W wystosowanym niedawno piśmie do bankowców, wiceszef Komisji Nadzoru Finansowego, Wojciech Kwaśniak, słusznie zwrócił uwagę, że banki powinny lepiej dbać o bezpieczeństwo klientów. Wiceszef KNF miał między innymi zalecić bankom, by w swoich działaniach stosowały zasadę „security first” oraz aby na etapie otwierania rachunku wymagały od klientów oświadczenia, że są oni świadomi zagrożeń, jakie wiążą się z korzystaniem z bankowości online.
Zalecenia te spotkały się w sektorze bankowym z zaniepokojeniem. Zdaniem niektórych jego przedstawicieli zaostrzenie wymogów bezpieczeństwa spowolni rozwój innowacyjnych technologii, utrudni pozyskiwanie nowych klientów i nałoży na instytucje finansowe nowe obowiązki informacyjne. Jest w tym sporo racji.
Pisemne oświadczenia to fikcja
Faktem jest, że w dobie czyhających na każdym kroku zagrożeń, klienci banków powinni być lepiej chronieni. Wymóg podpisywania oświadczenia o świadomości zagrożeń jest jednak absurdalny. Takie oświadczenia to nic innego, jak przerzucenie odpowiedzialności za dochowanie odpowiednich standardów bezpieczeństwa na konsumentów. Łatwo sobie wyobrazić sytuację, w której banki wręczają klientom poradniki dot. bezpieczeństwa w sieci, a ci, bez czytania, deklarują na piśmie, że zostali poinformowani. To byłoby uprawianie fikcji – bez pozytywnego wpływu na bezpieczeństwo, za to z negatywnym wpływem na wygodę klientów oraz koszty operacyjne instytucji finansowych.
Ochronić zamiast wymagać
Bezpieczeństwo IT to tak rozległa i złożona dziedzina, że trudno oczekiwać od konsumentów, by posiadali w tym zakresie aktualną wiedzę pozwalającą skutecznie chronić się przed zagrożeniami. To instytucje finansowe oraz wyspecjalizowane firmy powinny dbać o bezpieczeństwo osób korzystających z bankowości internetowej. Już dziś dostępne są rozwiązania, dzięki którym banki mogą łatwo, skutecznie i w sposób zautomatyzowany wykrywać próby bezprawnego logowania oraz dokładnie weryfikować osoby dokonujące transakcji i zbierać informacje na ich temat. Wcale nie wiąże się to z wysokimi kosztami ani głęboką ingerencją w infrastrukturę IT. Trzeba tylko wiedzieć, jakie dane badać, by trafnie wnioskować oraz potrafić budować odpowiednie modele analityczne. Słowem, wystarczy, by banki zaczęły korzystać z usług wyspecjalizowanych firm z obszaru data science.
Software po stronie banku
Pojawiają się głosy, że instytucje finansowe mogą na fali „dbałości o bezpieczeństwo” wprowadzić względem klientów wymóg korzystania z określonego oprogramowania antywirusowego. Nie ma takiej potrzeby. Oczywiście, zawsze warto nakłaniać konsumentów do należytego zabezpieczania sprzętu przed szkodliwym oprogramowaniem, jednak czym innym jest nakłanianie, a czym innym wymaganie. Skoro bank może skutecznie chronić klientów bez ingerencji w to, jakiego oprogramowania używają na swoich prywatnych komputerach, nie powinien stawiać tego rodzaju wymagań.
Identyfikacja to podstawa
Wycieki danych to chleb powszedni branży IT. Zorganizowane grupy przestępcze wolą kupować całe bazy danych wykradane z serwerów firm, niż czaić się na nierozgarniętego Kowalskiego z jego domowym komputerem i paroma tysiącami złotych na rachunku. Z tego też względu, na pierwszym miejscu musi być ochrona dostępu do kont po stronie banku, a nie dostępu do loginów i haseł po stronie konsumenta. Sama znajomość loginu i hasła nie powinna być równoznaczna z możliwością „wyczyszczenia konta”. Przykładowo, Nethone pozwala budować modele analityczne na podstawie informacji takich, jak parametry techniczne sprzętu użytkownika, profil behawioralny (to, co osoba robi na stronie banku i innych stronach), dane z serwisów społecznościowych i wiele, wiele innych. Jest to możliwe dzięki zastosowaniu uczenia maszynowego (Machine Learning). Algorytmy na bieżąco uczą się specyfiki danego banku, nawyków i charakterystycznych cech każdego klienta, a także ewoluują wraz otaczającym światem, stając się coraz skuteczniejsze z każdym kolejnym logowaniem. W efekcie, nawet jeśli dojdzie do kradzieży danych użytkownika, przestępcy mają znikome szanse, by dostać się do konta. Dotyczy to zarówno tradycyjnej bankowości internetowej, jak i aplikacji mobilnych.
Mit wysokich kosztów
Czy zatem zasada „security first” naprawdę jest tak uciążliwa? Nie sądzę. Koszty również są znikome w porównaniu z potencjalnymi stratami w razie zmasowanego ataku przestępców na klientów danego banku. Rozwiązania takie, jak Nethone, działają zdalnie. Bank tylko podłącza się do nich za pomocą specjalnych API. Nie ma zatem mowy o kosztownej, wielomiesięcznej integracji.
Warunek powinien być jeden
Jestem przekonany, że adresaci listu Pana Kwaśniaka docenią możliwości, jakie daje współczesna technologia w walce z fraudami bankowymi. Potrzeba wprowadzania inteligentnych rozwiązań w tym zakresie jest w większości banków paląca. List wiceszefa Komisji trzeba odbierać jako sygnał, że instytucja rozumie wagę problemu, jednak nie jest na bieżąco z rynkiem zabezpieczeń. Wykorzystywanie systemów łączących data science i uczenie maszynowe powinno samo w sobie być postrzegane jako wykonywanie zasady „security first” – bez ograniczania innowacji i ambitnych planów nowoczesnych instytucji finansowych oraz uprzykrzania życia klientom.
Aleksander Kijek, VP of Operations, Nethone
Wojciech Boczoń
