Dynamiczny postęp nowych technologii stale dezaktualizuje nasze postrzeganie „innowacyjności”. Dziedziną, która w sposób szczególny musi dopasowywać się do zmieniającej rzeczywistości jest bez wątpienia cyberbezpieczeństwo. Metody, które jeszcze do niedawna wydawały się być odporne na ataki hakerskie przestają być wyzwaniem dla wyspecjalizowanych cyberprzestępców. Materializuje się zatem nagląca potrzeba rozwinięcia takich rozwiązań, które stopniem swojego skomplikowania znacząco prześcigną dostępne dziś sposoby przełamywania zabezpieczeń. Problem ten jest szczególnie istotny w kontekście stale upowszechniających się płatności elektronicznych. Odpowiedzią na wskazany problem zdaje się być aktualnie biometria behawioralna.
Czym jest biometria behawioralna?
Biometria behawioralna jest uzupełnieniem tradycyjnych metod biometrycznych zakładających pomiar i analizę zewnętrznie obserwowalnych, niepowtarzalnych cech fizycznych (linii papilarnych, tęczówki, twarzy, układu naczyń krwionośnych itd.) o określone wzorce zachowań, które nie są determinowane biologicznie. Przykładem cech będących przedmiotem zainteresowania biometrii behawioralnej jest m.in. siła nacisku na ekran telefonu, tempo uderzania w klawisze klawiatury, szybkość czytania określonych fragmentów tekstu czy styl pisania, w tym także tendencja do popełniania błędów językowych, interpunkcyjnych. Taki zestaw danych pozwala na zrekonstruowanie unikalnego „profilu użytkownika”, którego podrobienie byłoby niezwykle skomplikowane i czasochłonne.
Biometria uważana jest aktualne za najsilniejszą metodę uwierzytelniania. Praktyka unaoczniła jednak mankamenty jej tradycyjnego (fizycznego) wydania. Poszczególne cechy biologiczne są co prawda niepowtarzalne, jednak nie nieodwzorowywalne. Tytułem przykładu wskazać można układ linii papilarnych – cechę intuicyjnie wskazywaną przez część osób jako niemożliwą do podrobienia w normalnych okolicznościach. Okazuje się jednak, iż odcisk palca może zostać odtworzony wyłącznie dzięki… zdjęciom kciuka. Niezwykle popularny dziś sposób odblokowywania smartfona czy logowania się do aplikacji mobilnej banku okazuje się zatem zabezpieczeniem nie lepszym od tradycyjnego hasła spisanego na kartce papieru. Co ciekawe, skan twarzy wykazuje jeszcze większą podatność na fałszerstwo (zob. więcej P. Kałużny, P. Stolarski, Biometria behawioralna i „tradycyjna” w mobilnych usługach bankowych – stan oraz przyszłe możliwości zastosowania). Biometria behawioralna wykorzystuje do analizy „próbki” pochodzące z różnych źródeł, dzięki czemu pozwala na uzyskanie zdecydowanie bardziej złożonego wzorca. To z kolei przekłada się na dużo wyższą odporność na podrobienie.
Biometria behawioralna a prawo
Rozwój biometrii behawioralnej dobrze koresponduje z kierunkiem, w którym ewoluują przepisy regulujące rynek finansowy. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (dalej: „PSD II”) kładzie szczególny nacisk na aspekty związane z bezpieczeństwem płatności elektronicznych.
Zgodnie z PSD II do:
- uzyskiwania dostępu do rachunku płatniczego w trybie online (np. bankowość internetowa/mobilna);
- inicjowania elektronicznej transakcji płatniczej;
- przeprowadzania za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Konieczne jest stosowanie mechanizmów silnego uwierzytelniania, czyli uwierzytelniania opartego o zastosowanie co najmniej dwóch elementów należących do kategorii:
- wiedza (coś, co wie wyłącznie użytkownik – np. hasło, kod pin, pytanie pomocnicze),
- posiadanie (coś, co posiada wyłącznie użytkownik- np. karta z kodem, pendirve)
- cechy klienta (coś, czym jest użytkownik- cechy biometryczne człowieka np. głos, układ linii papilarnych, kształt dłoni),
Elementy powinny być niezależnych od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Dodatkowo, silne uwierzytelnienie powinno być zaprojektowane w sposób zapewniający ochronę poufności danych.
Digitalizacja niemalże wszystkich sfer życia codziennego oraz tendencja do ograniczania tradycyjnych dokumentów (np. e-recepta, e-dowód) wymusza na użytkownikach konieczność zabezpieczania coraz większych zasobów danych. Zapamiętanie takiej liczby haseł staje się nie tylko uciążliwe, ale i nawet praktycznie niemożliwe. Z kolei materialne nośniki informacji powoli stają się archaizmem w dobie postępującej cyfryzacji. To sprawia, że zabezpieczenia przynależne do grupy „wiedza” oraz „posiadanie” nie są dopasowane do aktualnych realiów. Przyszłość leży zatem w „cechach klienta” czyli metodach biometrycznych.
Jak podaje Związek Banków Polskich w „Raporcie Biometrycznym 2.0 Bankowość Biometryczna”- Polska, jako pierwszy kraj w Europie wdrożyła biometrię w sektorze bankowym. Dziś również nie pozostaje bierna na nowości technologiczne – mBank S.A. już od 2018 r. testuje zabezpieczenia oparte na interakcji użytkownika z komputerem/smartfonem.
