Niemal milion Polaków, którzy korzystają z bankowości internetowej, jest prześwietlanych pod kątem analizy zachowań w systemach transakcyjnych i aplikacjach bankowych. Dyrektor firmy wprowadzającej tę technologię w mBanku i ING zdradza nam szczegóły tych rozwiązań.
1. Po co w ogóle banki korzystają z waszej technologii?
Krzysztof Raczyński, dyrektor operacyjny w Digital Fingerprints (COO): Nasi klienci chcą rozwiązać problem potwierdzenia tożsamości osoby korzystającej z konta bankowego. Stosowane aktualnie metody nie zawsze są wystarczające, ponieważ przestępcy są w stanie uzyskać dostęp na przykład do kodów SMS. Digital Fingerprints to system bezpieczeństwa oparty o biometrię behawioralną, która chroni użytkowników w czasie rzeczywistym (np. przed ewentualnymi oszustwami). Każdy ma swój unikalny model zachowania w interakcji z komputerem, na który składa się m.in. sposób poruszania myszką czy pisania na klawiaturze. Można go użyć w każdej aplikacji webowej, gdzie wymagane jest zabezpieczenie danych i informacji poufnych.
2. Jak sprawdzacie, kto jest po drugiej stronie? Czy tworzony jest jakiś profil klienta banku? Czy dane klienta są zanonimizowane? Bank przecież musi wiedzieć, do kogo należy dany profil, aby go weryfikować.
Czytamy oraz analizujemy zanonimizowane przez nas skrypty zachowania użytkowników. Następnie te dane są wysyłane do nas za pośrednictwem banku do przetworzenia i określenia skali ryzyka sesji za pomocą przygotowanych indywidualnych modeli uczenia maszynowego danej osoby. Nasze API oraz protokół są zaprojektowane w taki sposób, że tylko bank wie, do kogo należą dane o zachowaniu oraz profile biometryczne.
3. Jakie dane są potrzebne, aby stworzyć profil? Czy chodzi tylko o sposób pisania, czy nacisk na klawisze, przerwy pomiędzy uderzeniami w kolejne klawisze? Jaka jest różnica pomiędzy zbieraniem danych z serwisu transakcyjnego i z aplikacji mobilnej?
Profil użytkownika budowany jest na podstawie tego, jak użytkownicy piszą na klawiaturze i ruszają myszką. Nie jest możliwe sprawdzenie siły nacisku na klawisze, więc analizujemy m.in. milisekundowe czasy wciśnięcia klawisza, przejścia pomiędzy klawiszami oraz samo tempo pisania. W przypadku myszy analizujemy krzywą ruchu oraz kliknięcia. Nigdy nie czytamy tego, co jest wpisywane na klawiaturze, oraz tego, co jest klikane w chronionym systemie.
Interakcja z aplikacją mobilną i aplikacją przeglądarkową generują różne rodzaje danych – co innego jest analizowane podczas korzystania z telefonu, niż gdy korzystamy z komputera. Wynika to z oczywistego faktu, że sam sposób pisania na klawiaturze fizycznej jest całkiem inny od tego, którego używamy na tej wirtualnej.
4. Klient odszedł od komputera, pojawił się ktoś inny – skąd system o tym wie? Czy możliwa jest jakaś pomyłka?
System wykryje zmianę osoby przy komputerze, ponieważ cała sesja jest chroniona – każda interakcja z chronionym systemem – od zalogowania do wylogowania – jest analizowana. Możliwość wykrycia zmiany użytkownika jest jedną z pożądanych przez naszych klientów funkcji systemu.
Błędna ocena ryzyka oczywiście jest możliwa, jak to bywa w uczeniu maszynowym, ale minimalizujemy prawdopodobieństwo błędu za pomocą specjalnych algorytmów.
5. Jak długo system musi się uczyć mojego profilu, aby pomyłek nie było? Ile jest tworzonych modeli, ile działa algorytmów?
W zależności od interakcji (np. ile razy klient wchodzi na swoje konto) – maksymalny czas trwania przyuczania wynosi osiem sesji. Modeli dla użytkownika jest kilka i używamy wielu algorytmów, w zależności od rodzaju i jakości danych.
6. Aby system mógł odczytywać profil, musi się go nauczyć. Wykorzystywane jest w tym celu uczenie maszynowe. Czy to jest analiza 24 godziny na dobę, czy monitorowany jest tylko wycinek danych?
Monitorowana jest tylko cała interakcja – od momentu zaraz przed zalogowaniem aż do momentu wylogowania użytkownika z konta.
7. Co z sytuacjami, kiedy użytkownik jest zdenerwowany, zmęczony lub pod wpływem alkoholu i jego zachowanie się zmienia?. Czy system zaopiniuje to jako włamanie na konto, czy nauczy się takiego zachowania i będzie ono jednym z elementów profilu?
System uczy się naszego typowego zachowania, które przejawiamy w standardowej interakcji z nim. Więc wszelkie odstępstwa od normy zostaną wykryte. Jest to ogromna zaleta – np. gdy wykonujemy przelew w stanie zdenerwowania lub podczas bycia pod wpływem środków zmieniających świadomość, zdarza się nam czasem podejmować nieracjonalne decyzje. W takim wypadku chroni nas to też przed nami samymi. Nasza tożsamość musi zostać w takim razie potwierdzona inaczej (ale nie powoduje to automatycznego zablokowania konta itd.).
8. Czy istnieje jakakolwiek możliwość, że haker ukradnie lub zduplikuje profil, aby włamać się na konto?
Nawet jeżeli atakujący posiada profil, to nie będzie możliwe odtworzenie za jego pomocą tego zachowania jeden do jednego.
9. Czy analiza sposobu pisania na klawiaturze może zastąpić login i hasło do banku?
Na tę chwilę jeszcze nie jesteśmy na to gotowi, ale dążymy do takiego sposobu weryfikacji tożsamości w najbliższej przyszłości. Uprościłoby to życie użytkowników i świetnie zabezpieczało wszelkie dane.
10. Czy klienci wiedzą, że ich zachowanie jest analizowane? Musieli wyrażać na to zgodę?
Tak, musieli i wyrazili, w ING trzeba było nawet wysłać specjalnego maila w formularzu ze zgodą