Biometryczna rewolucja
Wypłata gotówki odciskiem palca, płatność opaską, która identyfikuje właściciela rachunku po rytmie serca, logowanie skanerem, rozpoznającym twarz użytkownika. Biometria szerokim frontem wchodzi do usług bankowych.
Biometria zyskała ostatnio szaloną popularność - głównie dzięki firmie Apple, która w telefonach zaczęła instalować czytniki linii papilarnych do odblokowania urządzenia. Młodym użytkownikom iPhone'ów może wydawać się, że biometrię wymyślił Steve Jobs. Tymczasem jest to metoda znana i stosowana od lat. Już na początku w XVI w. Albrecht Dürer odrysowywał ręce bliźnich, bo zauważył, że każdy człowiek ma inne dłonie o niepowtarzalnych cechach. Musiały upłynąć wieki, zanim biometria, czyli nauka wychwytująca indywidualne cechy anatomiczne i fizyczne ludzi, znalazła zastosowanie praktyczne. W ciekawy sposób nową metodę wykorzystał sir Wiliam Herschel, który w połowie XIX w. za pomocą biometrii (odcisk palca) odsiewał rzeczywistych pracowników indyjskiej służby cywilnej od oszustów, którzy ustawiali się przed kasami w dniu wypłaty, żeby wyłudzić wynagrodzenie.
Na swoje prawdziwe odkrycie biometria musiała czekać do lat 90. minionego wieku, kiedy to stwierdzono, że indywidualne i niepowtarzalne cechy posiadają nie tylko linie papilarne, ale kształty dłoni, układ naczyń krwionośnych, sposób chodzenia, źrenice, owal twarzy, styl pisania i siła nacisku i wiele innych parametrów.
Pomimo oczywistych zastosowań m.in. w systemach zabezpieczeń, długo pozostała niszową technologią, zyskując ogólnorynkowy zasięg zaledwie w kilku krajach: Indiach, Japonii, Brunei, Brazylii czy Turcji. Właściwie trudno wyjaśnić, dlaczego tak się stało, ponieważ bariery technologiczne w biometrii są niskie, podobnie jak koszty implementacji. Możliwe, że zaniechania wynikały z braku zrozumienia dla nowej technologii, traktowanej czasem jak gadżet. Przykładów nie trzeba daleko szukać, wystarczy przypomnieć komentarze po tym jak BPS w 2010 r. zainstalował pierwszy w Polsce bankomat biometryczny. Ot ciekawostka, system szukający dla siebie miejsca na rynku z powodzeniem opanowanym przez karty płatnicze. Pytano po co inwestować w technologię, skoro mamy dobrze działający system kartowy?
Podobne opinie pojawiły się we wszystkich rozwiniętych krajach o dużym nasyceniu kartami. Wydawało się, że biometria może znaleźć zastosowanie raczej w krajach rozwijających się, gdzie dopiero powstaje sektor finansowy i gdzie wydawnictwo kart można zastąpić technologią biometryczną.
Tak było do momentu wybuchu rewolucji smartfonowej, która oprócz wielu udogodnień przyniosła wiele zagrożeń związanych z bezpieczeństwem danych przechowywanych w telefonie oraz operacji wykonywanych za jego pomocą. Na pierwszej linii zagrożenia znalazły się usługi bankowe, szczególnie po tym, jak okazało się, że system jednorazowych haseł nie stanowi skutecznej barierę przeciwko złodziejom danych. W ogóle hasła i PIN-kody przestały dawać gwarancje bezpieczeństwa, często na własne życzenie klientom banków.
Z raportu Javelin Research&Strategy Smartfony, tablety i fraudy, opublikowanego we wrześniu ub. roku wynika, że sześciu na dziesięciu użytkowników systemów Android, iOS i WIndows używa tego samego hasła do wielu różnych serwisów. W przypadku popularnego "Antka" aż 62 proc. posiadaczy smarfonów nie wysila się, żeby wymyślać nowe hasło. Wśród zwolenników systemu iOS odsetek ten jest jeszcze większy i wynosi 63 proc. Nieznacznie tylko przezorniejsi są użytkownicy środowiska Windows - 39 proc. zmienia hasła dostępowe. Tylko jeden na pięciu posiadaczy smartfonów stwierdził, że naprawdę troszczy się o bezpieczeństwo telefonu.
