Coraz większa częstotliwość cyberataków powoduje, że instytucje finansowe muszą lepiej zapobiegać przestępstwom w sieci. Cyberbezpieczeństwo w bankach staje się kluczowe. W co inwestują i zainwestują bankowcy, aby osiągnąć ten cel? Jak chronią i będą chronić swoich klientów?
Rośnie liczba potencjalnych celów
Ciągle rośnie liczba osób korzystających z bankowości internetowej i mobilnej. Już niemal 21 mln klientów samodzielnie loguje się do swojego banku przynajmniej raz w miesiącu. To wzrost o ponad 2,2% w porównaniu do poprzedniego kwartału i aż 7,3% r/r.
Powoli doganiają ich już też użytkownicy mobilnych aplikacji bankowych. W III kwartale 2021 roku prawie 16 mln osób przynajmniej raz w miesiącu zalogowało się do banku z urządzenia mobilnego. Był to wzrost o prawie 5% w porównaniu do poprzedniego kwartału i aż o 16% r/r.
Rośnie też liczba użytkowników aplikacji mobilnych określanych jako „mobile only”. Są to osoby, które już się w ogóle nie logują do tradycyjnej bankowości internetowej. Nie mówiąc już nawet o wizytach w oddziale banku. W III kwartale 2021 roku było ich już w Polsce ponad 9 milionów (rok wcześniej ponad 2 miliony mniej)!
Częściowo jest to naturalny wzrost. Młodsi klienci, wchodząc w świat zarządzania finansami osobistymi, nawet nie wyobrażają sobie wizyty w oddziale. Ponadto instytucje finansowe zachęcają do samodzielnego bankowania i część starszych klientów też się do tego przekonuje. Taka zachęta to wygoda, ale też zauważalna różnica w tabeli opłat i prowizji oraz konieczność autoryzacji transakcji przez aplikację.
Potencjalnych celów dla cyberprzestępców będzie więc coraz więcej. Rośnie liczba urządzeń podłączonych do Internetu, a także przedmiotów w tzw. Internecie Rzeczy, czyli urządzeń komunikujących się ze sobą nawzajem. Poniżej wklejam wykres z IoT Analytics. W 2019 roku po raz pierwszy liczba urządzeń działających w Internecie Rzeczy dogoniła pozostałe urządzenia.
Stała weryfikacja
Środowisko płatnicze staje się coraz bardziej bezgotówkowe i jednocześnie coraz bardziej narażone na cyberataki. Instytucje finansowe muszą zagwarantować swoim klientom bezpieczeństwo i spokój. Według szacunków GlobalData globalne przychody z bezpieczeństwa w sektorze bankowości wzrosną z niecałych 8 mld w 2019 roku do prawie 10 mld w 2024 roku.
Przestępcy stosują coraz bardziej wyrafinowane techniki, aby dostać się na nasze rachunki bankowe. Szczególnie groźna jest socjotechnika, za pomocą której udaje im się zdobyć dane dostępowe do naszego konta lub nakłonić nas do jakiejś czynności. Po przejęciu konta, naszą ostatnią linią obrony będą algorytmy bezpieczeństwa stosowane w banku.
Dlatego też weryfikacja klientów w banku musi być nieustanna. Nie wystarczy więc już samo sprawdzenie dowodu (często rutynowe i ograniczające się do weryfikacji płci) podczas otwierania konta. Algorytmy będą się uczyć naszych zachowań i wyłapią odstępstwa od normy.
Banki muszą opracować (lub kupić) technologię, która umożliwi stałą weryfikację klienta podczas całego jego „życia” bankowego. Każde logowanie do bankowości elektronicznej, każda płatność kartą, każdy przelew przychodzący i wychodzący, każdy wniosek kredytowy, każda dyspozycja, itd. będą sprawdzane na bieżąco przez sztuczną inteligencję pod kątem potencjalnego działania osoby nieuprawnionej.
Stała weryfikacja pozwoli też wychwycić konta bankowe założone na tzw. „słupów”, czyli normalnych ludzi, którzy zostali użyci przez przestępców do otwarcia konta. Następnie takie konto było przejmowane i używane chociażby do prania brudnych pieniędzy.
Sztuczna inteligencja będzie się uczyć naszych zachowań finansowych, ale też będzie w stanie porównać je z ogromną bazą zachowań konsumentów na świecie. W największym skrócie: to nie będzie tak, że – jeżeli nigdy nie piliśmy kawy na mieście – to wizyta w Starbucks zablokuje nam konto. Odpowiednie algorytmy będą wiedzieć, że ludzie podobni do nas pijają kawę.
Przeczytaj też artykuł o kontach bankowych!
Cyberbezpieczeństwo w bankach jest wrogiem wygody?
Zauważalnym problemem w ochronie naszego bezpieczeństwa w sieci jest czas. Nie da się ukryć, że działania ochronne potrafią być frustrujące, jeżeli bank po raz któryś sprawdza, czy my to my.
