Tożsamość cyfrowa: jak połączyć wygodę z bezpieczeństwem

Co z punktu widzenia instytucji finansowych oznacza cyfrowa tożsamość? Kiedy – mówiąc w uproszeniu – możliwe będzie korzystanie wszędzie z jednego sposobu logowania?

Ja od wewnątrz obserwuję zmiany, jakie zachodzą w sektorze, jeśli chodzi o bezpieczeństwo. Mamy niezwykły progres w stosunku do tego, co było powiedzmy pięć lat temu

Grzegorz Poznaniak: Spojrzałbym na to pytanie szerzej. Powinniśmy patrzeć na cyfrową tożsamość z punktu widzenia całej gospodarki. Dziś bardzo dużo mówi się o „ekonomii API”. API (Application Programming Interface) to pojęcie znane z informatyki, ale się bardzo mocno zakorzenia w gospodarce. API to sposób integracji różnych rozwiązań informatycznych, a w gospodarce – różnych usług. Ekonomia API tworzy zupełnie nowe usługi, łańcuchy wartości, ograniczona jest tylko przez pomysłowość rynku. Dla tej ekonomii kluczowe jest zapewnienie skutecznego i ergonomicznego rozpoznawania tożsamości. I łączenia tożsamości wirtualnej z tożsamością fizyczną.

Ostatnio spotkałem się ze stwierdzeniem, że „loginy i hasła są ofiarą własnego sukcesu”. Ja korzystając z różnych serwisów, mam ponad sto haseł i bardzo często klikam „przypomnij hasło”. Jako użytkownik różnych serwisów chciałbym, żeby się to zdarzało jak najrzadziej. Za to chciałbym mieć dostęp do takich mechanizmów weryfikacji mojej tożsamości, które będą dla mnie przyjazne i przede wszystkim bezpieczne. Dlatego próba zdefiniowania i stworzenia jednolitej cyfrowej tożsamości jest kluczowa dla rozwoju całej gospodarki.

Sektor bankowy jest mocno regulowany, również w zakresie technologii. Obciążenia banków są duże i rosną w momencie, gdy zaczyna się kolejny etap wyścigu konkurencyjnego
Robert Kuraszkiewicz: To wymaga działań systemowo-prawnych. Tak naprawdę państwo musiałoby dostarczyć metod, które są bezpieczne i wystarczająco zaawansowane technologiczne, by nas zidentyfikować w sieci. Jedynym sposobem wydaje się biometria. Pytanie, kiedy i na ile cechy biometryczne wejdą w kontekst funkcjonowania prawnego.

A jeśli chodzi o odpowiedź na pytanie: już np. unijna dyrektywa PSD 2 będzie wpływać na możliwość korzystania z usług wielu banków za pomocą jednego loginu.

Serwisów, z których korzystają klienci banków, jest wiele. Tak naprawdę banki już od dawna dążą do tego, aby systemy były zintegrowane, a dostęp był umożliwiony przez jeden wspólny login i hasło

Jerzy Frydlewicz: Serwisów, z których korzystają klienci banków, jest wiele. Tak naprawdę banki już od dawna dążą do tego, aby systemy były zintegrowane, a dostęp był umożliwiony przez jeden wspólny login i hasło. To pozwala stwierdzić, że cyfrowa tożsamość już dawno wkroczyła w obszar bankowości. Biorąc pod uwagę rozwój serwisów internetowych, cyfrowych – również na poziomie państwa – to należy oczekiwać, że i świat, i Polska będą dążyć do pełnej integracji.

Z jednej strony powinno to ułatwić życie obywatelom. Ale z drugiej – trzeba zadbać o bezpieczeństwo. Więc ogromny wysiłek całego sektora bankowego będzie szedł właśnie w tę stronę – zapewnienia bezpieczeństwa. PSD2 nakłada na banki obowiązki w zakresie tzw. silnego uwierzytelnienia. To będzie stymulowało nowe formy autentykacji.

W tym wszystkim trzeba znaleźć zdrowy rozsądek. Pełna integracja wszelkich usług, nie tylko tych bankowych, ale też administracji publicznej czy usług niefinansowych, zapewne w jakiejś przyszłości jest możliwa. Ale wcześniej trzeba przygotować warstwę prawną. Nie powinien to być model „najpierw systemy informatyczne, potem prawo”, ale odwrotnie.