Bardzo podobne wyniki przynoszą badania przeprowadzone wiosną 2014 r. przez IDC. Zaledwie 21 proc. ankietowanych robiło wszystko, żeby zabezpieczyć urządzenie przed atakiem, natomiast aż 37 proc. uważało, że odpowiedzialność za bezpieczeństwo spoczywa na dostawcy telefonu czy systemu.
Od niedawna producenci, firmy IT, dostawcy usług finansowych zaczęli dokładać starań, żeby zabezpieczyć użytkowników przed włamem, odkurzając starą i trochę zapomnianą biometrię. Apple już w iPhone 5s zastosował czytnik Touch ID, rozpoznający użytkownika po liniach papilarnych. System został szybko wyśmiany, ponieważ - jak się okazało - dość łato go oszukać. Apple nie wycofał się jednak z pomysłu i w szóstce wprowadził bardziej zaawansowaną technologię, otwierając również drzwi dla deweloperów zainteresowanych rozwijaniem tego sposobu autentykacji.
W tym samym kierunku poszedł Samsung, dodając czytnik linii papilarnych w Galaxy 5.
Od kiedy dwóch głównych trendsetterów w nowych technologiach postawiło na biometrię, nastąpił wysyp rozwiązań opartych na identyfikacji linii papilarnych, układu żył, głosu, twarzy. Niedawno w Kanadzie rozpoczęły się testy biometrycznej opaski na rękę, identyfikującej właściciela po rytmie serca, którą można płacić zbliżeniowo w terminalach POS. Z kolei w Helsinkach w jednej z kawiarni trwa pilotaż systemu płatności, który rozpoznaje klienta po skanie twarzy. Jeśli zarejestrował on swój wizerunek w bazie danych i powiązał z rachunkiem, płacąc za kawę, naciska tylko OK w aplikacji w telefonie.
Są też pierwsze ciekawe wdrożenia technologii biometrycznej. Niedawno Grupo Mutual, największa kooperatywa kredytowa z Kostaryki, jako pierwsza na świecie udostępniła aplikację mobilną, która za pomocą kamery w telefonie skanuje twarz użytkownika i na tej podstawie loguje go - bądź nie - do systemu.
W październiku 2014 r. kanadyjski bank internetowy Tangerine, dawny ING Direct, zaczął wykorzystywać do logowania do aplikacji mobilnej Touch ID, a do nawigacji w systemie głos użytkownika, zarejestrowany w wcześniej w bazach danych banku.
Głośnym echem odbiła się w świecie finansowym decyzja Barclays Banku też z jesieni ub. roku, o wprowadzeniu dla zamożnych klientów specjalnego czytnika układu żył palca, który zastąpił token i hasła do logowania do bankowości internetowej.
Po Touch ID jako sposób logowania do aplikacji mobilnej sięgnął też turecki IS Bankasi. Trzeba dodać, że jest on jednym ze światowych pionierów w wykorzystaniu biometrii w bankowości, a Turcja z powodzeniem stosuje biometrię w administracji państwowej. Co ciekawe, Turcy podpatrzyli technologię w Polsce. Kilka lat temu zobaczyli pierwszy bankomat biometryczny BPS-u i nowatorska metoda autentykacji tak im się spodobała, że IS Bankasi zainstalował czytniki rozpoznające klienta po układzie żył na palcu w całej swojej sieci bankomatów. Na biometrię uwagę zwróciła administracja państwowa, znajdując dla niej zastosowanie w odpowiedniku naszego ZUS-u, jako sposób na ograniczenie procederu wyłudzeń zasiłków.
Ostatnio turecki rząd zaczął wykorzystywać biometrię do monitoringu migracji z objętej wojną Syrii. We wrześniu 2014 r. urząd ds. sytuacji nadzwyczajnych poinformował, że w bazach biometrycznych zostało zarejestrowanych 740 tys. z 1,1 mln uchodźców, którzy napłynęli do kraju.
