Odcisk palca, skan tęczówki, rysy twarzy, głos… O takiej biometrii – i o tym, że już bywa wykorzystywana do weryfikacji klientów banków – zapewne słyszeliście. Ale nadchodzi kolejna rewolucja. To biometria behawioralną. Dzięki niej nie będziemy potrzebowali hasła do bankowości elektronicznej. Już na podstawie tego w jaki sposób wpisujemy swój własny login albo imię i nazwisko banki będą weryfikowały, że osoba wpisująca dane to uprawniony do wejścia na konto klient. W tym roku z pierwszych zastosowań biometrii behawioralnej może skorzystać kilka milionów posiadaczy kont bankowych. Czas się cieszyć czy bać?
Wdrożenie biometrii behawioralnej jako dodatkowego elementu systemu antyfraudowego zapowiedział kilka tygodni temu mBank. W ramach pilotażu testowany będzie na grupie 50.000 klientów banku. Pod koniec roku, choć niewykluczone, że nastąpi to wcześniej, ma objąć wszystkich klientów.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
W jaki sposób ta technologia może zwiększyć nasze bezpieczeństwo? O tym rozmawiam z Mateuszem Chrobokiem, prezesem firmy Centrum Bezpieczeństwa Cyfrowego, który wraz z zespołem informatyków stworzył system oparty na biometrii behawioralnej.
Przeczytaj też: Nie możesz znaleźć swojego funduszu w nowych tabelach wyników? Może… „przymusowo” zmienił nazwę. Bo nie jest (już) superbezpieczny
Maciej Bednarek: Czym jest biometria behawioralna? Jak sprawdzacie czy dany internauta jest tym za kogo się podaje?
Mateusz Chrobok: Patrzymy na to, w jaki sposób wykonujesz różne czynności na danej stronie internetowej. Na tej podstawie budujemy matematyczne modele, które odzwierciedlają twoje zachowanie. Gdyby ktoś inny próbował skorzystać z twojego konta, wówczas zachowanie, które zaobserwujemy, będzie niezgodne z twoim modelem. Dajemy wtedy sygnał do osób zarządzających bezpieczeństwem danego serwisu interentowego, że coś jest nie tak.
Dzięki temu jesteśmy w stanie dodatkowo chronić twoje konto, np. bankowe, ale też konta w innych serwisach internetowych. Chcę podkrerślić, że – nie interesuje nas to co robisz, ale w jaki sposób to robisz. Nie badamy więc tego co wpisujesz na klawiaturze, lecz jak w nią stukasz. Nie zbieramy loginów, ani haseł, a jedynie informację o twoim zachowaniu.
Jest kilka typów biometrii behawioralnej. My skupiamy się na interakcji użytkownika z komputerem, czyli klawiaturą, myszą, touchpadem. Model matematyczny, który odzwierciedla sposób korzystania użytkownika z tymi sensorami, jest jak dziecko, które uczy się nowych rzeczy. Z czasem model coraz lepiej potrafi potwierdzić, że jesteś osobą, za którą się podajesz, a nie kimś innym.
Jak to będzie działało w bankach?
W mBanku wdrażamy biometrię behawioralną, żeby chronić klientów przed nadużyciami. Ataków na nasze konta jest dużo i będzie ich coraz więcej. Np. jeśli logujesz się do banku z otwartej sieci wi-fi, np. w centrum handlowym, to istnieje ryzyko, że gdy zalogujesz się do banku, ktoś przechwyci twoje połączenie i zrobi coś w twoim imieniu.
Jeśli to wykryjemy – a możemy to zrobić właśnie na podstawie zmiany zachowania użytkownika na stronie internetowej – przekażemy sygnał bankowi, a ten powinien odpowiednio zareagować. Bankowe systemy antyfraudowe złożone są z wielu elementów. Potrafią badać twoje otoczenie, twoje urządzenie, prawidłowości dotyczące twoich transakcji. Biometria behawioralna jest jednym z komponentów tego systemu, ale to bank podejmuje ostateczną decyzję, jak w danej sytuacji zareagować. Im więcej jest tych komponentów, tym trudniej zaatakować klienta.