Ja bym się nie spodziewał, że będzie się korzystać tylko z tej jednolitej tożsamości. Jeśli ona będzie funkcjonować – niech to będzie nawet dowód osobisty z chipem – to banki będą ją wykorzystywać tylko do onboardingu – pierwszej weryfikacji klienta

Zbigniew Pomianek: Z punktu widzenia użytkownika wydaje się, że jeden login i jeden sposób potwierdzenia tożsamości byłby bardzo wygodny. Ale pomyślmy, jaki ciężar kryje się za ryzykiem, że system nie okaże się do końca bezpieczny. Dziś w poważnych serwisach mówi się: „zdefiniuj hasło, którego nie używałeś w żadnym innym serwisie”. Czyli jest obawa: „jeśli używałeś już jakiegoś hasła, to ono może być w jakiś sposób skompromitowane”.

Z punktu widzenia wygody chcielibyśmy mieć jednolity sposób autentykacji. A z perspektywy bezpieczeństwa? Było już wiele metod, o których myślano, że są bezpieczne i za chwilę okazywało się, że tak nie było. Bezpiecznej na 100 proc. nie ma. Nawet biometria niesie ze sobą zagrożenia. Jeśli chodzi o identyfikację danej osoby – owszem, to metoda pewna. Ale co z urządzeniem, na którym tej identyfikacji się dokonuje? Kowalski może przyłożyć palec do urządzenia, ale czy do systemu nie pójdzie informacja, że to Nowak? Dlatego jeśli chodzi o jednolite uwierzytelnienie w każdym miejscu, to na dziś jestem dość sceptyczny.

Odniosę się do uwagi, że prawo powinno wyprzedzać technologię. Nie wiem, czy to jest możliwe. Według mnie kluczem jest technologia, która będzie nas identyfikowała na tyle bezpiecznie, że nie będziemy się obawiali jednolitej tożsamości cyfrowej.

Czy dla panów dowód z chipem byłby do wykorzystania jako nośnik cyfrowej tożsamości?

Grzegorz Poznaniak: Sam dowód to tylko dokument. Ale dowód i osoba, która go posiada – to już co innego.

W świecie cyfrowym identyfikacja jest obarczona pewnym ryzykiem. Stąd znaczenie banków w tej kwestii w ekosystemie gospodarczym, w jakim działamy w tej chwili. Nasza rola polega na tym, że banki jako jedne z niewielu instytucji mogą być łącznikiem między dokumentem, cyfrową tożsamością a osobą fizyczną. Większość klientów banków zjawiła się przecież w oddziale, została zweryfikowana przez pracownika i zostało to odnotowane w systemie.

Dlatego uważam, że banki mogą traktować te dane jako swoje aktywo, którego mogą używać dla rozwoju gospodarki na równi z aktywami finansowymi.

W tej chwili trwa podłączanie banków do Węzła Krajowego, który buduje Krajowa Izba Rozliczeniowa. To jest nasz – banków wkład w rozwój nowoczesnej gospodarki. Google ID czy Facebook Connect nie zapewniają relacji między osobą fizyczną a tożsamością cyfrową, bo tam nie ma etapu identyfikacji. Banki to mają. Przez to proces onboardingu klienta jest bardziej kosztowny niż stworzenie cyfrowej tożsamości w serwisach społecznościowych. I pewnie banki będą oczekiwały wynagrodzenia za użycie tych danych.

Robert Kuraszkiewicz: Dziś jako banki jesteśmy zobligowani, przy spełnieniu określonych warunków, do otwierania naszych baz danych i dzielenia się informacjami o naszych klientach. Mówię o dyrektywie PSD2. Ona pozwala podmiotom pozabankowym wykorzystywać pozyskane od banków dane do budowania zupełnie nowych procesów gospodarczych. Więc nie mamy wyjścia: banki również będą próbowały poszukiwać sposobów komercjalizacji posiadanych zasobów danych. I budowania w ten sposób swoich przewag konkurencyjnych.

