Weryfikacja behawioralna to funkcja z zakresu cyberbezpieczeństwa, którą oferuje nam coraz więcej usługodawców, w szczególności firm z zakresu finansów i bankowości. Na czym dokładnie polega weryfikacja behawioralna, jakie ma wady, zalety i możliwości? Czy warto ją włączyć, czy lepiej poczekać na inne technologie z zakresu cyberbezpieczeństwa? Sprawdzam!
ING Bank Polski, Velobank, Kasa Stefczyka, mBank, Credit Agricole czy PKO BP – kolejne instytucje finansowe dołączają do grona usługodawców korzystających z weryfikacji behawioralnej. O włączeniu funkcji weryfikacji behawioralnej w VeloBanku pisaliśmy w artykule „Weryfikacja behawioralna już w VeloBank! BIK wie więcej, niż myślisz„.
Określana jako jedno z najnowocześniejszych zabezpieczeń stosowanych w bankowości internetowej, weryfikacja behawioralna rozszerza możliwości weryfikacji biometrycznej. Stawia przed klientami usług finansowych dylemat, jak wiele informacji na swój temat są w stanie przekazać, by zachować bezpieczeństwo. Wśród najczęściej wymienianych zalet weryfikacji behawioralnej pojawia się jej skuteczność. Na przykład według danych cytowanych na portalu Bank.pl klienci ING Bank Śląski korzystający z weryfikacji behawioralnej padali ofiarami oszustów aż ośmiokrotnie rzadziej niż pozostali! Jednocześnie weryfikacja behawioralna ciągle budzi niepewność wśród użytkowników i sprawia, iż wielu z nas nie decyduje się na jej uruchomienie. Czy to dobry krok czy nadmierna ostrożność?
Na czym polega weryfikacja behawioralna?
Weryfikacja behawioralna (nazywana też analizą behawioralną) to technika zbierania danych na temat zachowań użytkownika i dbania o jego bezpieczeństwo właśnie dzięki tym danym. Jak? System porównuje typowe zachowania użytkownika z aktualną sytuacją i na tej podstawie ocenia, czy działania wykonywane są przez osobę uprawnioną, czy przez podszywającego się pod nią przestępcę.
Jakie dane taki system może zbierać? To np.: sposób, w jaki piszemy na klawiaturze; tempo, w jakim wykonujemy dane działania; nasze typowe zachowania – czy zawsze chodzimy na internetowe zakupy o konkretnej porze dnia; kąt, pod jakim trzymamy telefon; charakterystyczne dla nas zwyczaje, np. iż zawsze korzystamy z ekranu dotykowego lewą ręką itd. Zbieranie wielu tych danych umożliwiają wbudowane w nasze urządzenia czujniki, jak choćby żyroskop w telefonie określający jego położenie.
Dzięki zebraniu tych wszystkich informacji system analizujący (najczęściej oparty o algorytmy sztucznej inteligencji) może określić, czy to my, czy nie my, korzystamy w danym momencie z usługi. W zależności od szczegółów algorytmu nietypowa sytuacja może skończyć się na przykład zablokowaniem usługi (np. przelewu) i obowiązkowym kontaktem z obsługą klienta, która zweryfikuje naszą tożsamość.
Weryfikacja behawioralna w aplikacjach bankowych może dotyczyć zarówno naszych zachowań na komputerze, tablecie jak i telefonie. Może łączyć te dane, by tworzyć charakterystyczne dla nas wzorce i chronić nas przed podszywającymi się pod nas oszustami.
A co, jeżeli złamiemy rękę? Jak działa weryfikacja behawioralna w nietypowych sytuacjach?
Pierwsze pytanie, które się nasuwa, to jak zadziała weryfikacja behawioralna w nietypowych sytuacjach: gdy złamiemy rękę; gdy z jakiejś przyczyny wyjdziemy poza wzorzec i będziemy wykonywać operacje w środku nocy; gdy zepsuje się nam telefon. Ponadto wątpliwości budzi też skuteczność weryfikacji behawioralnej w sytuacji, gdy mamy jakieś niepełnosprawności wpływające na sposób, w jaki korzystamy z technologii. Kolejne pytania nasuwają się, gdy z konta korzysta więcej niż jedna osoba – czy weryfikacja behawioralna poradzi sobie ze zmiennym profilem zachowania?
Odpowiedzi na te pytania nie są jednoznaczne, ponieważ zależą od tego, jak został zaprojektowany konkretny algorytm w konkretnej instytucji.
Czy weryfikacja behawioralna nas śledzi? Kto przechowuje nasze dane?
Kolejna wątpliwość dotycząca tej metody ochrony przed cyberprzestępcami jaką jest weryfikacja behawioralna dotyczy tego, kto przechowuje nasz profil behawioralny. W Polsce została utworzona specjalna platforma Weryfikacji Behawioralnej. Kto ją utworzył? Instytucja, która nie zawsze budzi zaufanie Polaków: BIK, czyli Biuro Informacji Kredytowej. Oznacza to, iż choćby jeżeli mamy zaufanie do naszego banku, to dane dotyczące naszych typowych zachowań w praktyce nie będą przechowane w bazie instytucji bankowej, tylko właśnie w Biurze Informacji Kredytowej. To budzi kolejne wątpliwości, dotyczące między innymi tego, czy chcemy, by w BIKu pojawiły się informacje dotyczące na przykład tego, iż mamy zwyczaj robić zakupy w środku nocy albo iż złamaliśmy rękę.
Po co komu weryfikacja behawioralna – zalety
Mnogość wątpliwości prowadzi do tego, iż wielu z nas nie uruchamia weryfikacji behawioralnej w swojej aplikacji bankowej. Nie będziemy tu oceniać, czy to dobrze, czy to źle, jednak faktem jest, iż ataki na bankowość i kradzież pieniędzy są jednym z poważniejszych problemów dwudziestego pierwszego wieku, a weryfikacja behawioralna to technika, która skutecznie przed nimi chroni. Co więcej, według europejskich instytucji jest to technika, po prostu, zaufana.
Weryfikacja behawioralna została uznana już w 2019 roku przez Europejski Urząd Nadzoru Bankowego za narzędzie silnej autoryzacji klienta (SCA), a co za tym idzie spełnia wymogi dyrektywy PSD2. Co za tym idzie, wprowadzenie uwierzytelniania wieloskładnikowego z wykorzystaniem weryfikacji behawioralnej jest oficjalnym zaleceniem Narodowego Banku Polskiego dla wszystkich instytucji finansowych.
Ostatnim, ale nie mniej ważnym argumentem, mówiącym za tym, iż weryfikacja behawioralna to opcja, z której warto korzystać, jest teoretyczne zapewnienie anonimowości. Instytucje bankowe na swoich stronach wyjaśniających, jak działa analiza behawioralna, podkreślają, iż dane są zanonimizowane i nie służą do rozpoznawania konkretnej osoby, a tylko do wykrywania wzorców w ramach danego profilu.
Czy warto korzystać z weryfikacji behawioralnej?
Czy zatem warto włączyć weryfikację behawioralną w swojej aplikacji bankowej? A może lepiej poczekać na inne rozwiązania z zakresu cyberbezpieczeństwa? Każdy musi sam odpowiedzieć na to pytanie. Dawno żadne z rozwiązań związanych z bezpieczeństwem bankowości nie budziło tak wyraźnych kontrowersji. I, jednocześnie, dawno o żadnym z rozwiązań nie mówiono tak wiele, w kontekście bezpieczeństwa i skuteczności.
Autor zdjęcia: cottonbro studio
