BT: Je dnes za krádež identity zodpovědný ředitel?

Dnes se za zboží v internetových obchodech běžně platí online, a tak se logicky naskýtá otázka: jak víme, co je člověk na síti zač – a zda-li se jen za někoho nevydává?

V branži, nebo přinejmenším v denním tisku už tradičně platí za bernou minci názor, že při zabezpečení dat jde hlavně o ověření identity, tj. zodpovědnost leží na zákazníkovi. Já mám naopak za to, že odpovědnost musí převzít firmy, než k tomu budou donuceny. Tento názor rozvádím v textu níže.

Když si vás online prodejci chtějí proklepnout, mají na vybranou z celé řady způsobů – mohou požadovat PIN k vaší čipové kartě, kryptická uživatelská jména, hesla a „CVV“ čísla (tedy ty tři číslice na zadní straně vaší kreditky). Tedy jména a čísla – a přesně na tyto příklady dojde řeč, když se mluví o internetových podvodech.

Jenže to slavné „ověřování totožnosti“ je už dnes ve firemní válce proti kyberzločinu skoro pasé. Čipové karty, PIN či digitální podpisy jsou jen malým dílkem mnohem složitějšího příběhu.

V poslední době totiž dochází k jasnému posunu v odpovědnosti od zákazníka ke společnosti.  O tom se ovšem příliš nepsalo. Jistě, stále je potřeba, aby zákazník prokázal svou totožnost.  Čím více však při online nákupech používáme osobní data, čím více je zadáváme při přímém elektronickém bankovnictví, při online hazardních hrách i při placení účtů, tím víc se musí obchodníci angažovat, aby zabránili podvodům.

Jak to mohou zařídit? V inteligentní správě totožnosti nejde o ověřování. Jde o určení typického chování zákazníka a o rychlé a efektivní zjištění odchylek od tohoto chování. Dnes by měl zákazník očekávat, že mu společnost velmi rychle zavolá, pokud na jeho účtu dojde k velké a neobvyklé transakci, i když je taková transakce legitimní a prošla obvyklými testy. V opačném případě totiž firma zanedbává svou odpovědnost. 

Tím samozřejmě vyvstává otázka po ochraně soukromí – a na ni zase zajímavá odpověď. Všichni víme, jaká je to otrava, když vám „robotickými“ hlasy volají prodejci toho či onoho, jak obtěžuje nevyžádaná reklama ve schránce na dopisy či spam v emailu. Co se bezpečnosti týče, je tomu právě naopak – rychlý a přímější kontakt oceníme, i když nás vyruší při jednání nebo při relaxaci doma.

Proč k něčemu takovému došlo? Kupodivu lze příčiny vysledovat až k našim nejzákladnějším instinktům. Ověřujeme si přece vizuálně. Tak například, když vejdeme do banky, víme, že je to banka, protože má mramorové sloupy, za skleněnými přepážkami sedí elegantně oblečení bankovní úředníci, a my vidíme firemní logo. Je tudíž logické, že když jdeme na internetové stránky banky, předpokládáme, že skutečně jde o internetové stránky banky – vždyť tam vidíme logo, očekávaná menu i správné URL. A program nás přirozeně požádá, abychom mu potvrdili svou totožnost.

Své základní chování jsme zkrátka nepřizpůsobili proměněné realitě: ve virtuální realitě totiž věci občas nejsou to, čím se na první pohled zdají být. Jednoduše řečeno: nejsme vyškoleni na to, abychom odhalili internetové stránky, jejichž skutečný původ je naprosto neviditelný.  Dokonce ani odborník mnohdy nedokáže vizuálně rozeznat falešné internetové stránky od pravých.

Podstata tohoto podvodu je jednoduchá: útočník vystaví falešnou internetovou stránku a přiměje uživatele, aby na ni šel. Uživatel zadá své heslo a útočník ho zase využije k přístupu ke skutečným internetovým stránkám banky. Pokud se to udělá správně, uživatel nikdy nepozná, že se nenachází na pravých stránkách banky. Pak mají útočníci na vybranou ze dvou postupů: mohou uživatele odpojit a vykrást mu účet, anebo zadat jeho transakce a vyvést peněžní prostředky z účtu.

A v tom tkví podstata problému. Dnes není spravedlivé ani schůdné očekávat, že uživatel odhalí podvodné transakce. Ve světě, kdy to klient prostě nedokáže, musí dojít v posunu k bezpečnostní politice – a také k němu už dochází. Ověřování totožnosti bude mít vždycky své místo, ale firmy – ať už kvůli dobré pověsti, nebo kvůli bezpečí svých zákazníků – musí věnovat více pozornosti profilování chování svých klientů. Technologie významně pokročila: teď je ale potřeba udělat více.

Firmy již o profilování zákazníků nějaký čas mluví, ale vždy jen v kontextu, jak svým zákazníkům prodat více produktů. Jak se dalo čekat, veřejnost na takové profilování zareagovala dosti přezíravě. Bude zajímavé sledovat, jaký vztah získají zákazníci, až jim firmy začnou říkat, že potřebují profilovat jejich chování pro jejich vlastní dobro.

Témata článku: Banky

Nejnovější komentáře

Přidat příspěvek