Zbigniew Pomianek: Myślenie o tym w kategoriach przewag może okazać się problemem dla rozwoju cyfrowej tożsamości. Jeśli to miałaby być „jednolita tożsamość”, to i proces powinien być jednolity. Tymczasem dziś banki dość mocno ze sobą konkurują tym, jak wygodnie i bezpiecznie założyć konto, czyli procesem onboardingu. Więc pojawia się wątpliwość, czy banki liczą na jednolitą cyfrową tożsamość, czy raczej to byłby dla nich kłopot. Te, które dziś wyprzedzają rynek, jeśli chodzi o sposób pozyskiwania klienta, pewnie na jednolitą tożsamość cyfrową nie czekają.

Wracając do dowodu z chipem: nie wiem, czy model centralnego potwierdzania tożsamości pasuje do dzisiejszej sytuacji – ekonomii API, rozproszonej po całym świecie możliwości korzystania z różnych usług. Inna sprawa, że dziś warstwa elektroniczna dowodu do niczego nie służy.

Bo nikt nie oferuje wykorzystania chipa.

Zbigniew Pomianek
: Nie do końca wiadomo, jak miałoby to wyglądać technicznie. Nikt nie pokazał żadnego przykładu wykorzystania chipa w dowodzie. I brak urządzeń, które mogłyby prowadzić do upowszechnienia warstwy elektronicznej w dowodzie. Wyobraźmy sobie, że przykładamy go do komputera albo smartfona i w ten sposób się identyfikujemy wobec urzędu, firmy, innej osoby. To byłaby znacząca zmiana.

Ale jest i druga strona. Jakiś czas temu miałem okazję rozmawiać na temat dowodów z chipem z pewnym Portugalczykiem. U nich takie dowody funkcjonują. Zapytałem, do czego wykorzystują warstwę elektroniczną. On mi odpowiedział: „świadomi ludzie – do niczego”. Bo to jest „extremely dangerous”. Jak się zastanowić, to prawda. Dziś nie ma jeszcze infrastruktury, która zapewniłaby tu absolutne bezpieczeństwo.

Robert Kuraszkiewicz: Ale to też kwestia upowszechnienia tego rozwiązania. Przypomnę, że kiedy pojawiły się przelewy elektroniczne, wówczas też było wiele osób, które się ich obawiały.

Zbigniew Pomianek: Dlatego powiedziałem: „jeszcze”. Bo równocześnie uważam, że to kierunek, którego się nie da odwrócić. Ale jest kwestia czasu, który będzie potrzebny, żeby nasze podejście się zmieniło. I ryzyka. Bo trzymając się analogii z przelewami: tych nieautoryzowanych, które „poszły w świat” bez zgody właściciela rachunku, było całkiem sporo.

Grzegorz Poznaniak: Ja od wewnątrz obserwuję zmiany, jakie zachodzą w sektorze, jeśli chodzi o bezpieczeństwo. Mamy niezwykły progres w stosunku do tego, co było powiedzmy pięć lat temu. Choć zdaję sobie sprawę, że zapewne w niedalekiej przyszłości czekają nas kolejne wyzwania, w zupełnie innej skali. Mam na myśli technologie obliczeń kwantowych, które, bardzo prawdopodobne, że w ciągu kilku lat będą komercjalizowane. I będą mogły być wykorzystywane przeciwko bankom. Siła haseł, jakie stosujemy w tej chwili, będzie wówczas bliska zeru. Być może trzeba będzie myśleć o innych sposobach autentykacji.

Biometria?

Grzegorz Poznaniak: Myślałem nie tylko o niej, ale też o blockchainie. On pozwoli na to, by nie ujawniać całej tożsamości tylko określony certyfikat, potrzebny w danym procesie. Jeśli chcemy wejść do baru, wystarczy, że udowodnimy, że mamy 18 lat. Nie musielibyśmy podawać daty urodzenia czy innych naszych danych osobowych.

Czy cyfrowa tożsamość przyszłości będzie odbiciem tego, czego używamy dziś – zestawu danych, jak PESEL, adres zamieszkania, czy raczej zupełnie innych cech – biometrii?

Robert Kuraszkiewicz: Rozwój technologii to jedno. Ale chodzi też o umiejętność połączenia różnych technologii, ich twórczego wykorzystania. Mówi się, że jeśli chodzi o technologię, to Apple nic nie wymyślił. Ale był w stanie wytworzyć całkiem nowe produkty. Być może także w temacie cyfrowej tożsamości potrzebujemy takiego Apple’a. Przykład tej firmy wydaje mi się w tym kontekście o tyle odpowiedni, że oni patrzą przede wszystkim na wygodę klienta, która już ma i będzie miała rosnące znaczenie dla korzystania z cyfrowej tożsamości.

