klientów, którzy logują się rzadko.

Dla kogo przeznaczony jest ten system?

Dla banków i instytucji finansowych, ale de facto chroni klientów banków i ich środki – czyli wszystkich nas, konsumentów. W pierwszym etapie skupiamy się na sektorze finansowym, widzimy natomiast możliwość zwiększenia bezpieczeństwa dzięki naszemu systemowi również w innych sektorach.

Na przykład w e-handlu?

Tak, jak najbardziej. Obszarami do wykorzystania biometrii behawioralnej oprócz e-commerce jest przykładowo telekomunikacja.

Użytkownik nie musi się obawiać, że algorytmy będą mieć dostęp do wrażliwych danych? To nie konkretne dane są analizowane, ale sposób ich użycia?

Zgadza się. Nie są analizowane wrażliwe dane, jedynie dane bezkontekstowe. Czyli np. jak użytkownik pisze, a nie co pisze. Z tej perspektywy klient może czuć się zupełnie bezpieczny.

To narzędzie jest już uwzględnione w regulacjach prawnych?

Tak, biometria behawioralna została uznana za metodę silnej autoryzacji przez European Banking Authority.

Czy biometria behawioralna może zrewolucjonizować myślenie o cyberbezpieczeństwie?

W dobie galopującej cyfryzacji innowacyjne rozwiązania zabezpieczające odgrywają coraz większą rolę w zapewnianiu bezpieczeństwa. Przykładem takich nowoczesnych rozwiązań antyfraudowych jest właśnie Platforma Biometrii Behawioralnej BIK. Dużą wartością tego narzędzia jest współpraca i wymiana informacji pomiędzy instytucjami. Zaczynamy od udostępniania tego rozwiązania w instytucjach finansowych, w Polsce. Naszą ambicją jest również wyjście na rynki zagraniczne z naszym rozwiązaniem.

Potencjał rozwiązania Biometrii Behawioralnej BIK jest ogromny. Jest najbardziej innowacyjnym sposobem na dodatkowe zabezpieczenie sektora finansowego i jego klientów, czyli nas wszystkich, przed wyłudzeniami.