Nowe technologie rozwijają się błyskawicznie, ale podobnie szybko ewoluują pomysły ceberprzestępców. Pojawiła się zdalna możliwość otworzenia konta bankowego i została wykorzystana do oszustw. Teraz już najczęściej musimy wykonać dodatkowe czynności (video rozmowa; patrzenie w lewo, w prawo, do góry; wizyta w oddziale w celu podniesienia limitów, itd.).
Wszyscy wiemy, że banki robią to dla zabezpieczenia naszego majątku, ale nikt nie lubi ciągłych i uporczywych autoryzacji. Logujesz się z tego samego laptopa codziennie? Nie ważne, na wszelki wypadek co jakiś czas podaj kod z SMS-a. Płacisz kartą w Internecie? Podaj nazwisko panieńskie matki dla bezpieczeństwa. Robisz co miesiąc większy przelew do tego samego odbiorcy? Zablokujemy go i nasz pracownik zadzwoni z weryfikacją.
Szczególnie, że potem słyszymy w mediach o tzw. scamach, w których przestępcy użyli socjotechniki, zdobyli dane dostępowe do konta i żaden algorytm nie wykrył nic podejrzanego w logowaniu z nowego urządzenia, dodaniu odbiorcy zaufanego (pierwszego w historii), wzięciu kredytu, zamknięciu lokat i wytransferowaniu wszystkich pieniędzy w środku nocy.
Technologie w cyberbezpieczeństwie muszą stać się na tyle rozwinięte, aby skutecznie działać w tle. Algorytmy muszą bezbłędnie wyłapać, że tym razem to ktoś inny loguje się na nasze konto albo korzysta z naszej karty płatniczej. No i całość musi być błyskawiczna, wręcz niezauważalna dla użytkownika.
Umiejętność takiego oddzielenia faktycznych działań użytkownika od prób oszustów, które nie spowoduje dodatkowej niedogodności dla klienta, to jedno z największych wyzwań cyberbezpieczeństwa.
Przeczytaj też (Subiektywnie o Finansach): Cyberbezpieczeństwo w bankach: sztuczna inteligencja i nie tylko, czyli jak nowe technologie w ostatnich latach zwiększyły bezpieczeństwo transakcji kartowych? 180 mld transakcji rocznie pod lupą
Biometria przybywa na pomoc
Organizacje finansowe będą coraz śmielej i intensywniej wdrażać sztuczną inteligencję opartą na biometrii. To się już dzieje, ale na razie ogranicza się głównie do autoryzacji transakcji (najczęściej odcisk palca, rzadziej siatkówka oka). Banki testują jednak całościową weryfikację opartą na biometrii.
Dzięki wykorzystaniu biometrii głosu zaawansowane algorytmy są w stanie wykorzystać do analizy ponad 1000 indywidualnych cech naszego głosu, takich jak wymowa czy kształt przewodu nosowego. W rezultacie nie będzie żadnych zbędnych pytań o nazwisko panieńskie matki, miesiąc urodzenia (o zgrozo) ani o to, czy mamy konto walutowe. Bank podczas rozmowy po prostu będzie wiedział, czy to my jesteśmy po drugiej stronie słuchawki.
Nie zawsze będzie jednak czas, aby sprawdzić nasz głos. Większość transakcji wykonujemy jednak sami. Tutaj z pomocą przychodzi biometria behawioralna, czyli analiza najdrobniejszych szczegółów w naszych zrachowaniach. Każdy z nas inaczej pisze na klawiaturze, inaczej trzyma telefon, inną ilość czasu poświęca na wprowadzenie hasła.
Z wielu takich zachowań nawet nie zdajemy sobie sprawy, a ludzkie oko może mieć problem z ich wypatrzeniem. Sztuczna inteligencja rozróżni je jednak w ciągu milisekund i zweryfikuje, czy to my w danym momencie płacimy naszą kartą płatniczą, czy to my się logujemy do banku lub, czy to my teraz dodajemy odbiorcę zaufanego.
Grafolodzy są w stanie ustalić tożsamość autora pisma ręcznego. Na podobnej zasadzie sztuczna inteligencja w bankach będzie w stanie stwierdzić, czy to właśnie my dokonujemy danej transakcji.
Hasło to przeżytek?
Weryfikacja oparta na biometrii ma jeszcze jedną zaletę. Zdejmuje z klientów konieczność ustalania i pamiętania loginów, haseł i innych danych uwierzytelniających. Nie trzeba się będzie martwić, czy nasze hasła są wystarczająco bezpieczne lub o to, czy zostaną skradzione.
Naszą główną tarczą ochronną będziemy my sami. Naszym hasłem będzie nasz głos, nasz odcisk palca i nasze zachowanie. Tylko tutaj potrzeba jeszcze większej odwagi ze strony banków. Niestety ciągle spotykam się z tym, że mogę autoryzować transakcję biometrią, ale przy znacznej kwocie, to już lepiej żebym podał PIN. A to przecież biometria jest bezpieczniejsza.