Grzegorz Poznaniak: Doświadczenie klienta jest „nową walutą”, dzięki której my jesteśmy w stanie go „kupić” – czyli przyciągnąć do siebie. Jestem przekonany, że za chwilę będzie możliwość – oczywiście za zgodą klienta – żeby logować się bez użycia PIN-u i hasła, tylko na podstawie biometrii behawioralnej: tego, w jaki sposób używa się tego urządzenia, jak je trzyma, jak chodzi, jak na nim pisze.

To będzie sprawiało wrażenie, jakby klient ciągle był zalogowany do swojej bankowości mobilnej. Te metody dopiero powstają, ale w miarę rozwoju mocy obliczeniowej komputerów będą doskonalone. Inny sposób: logowanie na podstawie indywidualnej charakterystyki pulsu. Przykład: mój zegarek ma sensor pulsu. Dzięki biometrii behawioralnej zapewne już wkrótce będziemy w stanie spowodować, że on będzie „wiedział”, że to ja go noszę. Jestem przekonany, że nowoczesne metody identyfikacji wyprą te tradycyjne.

Jerzy Frydlewicz: Z pewnością tak. Tylko muszą być spełnione podstawowe warunki: to nie tylko musi być wygodne dla użytkownika, ale także „realizowalne” z punktu widzenia dostawcy, czyli np. banku, zgodne z prawem i bardzo bezpieczne.

Ale to tylko kolejne metody identyfikacji. A powinniśmy mówić o tożsamości elektronicznej. O pewnej całości, a nie tak naprawdę o rozwiązaniach cząstkowych. Dlatego ważne, czy istnieje jedna cecha, która będzie mnie identyfikowała – niezależnie czy jestem na lotnisku w Singapurze, czy kupuję bułki w osiedlowym sklepie. Pytanie jest istotne, ale o odpowiedź bardzo trudno. Właśnie dlatego, że tych metod identyfikacji jest wiele, że wiele instytucji walczy o klienta, że klient przyzwyczaja się do pewnych rozwiązań. Tak naprawdę do powstania tej jednolitej tożsamości trzeba by, żeby wszyscy się zatrzymali i uzgodnili wspólne rozwiązanie: państwo, dostawcy rozwiązań technologicznych, instytucje finansowe. I żeby to zyskało uznanie klientów.

Zbigniew Pomianek: Ja bym się nie spodziewał, że będzie się korzystać tylko z tej jednolitej tożsamości. Jeśli ona będzie funkcjonować – niech to będzie nawet dowód osobisty z chipem – to banki będą ją wykorzystywać tylko do onboardingu – pierwszej weryfikacji klienta. Później, gdy on będzie już znany, wykorzystywać się będzie te rozwiązania, które będą dla niego najwygodniejsze. Jak np. biometria behawioralna. To właśnie będzie elementem konkurencji.

Robert Kuraszkiewicz: Pojawia się pytanie, co obywatel będzie w stanie zaakceptować. Bo, nie boję się tego powiedzieć, to będą zmiany kulturowe.

Te zmiany postępują małymi krokami. Raczej pokonuje się jedną małą barierę psychologiczną po drugiej, a w pewnym momencie zdajemy sobie sprawę z tego, że jesteśmy w miejscu, z którego trudno się cofnąć.

Zbigniew Pomianek: Najbardziej niebezpieczne są skoki technologiczne. Tam, gdzie jest czas, żeby dane rozwiązanie dojrzało, żeby wyłapać ograniczenia procedur, technologii, ryzyko jest mniejsze. Jeśli mamy duży przeskok, ryzyko błędu jest bardzo duże. Wracając do dowodu z warstwą elektroniczną – z tego punktu widzenia to dobrze, że on się szybko nie upowszechnił. Mamy czas na wyłapanie słabości i ich poprawienie.

Co z punktu widzenia technologii jest największym problemem? Jak wygląda „czarny sen” bankowca, jeśli chodzi o cyfrową tożsamość? Potencjalna kryzysowa sytuacja?

