Bank PKO wprowadza „innowacje” do zabezpieczeń, jednak to polska myśl technologiczna była pierwsza

1 dzień temu
Zdjęcie: Bank PKO wprowadza „innowacje” do zabezpieczeń, jednak to polska myśl technologiczna była pierwsza


Bank PKO ogłosił wdrożenie „dodatkowego zabezpieczenia” opartego o analizę behawioralną. Nie jest to nowość, ponieważ w praktyce technologia ta rozwijana jest od lat – także w Polsce.

Bank wykorzystuje zachowanie biometryczne, czyli analizę cech zachowania użytkownika podczas korzystania z bankowości elektronicznej. W czasie rzeczywistym analizowane są dane pseudonimizowane, czyli pasujące jednoznacznie do konkretnego użytkownika (a więc dane osobowe):

  • tempo pisania na klawiaturze
  • dynamika dotyku ekranu
  • sposób przeczuwania palcem po ekranie
  • informacje o urządzeniach

Mechanizm ten łączy wszystko w całość, tworząc coś w rodzaju weryfikacji, czy za sesją stoi faktycznie właściciel konta. o ile więc cyberprzestępca przejmie login, hasło, a choćby drugi składnik uwierzytelnienia, to przez cały czas może zostać wykryty sposób korzystania z urządzenia, lokalizacja użytkownika, język systemu operacyjnego (rosyjski, turecki, ukraiński, angielski indyjski itp.). To dodatkowa warstwa ochrony przed przejęciem konta, oszustwami, botami oraz przejęciem sesji online.

Analiza behawioralna użytkownika – już od 2019 w Polsce

Już w 2019 roku opisywaliśmy rozwiązanie ELIoT Pro firmy Cyberus Labs. System opierał się na budowaniu profilu użytkownika i urządzenia, analizie wzorców zachowania oraz wykrywaniu anomalii. Wtedy kierowany był głównie do środowisk IoT, jednak technologia była bardzo podobna do tego, co dziś wdrażają banki.

Kilka lat temu Cyberus Labs rozwijał również Cyberus Key – system bezhasłowego logowania wykorzystujący telefon jako fizyczny token oraz ultradźwięki do potwierdzania obecności użytkownika. Była to koncepcja wyprzedzająca swój czas:

Dziś świat mówi o Passkeys, FIDO2 i WebAuthn. Wtedy w Polsce budowano już rozwiązania eliminujące hasła i ograniczające phishing praktycznie do zera. Współczesne standardy passwordless działają na podobnej zasadzie, gdzie do serwera zamiast sekretów takich jak hasło przesyła się lokalne potwierdzenie tożsamości dzięki kryptografii asymetrycznej.

Technologie te można rozdzielić na 3 warstwy:

  1. Warstwa uwierzytelnienia: potwierdzenie tożsamości (np. Passkeys, Cyberus Key).
  2. Analiza zachowania: ciągła ocena zachowania użytkownika (np. ELIoT Pro, systemy bankowe).
  3. Warstwa przeciwko oszustom: korelacja danych pomiędzy instytucjami (np. BIK, zastrzeżenie dowodu).

Wdrożenie PKO to połączenie punktu 2 i 3. Systemy bankowe analizują, czy jesteś „sobą”, czy korzystasz z tych samych urządzeń co zwykle, czy twój cyfrowy profil pasuje do wcześniejszych wzorców.

Idź do oryginalnego materiału