Przeczytaj też: Niewykluczone, że w 2019 r. zapłacimy kartą bez PIN-u za większe zakupy. Czy to bezpieczne? Sprawdzamy jak banki zabezpieczają zbliżenia
W pewnym sensie śledzicie konsumentów. W którym momencie zaczynacie zbierać dane o zachowaniu danej osoby? Czy klienci banku są informowani o tym, że zostali poddani takiej praktyce?
Dane zaczynamy zbierać w momencie, gdy wejdziesz na stronę logowania banku. Twoja przeglądarka otrzymuje informację, że jesteś klientem korzystającym z usługi digitalfingerprints, a więc że wyraziłeś zgodę na zbieranie danych o twoim zachowaniu. Jeśli nie, żadne dane do nas nie trafią. Jeśli tak, wówczas dane, które zostały zebrane przez przeglądarkę, są do nas wysyłane.
Dzięki temu już na etapie wprowadzania loginu i hasła system może ocenić, czy było to robione zgodne z twoim profilem. Od tego momentu wysyłka danych trwa w sposób ciągły i na bieżąco sprawdzamy, czy to ty piszesz na klawiaturze. Jeśli odejdziesz od komputera, a ktoś inny podejdzie i spróbuje zrobić przelew w innej kwocie, na inny numer rachunku, to jesteśmy w stanie ochronić cię przed takim atakiem.
Wiele osób może zachowywać się podobnie. Jaka jest gwarancja, że wykryjecie różnice w zachowaniach internautów?
Zrobiliśmy testy w warunkach laboratoryjnych, a obecnie trwa pilotaż na wybranej grupie klientów mBanku. Im więcej mamy danych, tym tego typu systemy działają lepiej. Jeśli mamy dwie osoby używające np. klawiatury w podobny sposób, to wówczas możemy wykorzystywać inne, dodatkowe cechy. Możemy badać np. trajektorię ruchu myszki, ale też z jakim opóźnieniem lub przyspieszeniem dana osoba klika w różne elementy znajdujące się na stronie.
Okoliczności w życiu klienta się zmieniają. Może zmienił komputer, może złamał rękę. To wszystko wpływa na sposób korzystania np. z klawiatury. I co wtedy?
Z mojej perspektywy zmiana jest największą zaletą biometrii behawioralnej. Do zmian, które nie są nagłe, nasze modele przystosowują się naturalnie. Model będzie rósł w siłę ucząc się twojej zmienności. I będzie zapominał starsze cechy.
Co do złamanej ręki: systemy nie są idealne, ale przewidzieliśmy to, że będziemy musieli się nauczyć, iż popełniliśmy błąd. Jeśli zalogujesz się do systemu bankowego ze złamaną ręką, może np. zadzwonić do ciebie konsultant z banku z pytaniem, czy to ty się logujesz, bo system wykrył odstępstwo od twojego profilu behawioralnego.
Jeśli powiesz, że to ty, wówczas my dostaniemy informację, że się pomyliliśmy. Nie chcemy wiedzieć, że coś się stało z twoją ręką, ale wykorzystamy tę informację do „przeuczenia” modeli, czyli dostosowania się do tego, że się zmieniłeś.
A jeśli przesiądę się z „peceta” na „maka”? Będę pisał inaczej, początkowo mniej płynnie, będę robił błędy, długo szukał właściwych przycisków, skrótów. Jak biometria behawioralna rozwiązuje ten problem?
W fazie testów testowaliśmy zmienianie urządzeń i sprawdzaliśmy jak zareaguje system. Wynik pokazywany był w formie liczby od 1 do 1000, gdzie jedynka oznacza, że system ma 100% pewności, iż to ja jestem użytkownikiem, zaś 1000 – że system ma pewność, iż to nie ja piszę na klawiaturze. Kiedy tester korzystał ze swojego komputera, wynik oscylował w granicach 100, gdy z komputera kolegi – było to ok. 350. Czyli nawet po przesiadce na inne urządzenie system nadal nie weryfikował testera jako kogoś obcego.
System został tak zaprojektowany, żeby uwzględnić efekty korzystania z różnych urządzeń. Ale tu znów wrócę do nauki – im częściej korzystamy z różnych urządzeń, tym system lepiej jest w stanie się tego nauczyć.