Jerzy Frydlewicz: Generalnie to chyba na obawie, że w przyszłości banki nie będą potrzebne. Ale nad tym się dziś nie zastanawiamy. W kontekście technologii największe ryzyko to totalny „black-out”: że mamy jedną bazę, w której są przechowywane wszystkie tożsamości i dochodzi do włamania albo ogromnego ataku DDoS i nikt nie może się nigdzie zalogować. Również do banków. Nie ma dostępu do środków. Nie może skorzystać z żadnego produktu. Ale to czarny sen, hipotetyczna sytuacja. Takie ryzyko jest praktycznie wyeliminowane.

Zbigniew Pomianek: Czy to nierealny scenariusz? Niekoniecznie. Jak się patrzy na wielkość rozwiązań w bankach, na to, że przeniesienie baz danych w razie potrzeby może się już liczyć w dniach, to nie jest to scenariusz science-fiction. A zabezpieczenie się przed ryzykiem z tym związanym oznacza koszty. Zainteresowanie tak mocno zostało przesunięte na front-end, na bankowość elektroniczną, mobilną, na zabezpieczenia od tej strony, że czasami obawiam się, czy nie zapomniano o zapewnieniu ciągłej dostępności infrastruktury krytycznej, czyli systemów, w których są przechowywane salda klientów. Taki problem może się pojawić również wtedy, gdy okaże się, że jest jakiś zmasowany i skuteczny atak phishingowy. Co wtedy zrobić? Gdy to już zostałoby zidentyfikowane, kolejnym krokiem, chyba nieuniknionym, byłoby zamknięcie systemu na pewien czas. Idąc dalej – wyobraźmy sobie, że to atak nie jakiejś małej grupy hakerów, ale cyberarmii. Jeśli to zdołałoby zablokować trzy duże banki, to możemy mieć wielki problem w skali kraju i funkcjonowania jego systemu finansowego.

Robert Kuraszkiewicz: To czysto hipotetyczna sytuacja. Mnie niepokoi coś innego. Banki, za sprawą najczęściej wybieranej formy wnioskowania o to świadczenie, mają duży udział w sukcesie programu 500 Plus. Także w uszczelnieniu systemu podatkowego. Ale trzeba pamiętać, że te przedsięwzięcia były dla sektora bankowego obciążeniem kosztowym. Tego typu obciążeń jest coraz więcej. Pojawia się pytanie, czy to w jakiejś perspektywie nie zmniejszy elastyczności sektora, która powinna służyć całej gospodarce. Już dziś efektywność finansowa sektora bankowego jest dużo niższa niż jeszcze kilka lat temu.

Grzegorz Poznaniak: Co do inwestycji w back-end – one są i są bardzo duże, tylko ich po prostu nie widać. Łatwo zauważyć nową stronę internetową, a dużych inwestycji w systemy back-endowe nie widać. Więc ryzyko trwających kilka dni przerw w dostępie do systemów jest praktycznie wyeliminowane. Choćby dlatego, że każdy bank ma co najmniej dwa oddalone od siebie centra przetwarzania danych.

Zbigniew Pomianek: Nie chcę powiedzieć, że banki na tym oszczędzają, tylko że uwaga jest skupiona na czymś innym. Mieliśmy przecież niedawno przypadek, że koparka wykopała kabel jednego z bardzo dużych banków. Okazało się, że i kabel główny, i zapasowy idą tuż obok siebie i pojawił się problem, który oczywiście szybko naprawiono. Dlatego uważam, że ryzyko nie jest zerowe.

Na ile czarny sen dotyczy kosztów? Konieczności stałego ulepszania systemów, gonienia światowych liderów technologicznych?

Grzegorz Poznaniak: Jest faktem, że banki przez lata rozbudowywały swoją infrastrukturę, ale ona zaczyna się starzeć. Postęp technologiczny i metody pracy z systemami zmieniają się na tyle szybko, że infrastruktura przestaje nadążać. Pojawia się więc kwestia nie tyle dodatkowych nakładów na to, co jest, ale konieczności całkowitej zmiany tego, czym do tej pory dysponowaliśmy. Bez znaczących inwestycji banki nie będą w stanie nadążyć za rynkiem, jeśli chodzi np. o fintechy. Rzeczywiście koszty mogą być spore.

Robert Kuraszkiewicz: Na pewno będą.

Jak w tym kontekście będą sobie radzić małe podmioty, jak banki spółdzielcze?