Pionierami różnych zastosowań biometrii są też Hindusi, którzy mają największą bazę danych na świecie. W kwietniu ub. roku jedna ze szkół żeńskich w stanie Jharkhand zastąpiła karty wejściowe dla uczniów i nauczycieli czytnikami biometrycznymi. Każda uczennica po przyjściu na zajęcia musi zarejestrować swoją obecność, przykładając palec do skanera.
Być może taki czytnik wkrótce stanie się standardem w szkołach, uczelniach, firmach oraz w internecie na całym globie, ponieważ chcą tego sami ludzie odpowiedzialni za bezpieczeństwo. Przynajmniej niektórzy. Na początku października 2014 r. Michael Daniel, koordynator ds. bezpieczeństwa cybernetycznego w Białym Domu na łamach "Washington Times" zdecydowanie wypowiedział się przeciwko dalszemu stosowaniu haseł dostępowych. - Szczerze, to z przyjemnością pozbyłbym się na amen tych wszystkich haseł, ponieważ ich używanie jest straszne - stwierdził. I dodał, że czytniki biometryczne staną się niedługo tak powszechne, jak telefony komórkowe.
Z badań przeprowadzonych jesienią przez Intelligent Environments wynika, że przeciętny użytkownik też chętnie pozbyłby się haseł. Spośród 2 tys. przebadanych Brytyjczyków 79 proc. porzuciłoby password na rzecz biometrii. Najwięcej wskazań spośród metod autentykacji uzyskał czytnik odcisków palców. Zagłosowało za nim 53 proc. badanych. 33 proc. chętnie zastąpiłoby hasło skanem źrenicy, 30 proc. twarzy, a 29 proc. odwzorowaniem rytmu serca. Najmniej wskazań uzyskała metoda rozpoznawania głosu - 27 proc.
W Polsce, niestety, nie mamy takich badań, a szkoda, bo przecież to u nas stanął pierwszy w Europie bankomat biometryczny, a kilka instytucji mocno zaangażowało się w upowszechnianie tej technologii. Na początku były to tylko banki spółdzielcze, potem dołączyły do nich Bank BPH i Getin Bank. Nad wprowadzeniem czytników biometrycznych w oddziałach pracują też podobno Eurobank i BZ WBK. W przyszłym roku na rynku ma pojawić się karta Getinu wydana wspólnie z Mastercard, która będzie rozpoznawać właściciela po liniach papilarnych.
Jest kwestią czasu, kiedy biometria pojawi się w mobilnych aplikacjach bankowych. Właściwie to już jest, bo przecież głosem można sterować aplikacjami Meritum i Smart Banku. Rosnące zagrożenie ze strony przestępców będzie wymuszać szukanie skutecznych środków przeciwdziałania.
Warto jednak odnotować głos Andrei Charniauski, analityka IDC, który w Computerworld UK przestrzegał na początku października ub. r. przed zachłyśnięciem się biometrią, która jest technologią młodą i jeszcze niesprawdzoną. Stwierdził, że firmy niefinansowe mają ten komfort, że wprowadzając nowy sposób autentykacji sporo zyskują, gdyż istotnie podnoszą user expirience użytkownika bez ponoszenia specjalnych kosztów. Natomiast instytucje finansowe powinny być bardziej ostrożne.
- Nowe metody autentykacji zwiększają zainteresowanie bankowością mobilną, niemniej instytucje finansowe nie powinny na ślepo wprowadzać rozwiązań biometrycznych na masowy rynek, szczególnie dostarczanych przez obcych dostawców za pośrednictwem publicznie dostępnych API - podkreślił.
Jego zdaniem potrzeba kilku lat zanim metoda autentykacji oparta na biometrii osiągnie odpowiedni poziom bezpieczeństwa. Na razie sugeruje podejście oparte na dwupoziomowym sposobie autentykacji: biometria powinna być stosowana tylko do podstawowych operacji, jak wgląd w saldo rachunku. Wszystkie transakcje należy natomiast zatwierdzać tradycyjnym hasłem i PIN-em.
Firma Frost and Sullivan przewiduje, że biometria stanie się dojrzałą technologią około 2019 r. Już w 2017 r. liczba biometrycznych smartfonów sięgnie 471 mln.
Andrzej Jabłoński