Potencjalne zastosowanie biometrii behawioralnej nie ogranicza się jednak wyłącznie do obszaru związanego z usługami płatniczymi. Identyfikacja i weryfikacja tożsamości klienta jest przecież jednym z podstawowych obowiązków wynikających z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz. U. z 2019 r. poz. 1115 ze zm.) (dalej: „Ustawa AML”).
W świetle art. 43 ust 2 pkt 7) Ustawy AML nawiązywanie albo utrzymywanie stosunków gospodarczych lub przeprowadzanie transakcji okazjonalnej bez fizycznej obecności klienta stanowi przesłankę wyższego ryzyka prania pieniędzy lub finansowania terroryzmu – pod warunkiem, że nie zostało ograniczone w inny sposób. Ustawa AML wskazuje przykładowo, że ryzyko może być ograniczone m.in. poprzez zastosowanie podpisu potwierdzonego profilem zaufanym ePUAP, podpisu elektronicznego lub notyfikowanego środka identyfikacji elektronicznej adekwatnie do średniego poziomu bezpieczeństwa, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym. Wydaje się jednak, że nie ma przeszkód, aby sposobem na ograniczenie ryzyka prania pieniędzy lub finansowania terroryzmu było zastosowanie metod biometrii behawioralnej. Należy przy tym pamiętać, że implementacja takich rozwiązań powinna zapewniać wysokie bezpieczeństwo oraz odbywać się w zgodzie z wytycznymi UKNF dotyczącymi zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.
Zgodnie z obecnym nauki nawet rozwiązania wykorzystujące biometrię behawioralną – a więc technologię bardziej zaawansowaną i odporną na podrobienie niż biometria tradycyjna – nie dają stuprocentowej gwarancji co do poprawności wyniku. Z tego względu proces identyfikacji i weryfikacji użytkownika nie może odbywać się wyłącznie w oparciu o takie zabezpieczenie. Biometria może być stosowana jednak jako dodatkowy czynnik ograniczający ryzyko fraudu. UKNF w stanowisku z dnia 5 czerwca 2019 r. dotyczącym identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji wskazał, że stosowanie biometrii jest przykładem techniki uzupełniającej, która potwierdza dochowanie należytej staranności przez instytucję finansową.
Wyzwania biometrii behawioralnej
Trudność z jaką musi radzić sobie biometria polega na tym, że większość z cech fizycznych człowieka ulega zmianom w trakcie życia – katalog „próbek” do pomiaru zostaje zatem istotnie zawężony. Z drugiej strony – trwałość/niezmienność cechy biometrycznej znacząco zwiększa ryzyko stworzenia kopii jej wzorca. Biometria behawioralna powinna zatem odważnie wykorzystywać rozwiązania uczenia maszynowego, by automatycznie „rozwijać się” wraz ze swoim użytkownikiem.
Biometria behawioralna pobiera i analizuje dane z różnorodnych źródeł. Zgodnie z badaniami, dzięki zastosowaniu wielu cech można zminimalizować ryzyko błędu do 0,1% (D. Deb, Action speak louder than (pass) words: Passive Authentication of Smartphone Users Via Deep Temporal Features). Ale większy zasób danych to również większa odpowiedzialność. Aplikacje wykorzystujące indywidualne wzorce zachowań użytkowników do weryfikacji tożsamości i autoryzacji czynności gromadzą ogrom niezwykle osobistych i cennych informacji. Ich wyciek może być zdecydowanie bardziej dolegliwy w skutkach niż wyciek tradycyjnych haseł. Ryzyko wykorzystania pozyskanych danych dla celów innych niż wyłącznie identyfikacja, weryfikacja i autoryzacja jest bardzo wysokie. Rozbudowany, centralny zbiór danych biometrycznych stwarza bowiem ogromne pole do nadużyć np. odtworzenia kompletnej „fałszywej tożsamości”. Z tego względu postuluje się, że przechowywanie danych w sposób zdecentralizowany. (zob. więcej A. Bodnar, J. Michalski, Dokument biometryczny a prawa człowieka). Jednak nawet i to rozwiązanie nie zapewnia całkowitego bezpieczeństwa wzorców biometrycznych. Konieczne jest zatem ścisłe przestrzeganie zasady proporcjonalności, tak aby zakres pozyskiwanych danych pozostawał adekwatny dla swojego celu. Jest bowiem rzeczą oczywistą, iż inną wagę należy przykładać do zabezpieczenia konta na portalu społecznościowym, a inną do dostępu do mobilnej aplikacji bankowej, na której gromadzimy wszystkie nasze oszczędności.
Ale wyzwania stawiane przed biometrią behawioralną nie dotyczą wyłącznie aspektów technologicznych. Wątpliwości mogą budzić również kwestie etyczne oraz związane z ochroną praw człowieka, w szczególności prawa do prywatności. Pojawia się więc pytanie, o sytuacje osób, które – z różnych względów – nie chcą przekazywać podmiotom trzecim tak osobistych informacji na ten temat. Czy przyszłość cyberbezpieczeństwa zostanie zmonopolizowana przez biometrie behawioralną? Mam nadzieję, że nie. Biometria behawioralna – mimo swoich niekwestionowanych zalet – może okazać się niezwykle niebezpiecznym narzędziem. Warto zatem pozostawać otwartym na alternatywne metody ochrony danych.
Aleksandra Kopeć, Prawnik z Działu Prawa Rynku Kapitałowego w Kancelarii Sadkowski i Wspólnicy.