Jerzy Frydlewicz: Sytuacja sektora banków spółdzielczych niewiele różni się od sytuacji sektora banków komercyjnych. Na pewno musi się zmienić podejście do kształtowania technologii w instytucjach finansowych. Nie uciekniemy od modelu chmurowego. Nastąpi odejście od tradycyjnego podejścia: inwestycji w infrastrukturę, która ma tendencję do bardzo szybkiego starzenia się. Koszty są oczywiście ograniczeniem – to kolejny argument dla zmiany w sposobie finansowania infrastruktury.

Podkreślam, że to dotyczy nie tylko banków spółdzielczych. Cały sektor będzie musiał zrewidować model inwestowania w infrastrukturę, w systemy informatyczne.

Robert Kuraszkiewicz: Podkreślę raz jeszcze, że sektor bankowy jest mocno regulowany, również w zakresie technologii. Obciążenia banków są duże i rosną w momencie, gdy zaczyna się kolejny etap wyścigu konkurencyjnego. Pojawiają się nawet głosy, że na naszym rynku jest miejsce jedynie dla pięciu banków. Ale czy wtedy konkurencja w sektorze nie byłaby zbyt niska? To perspektywa nie tylko technologiczna, ale jest to zagadnienie, które z pewnością stoi przed sektorem w kolejnych latach.

Obciążenia technologiczne nie byłyby tak wielkim problemem, gdyby warunki konkurencji były równe. Banki podlegają nadzorowi, a firmy, które z nimi konkurują – już nie. Banki muszą ponieść określone koszty – nie twierdzę, że niesłusznie. Problem w tym, że konkurencja tych kosztów ponosić nie musi.

Grzegorz Poznaniak: Z drugiej strony, fakt, że banki podlegają nadzorowi, że musimy wypełniać szereg regulacji, buduje pewność i zaufanie. To jest kapitał, z którego warto korzystać. To dlatego, że poziom bezpieczeństwa jest tak kontrolowany, banki cieszą się zaufaniem klientów. To jest nasza przewaga konkurencyjna wobec big-techów, które próbują „podgryzać” pozycję banków.

Mówi się, że słabym ogniwem, jeśli chodzi o bezpieczeństwo w bankach, są klienci. Co poza edukowaniem klientów można zrobić, żeby ryzyko z ich strony zmniejszyć?

Jerzy Frydlewicz: Będą rozwijać się systemy, które będą coraz lepiej weryfikować klientów i ich infrastrukturę, a tym samym zwiększać poziom bezpieczeństwa. Będą pomagały im identyfikować ich własne „podatności”.

Zbigniew Pomianek: Odpowiedzialność ponoszą przede wszystkim banki i ich dostawcy technologii. I oni muszą przyjąć, że klient ma określoną świadomość. Trzeba więc szukać takich rozwiązań, które będą zabezpieczać klienta przed popełnieniem przez niego błędu. Systemy antyfraudowe już funkcjonują. I kiedy pojawia się coś odbiegającego od normy, ma miejsce np. dodatkowa weryfikacja transakcji. W przyszłości – biorąc pod uwagę rozwój biometrii behawioralnej – wyłapywanie błędów klientów powinno być bardziej skuteczne. Błędów, ale też np. wspomnianego już phisingu.

Grzegorz Poznaniak: To już dziś działa bardzo skutecznie. Banki korzystają z nowoczesnych algorytmów samouczących się, sztucznej inteligencji. I bardzo często zdarza się, że na pierwszy rzut oka wszystko jest w porządku z transakcją. Ale algorytmy potrafią określić, że jakieś parametry są podejrzane, i zablokować transakcję. Co ważne – te algorytmy są stale coraz lepsze i są w stanie przewidywać zachowania człowieka.

Robert Kuraszkiewicz: Jednocześnie cały czas trzeba stawiać na edukację. My, ze względu na specyfikę naszego biznesu, bardzo często prowadzimy spotkania dla klientów np. wspólnie z policją. Te tradycyjne metody są wciąż bardzo ważne. To wszystko nie zmienia jednak jednej rzeczy: nic nie zastąpi ludzkiego odpowiedzialnego podejścia do swoich działań. Nigdy nie będzie systemu, który w pełni zabezpieczy nas przed własnym błędem.

PARTNER