Przeczytaj też: Złodzieje naszych danych grasują. Oto siedem sposobów jak się przed nimi chronić. I dwa pomysły na skuteczny „kontrwywiad”
Przeczytaj też: Idzie szybciej, niż myślałem. Czipy do płacenia instalują nam już nie na kartach, w telefonach, zegarkach, ale i… pod skórą. To już się dzieje!
Banki już dziś zbierają na nasz temat masę danych. Teraz klienci dowiadują się, że będą zbierane kolejne. Czy mają się czego obawiać?
Jeśli chodzi o zbieranie danych, to zawsze jest się czego bać. Zawsze trzeba być świadomym tego, w jaki sposób te dane będą wykorzystywane. Jestem wielkim fanem RODO, jeśli chodzi o wyznaczenie celu przetwarzania danych. Zaczynając pracę nad tym systemem powiedzieliśmy sobie jasno – albo dane, które będziemy przetwarzać, będą służyć tylko do zapewnienia bezpieczeństwa i nigdy nikomu nie mogą być sprzedane, albo nie robimy tego biznesu.
Poza tym zbierane przez nas dane są bezkontekstowe. Nie wiemy w co klikasz, komu wysyłasz pieniądze i nie chcemy tego wiedzieć, bo wtedy mielibyśmy do czynienia ze zbiorem danych wrażliwych.
Ale nawet gdyby ktoś te nasze dane wykradł, to nie wiedziałby, że dany model odzwierciedla zachowanie konkretnego użytkownika. Dostajemy od banku strumień danych dotyczących zachowania użytkownika X, wyciągamy model zachowania użytkownika X i sprawdzamy, czy do siebie pasują. Nie chcemy wiedzieć kim jest X.
Przeczytaj też: Imię i nazwisko, PESEL, dowód osobisty, adres zamieszkania, wizerunek… Czym jest kradzież tożsamości? I jak się przed nią obronić?
Ale bank wie, do kogo należy dany model.
To prawda, bank ma dane potrzebne do identyfikacji klienta i jest w stanie przyporządkować wynik do konkretnego użytkownika. Ale to normalne, bo bank musi wiedzieć, kogo chroni i komu zapewnia bezpieczeństwo.
Załóżmy, że sprawdza się najczarniejszy scenariusz – te dane gromadzone przez nas wyciekają. Czego na ich podstawie dowie się potencjalny atakujący? Miałby część strumienia, którego jeszcze nie „zapomnieliśmy” i modele matematyczne, czyli ciąg cyferek. Atakujący nie będzie wiedzieć, do której osoby, klienta banku, je przyporządkować.
Ile potrzeba czasu, żeby maszyna nauczyła się, że ja to ja?
To zależy od oczekiwanej od maszyny jakości „przyporządkowania” oraz tego w jakim stopniu jesteś „powtarzalny” jeśli chodzi o swoje zachowanie. W przypadku osób, które bardzo często korzystają z bankowości elektronicznej, np. księgowych, do stworzenia modelu wystarczy nawet jedna sesja kontaktu z bankiem. W tej nauce nie chodzi o czas, a o ilość danych. W przypadku przeciętnego użytkownika do stworzenia modelu wystarczy 5-6 sesji kontaktu z bankiem przez internet.
Czy biometria behawioralna może wkrótce zastąpić loginy i hasła? Dziś w pewnym stopniu je uzupełnia. Ale czy można byłoby wyobrazić sobie sytuację, w której w ogóle nie muszę się logować do banku, bo system już na podstawie tego jak piszę na komputerze potwierdza moją tożsamość?
Z punktu widzenia możliwości obliczeniowych systemu jest jeszcze na to za wcześnie. Jeśli chodzi o pełną identyfikację użytkownika za pomocą biometrii behawioralnej, musimy poczekać co najmniej 10 lat. Ale jeśli biometria behawioralna miałaby służyć tylko do weryfikacji, czyli dzięki niej pozbywamy się hasła, ale nie pozbywamy się loginu, takie jej zastosowanie może być kwestią kilku lat. Wszystko zależy od tego, w jakim tempie ta technologia będzie się rozwijać. Myślę, że za rok będę mógł pokazać system, który tylko na podstawie tego, w jaki sposób wpisujesz login, powie czy ty to ty.
Jeśli macie własne pytania związane z biometrią behawioralną, Mateusz Chrobok odpowie na nie w komentarzach pod artykułem.
Źródło zdjęcia tytułowego: geralt/Pixabay
