Wojciech Boczoń
-
12.12.2018 (11:59) mBank rozpoczyna pilotaż nowych zabezpieczeń w bankowości elektronicznej opartych o biometrię behawioralną. System po analizie zachowań użytkownika będzie w stanie rozpoznać, czy osoba który zalogowała się do e-banku jest osobą do tego upoważnioną.
Zasadniczą wadą obecnie funkcjonujących zabezpieczeń w bankowości elektronicznej jest to, że działają tylko w danej chwili – w momencie, gdy logujemy się do banku. Upraszczając nieco możemy powiedzieć, że złodziejowi wystarczy login i hasło do bankowości elektronicznej, by system uznał go za osobę uprawnioną do wykonywania operacji na rachunku. Po wpisaniu prawidłowych danych następuje autoryzacja, która pozwala oszustowi buszować po rachunkach klienta.
Biometria behawioralna, czyli jedno z najnowszych metod zabezpieczeń w bankowości, eliminuje ten problem. Działa bowiem w sposób ciągły – jest w stanie monitorować na bieżąco aktywność użytkownika po zalogowaniu się do systemu bankowości elektronicznej i wychwytywać podejrzane zachowania. Taką właśnie metodę autoryzacji wprowadza mBank do swoich systemów bankowości elektronicznej (Digital Fingerprints). Najpierw jako pilotaż dla grupy 50 tys. klientów, który potrwa do końca przyszłego roku. Projekt realizowany jest przez mBank we współpracy z Centrum Bezpieczeństwa Cyfrowego – spółką z portfela funduszu mAkcelerator.
Podczas dzisiejszej konferencji prasowej zaprezentowano jak system zabezpieczeń behawioralnych działa w praktyce. Jest na przykład w stanie rozróżnić, że do rachunku – prawidłowymi danymi dostępowymi – zalogowały się dwie różne osoby. W inny sposób, z inną szybkością wpisały bowiem dane do okienek logowania. Po wejściu do systemu wyświetla się ostrzeżenie, że coś jest nie w porządku.
Biometria behawioralna wykorzystuje uczenie maszynowe. System poznaje zachowania użytkownika w czasie. Wie jak loguje się do banku, z jaką intensywnością i szybkością wpisuje znaki na klawiaturze, jak używa myszki czy touchpada. Wszystkie te parametry tworzą unikalny wzorzec zachowań użytkownika. W efekcie bank może rozpoznać, gdy do rachunku spróbuje zalogować się osoba o innych cechach behawioralnych.
Zainteresowani usługą użytkownicy będą musieli wcześniej wyrazić zgodę na udział w pilotażu. Bank nie obejmie nią osób, które tego nie chcą. Po wyrażeniu zgody przez uczestnika, w serwisie transakcyjnym mBanku uruchamiać się będzie specjalny kod. Zmierzy on typowe zachowania użytkownika w trakcie korzystania z bankowości on-line, oparte na: sposobie poruszania myszy, przycisku „scroll” oraz „touchpada”, dynamice korzystania z klawiatury komputera, a w przyszłości używaniu ekranu smartfona. Na tej podstawie zostanie zbudowany „obraz” użytkownika, czyli jego indywidualny profil behawioralny. System będzie identyfikować użytkowników, porównując ich bieżące interakcje z gotowym profilem.
Przedstawiciele banku podkreślają, że system nie sprawdza co robi użytkownik, tylko jak to robi. W jaki sposób wchodzi w interakcję z urządzeniem, przeglądarką. Dane wykorzystywane są wyłącznie do zabezpieczeń i nie będą przetwarzane w żadne inny sposób. Uspokajają, że biometria behawioralna nie ma nic wspólnego ze śledzeniem użytkownika.
Zabezpieczenie behawioralne ma być skuteczniejsze od innych form biometrii. Także dlatego, że nasze zachowania mogą się zmieniać w czasie, a cechy takie jak układ krwinek, tęczówka czy odciski palców są niezmienne. Jeśli raz zostaną „skompromitowane”, nie da się ich później zamienić na inne.
mBank nie jest jedyną instytucją, która prowadzi prace w obszarze biometrii behawioralnej. Część z Was może pamiętać moją rozmowę z Aleksandrem Naganowskim z Mastercarda, który opowiedział o tym rozwiązaniu. Firma kupiła spółkę NuData, która specjalizuje się w zabezpieczeniach opartych o biometrię behawioralną. Rozmowę na ten temat znajdziecie pod tym linkiem.