Oczywiście jestem pewny, że po pełnym wdrożeniu takiej biometrycznej weryfikacji, cyberprzestępcy udoskonalą swoje techniki. W rezultacie będą nas nakłaniać, za pośrednictwem socjotechniki, abyśmy sami przelali im pieniądze. Dlatego nie możemy zapominać o bezpieczeństwie.
Instytucje finansowe muszą więc wziąć pod uwagę i zapewnić, że wdrożone metody bezpieczeństwa nie będą nadmiernie uzależnione od pojedynczego rozwiązania technologicznego. Musimy być chronieni na większej liczbie etapów, aby spać spokojnie.
Czytaj też: Metadane: dane o danych, dzięki którym każdy z nas może być Sherlockiem Holmesem Internetu
Musimy się edukować i edukować innych, bo technologie to tylko połowa sukcesu
Cyberbezpieczeństwo w bankach staje się kluczowe. Instytucje finansowe będą się starać dbać o nasz majątek oraz (co jest równie trudne) przekonywać nas, że potrafią o ten majątek dbać. Oczywiście żadne, nawet najlepsze, algorytmy banków nie zastąpią naszego zdrowego rozsądku.
Bardzo łatwo jest pomyśleć, że mnie to nikt nie da rady oszukać. Niestety to nieprawda, bo okradziono już naprawdę inteligentne i zaradne osoby. Przestępcy stosują zaawansowaną socjotechnikę, zdobywają szczątkowe dane lub korzystają z wycieków internetowych. Chwila nieuwagi i możemy stracić wszystkie oszczędności (a nawet więcej, bo mogą nas zadłużyć).
Dlatego instytucje finansowe, dziennikarze, rząd i inne autorytety powinny stale edukować obywateli w zakresie cyberbezpieczeństwa. Powinniśmy być stale informowani o aktualnych cyberzagrożeniach oraz o błędach, jakie możemy popełnić.
Zasady w stylu: „nie klikaj w linki z SMS-ów”, „nie otwieraj załączników z e-maili, na które nie czekasz”, „ręcznie wpisujcie adres strony w pole przeglądarki” itd. trzeba powtarzać jak mantrę. Instytucje finansowe będą coraz częściej (i mam nadzieję coraz lepiej) nas edukować za pośrednictwem odpowiednich kanałów kontaktowych.
Oprócz tego ważnym elementem strategii „cyberbezpieczeństwo w bankach” powinny być powiadomienia o trwających atakach. Krótki opis tego, jak przebiega dany atak, umieszczony na stronie internetowej banku (najlepiej połączony z powiadomieniem push w aplikacji mobilnej i e-mailem) z dołączonym screenem. Robią tak chociażby w Alior Banku, który jest partnerem niniejszego cyklu.
––––––––––––––––––––––––––––––––––––
Artykuł powstał w ramach cyklu
„Cyberbezpieczeństwo w Twoim portfelu”,
którego Partnerem jest Alior Bank
Zdjęcie główne: KeepCoding / unsplash
Problem bezpieczeństwa naszych pieniędzy w bankach nie wynika z używania takiej czy innej technologii, ale głównie z faktu, że w społeczeństwie zawsze są osoby nieuczciwe, które nie mają skrupułów aby okraść innych. Kiedy bank udoskonali zabezpieczenia, przestępcy udoskonalą metody kradzieży. Jest to nieustanna zabawa w kotka i myszkę. Żadna technologia nie rozwiąże tego problemu. Statystyki nieautoryzowanych transakcji pokazują wręcz, że im bardziej zaawansowane technologie stosują banki tym dochodzi do większej ilości kradzieży.
Kiedyś, kiedy klienci załatwiali wszystkie swoje sprawy w oddziałach banków i autoryzowali dyspozycje własnoręcznym podpisem, problem nieautoryzowanych transakcji nie istniał (oddział to nadal najbezpieczniejszy sposób korzystania z bankowości). Problemy zaczęły się gdy pojawiła się bankowość internetowa oraz mobilna – z roku na rok mamy coraz więcej nieautoryzowanych transakcji i nie należy się spodziewać zmiany tego niekorzystnego trendu.
Biometria rozwiązuje dwa problemy i tworzy jeden nowy.
Czym jest cyfrowy zapis odcisku palca, źrenicy, twarzy, głosu itp. gdy służy do uzyskania dostępu? Jest to nic innego jak długie i skomplikowane hasło. Biometria rozwiązuje problem słabych haseł oraz problem zapamiętywania haseł. Powstaje jednak nowy problem – „biometrycznego hasła” nie można zmienić w przypadku jego kradzieży lub wycieku.
Już teraz dochodzi do wykradania danych biometrycznych. Jest tylko kwestią czasu kiedy przestępcy będą potrafili wykorzystać te dane do ataków na konta bankowe zabezpieczone biometrycznie.