Płatność bez obaw

Świat płatności elektronicznych powoli, ale jednak, zmierza ku wymianie infrastruktury zabezpieczeń stworzonej jeszcze przed popularyzacją Internetu.

Świat płatności elektronicznych powoli, ale jednak, zmierza ku wymianie infrastruktury zabezpieczeń stworzonej jeszcze przed popularyzacją Internetu.

Bezpieczeństwo transakcji elektronicznych przestało być zagadnieniem interesującym jedynie organizacje finansowe, banki oraz firmy zajmujące się sprzedażą online. Upowszechnienie się elektronicznych płatności w ich rozlicznych formach oraz popularność komunikacji elektronicznej w ogóle osiągnęły poziom, przy którym można śmiało powiedzieć, że jest to problem nas wszystkich. Problem ten polega przede wszystkim na tym, jak skutecznie zabezpieczyć dane finansowe i osobowe, a więc jak uniknąć wynikających z tego tytułu strat i innych kłopotów. W równej mierze jednak kwestia polega także na tym, jak zrobić to w ramach rozsądnego budżetu. Powstaje też pytanie: co zrobić, by bezpieczeństwo samo nie stało się problemem. Możliwości jest wiele.

Rachunek zysków i strat

Jeśli chodzi o instytucje finansowe, podstawą planowania jest klasyczna teoria bezpieczeństwa, która daje prostą receptę: koszt inwestycji w system zabezpieczeń powinien być niższy od wysokości strat przewidywanych w wypadku rezygnacji z jego zastosowania w przewidywanym czasie "życia" systemu. Wykorzystując tego typu rachunki, banki już od pewnego czasu wprowadziły ograniczenie odpowiedzialności użytkowników kart za straty finansowe (np. do 50 USD), wliczając wyższe straty do ogólnych uśrednionych kosztów prowadzenia działalności.

W praktyce trudno jest ocenić zarówno potencjalne straty, jak i koszty - prawdopodobieństwo jest tu trudne do wyliczenia, zmiennych i niewiadomych jest bowiem sporo. Systematyczny wzrost aktywności grup przestępczych i ulepszanie stosowanych technik wciąż zmieniają rachunki. Dlatego też można oczekiwać, że wprowadzanie nowych technik zabezpieczeń (i towarzyszących im dostosowań proceduralnych, naturalnie) jest nieuniknione, jako jedyna rozsądna forma działań obniżających ryzyko. Ma to sens nawet wtedy, gdy będzie to proces powolny, wieloletni i w znacznym stopniu oparty na analizie wdrożeń pilotowych, testowaniu rozwiązań i obserwacji poczynań konkurencji.

Impulsem, który może przyspieszyć implementację silniejszych niż dotąd mechanizmów zabezpieczeń, jest opublikowany ostatnio przez Federal Deposit Insurance (FDI), amerykańską agencję zajmującą się nadzorem i regulacjami przepisów bankowych, dokument zawierający wymaganie wprowadzenia dwuskładnikowego uwierzytelniania wszystkich transakcji online w ciągu najbliższych lat. FDI nie definiuje, jakie technologie powinny być wykorzystywane, zostawiając takie decyzje bankom. Dokument opublikowany przez FDI, co zrozumiałe, dotyczy instytucji działających w Stanach Zjednoczonych, ale naturalnie tamtejsze regulacje oddziałują na cały świat i choćby z tego powodu warto zapoznać się z zawartymi w nim propozycjami.

Hasła i tokeny

Niektóre firmy implementują mechanizmy oparte na tokenach generujących jednorazowe unikalne kody dostępu, a coraz częściej także działające równolegle mechanizmy "wzmacniające", jak zdrapki czy potwierdzenia przez wiadomości SMS. Te tzw. dwuskładnikowe systemy zabezpieczeń znacznie utrudniają włamania - wymagają jednoczesnej kradzieży tokenu, hasła i nazwy użytkownika, a ten ostatni w przypadku stwierdzenia utraty tokena może zablokować zdalny dostęp do swojego konta, wykonując jeden telefon.

Choć nie ulega wątpliwości, że sprzętowe tokeny w połączeniu z hasłami oferują wysoki poziom zabezpieczeń, ich implementacja ma również mankamenty. Przede wszystkim są one związane z kosztami wdrożenia i utrzymania systemu, a także wygodą użytkowników, którzy często nie akceptują pomysłu, w którym dostęp do ich konta jest warunkowany przez urządzenie, nie mówiąc już o wykorzystaniu więcej niż jednego w przypadku posiadania większej liczby kont.

Wygodną alternatywą dla tokenów sprzętowych jest pomysł wykorzystania telefonów komórkowych jako tokenów generujących jednorazowe kody dostępu. Z punktu widzenia użytkownika, który nie musi nosić ze sobą dodatkowych urządzeń lub kart ze zdrapkami, jest to znacznie wygodniejsze i tylko nieco mniej bezpieczne niż dedykowany token. Tego typu rozwiązanie już od 2002 r. oferuje RSA (dostarczanie kodów za pośrednictwem systemu SMS), a ostatnio podobny system, ale oparty na aplikacji Java zaprezentowała firma Meridea. Zaletą tego ostatniego jest to, że działa lokalnie i nie wymaga dostępności usługi SMS. W praktyce umożliwia programową emulację sprzętowego tokena w każdym telefonie z platformą Java.

Nowości na horyzoncie

Przejęcie typu ryzyka związanego z przestępstwami kartowymi przez wystawców kart nie zmienia faktu, że ryzyko pozostaje i wywołuje konieczność poniesienia nakładów na pokrycie strat. Koniec końców, wydatki muszą się zbilansować, więc pytanie dotyczy głównie tytułu i formy opłaty. Instytucje finansowe wciąż poszukują rozwiązań, które umożliwiają zmniejszenie tych kosztów. Największe perspektywy masowej popularyzacji mają karty mikroprocesorowe i systemy biometryczne, które choć kosztowne, ograniczają jednocześnie ryzyko po stronie wystawcy.

Amerykańska sieć sklepów warzywnych Piggly Wiggly wdrożyła system opracowany przez firmę Pay By Touch. W kasach sprzedaży zainstalowano czytniki odcisków palców, które w połączeniu z numerem PIN podawanym przez klienta weryfikują jego tożsamość i bez potrzeby korzystania z karty kredytowej realizują transakcję przy wykorzystaniu serwera Pay By Touch współpracującego z systemem bankowym.

Z kolei Chase Card Services wprowadziła do oferty bezprzewodowe karty Blink, które umożliwiają zdalne przekazanie danych identyfikujących użytkownika do odpowiedniego czytnika w kasie. Ich zasięg został ograniczony do ok. 5 cm, co praktycznie uniemożliwia podsłuchanie transmisji, ale wprowadzono również drugi składnik uwierzytelniania - numer PIN, który ma dodatkowo zabezpieczać przed wykorzystaniem skradzionej karty tego typu.

Bank of America instaluje obecnie system opracowany przez firmę PassMark Security, który wykorzystuje oryginalny mechanizm zadawania osobistych pytań (przypadkowo wybranych z wcześniej zarejestrowanego ich zestawu) oraz prezentacji zestawu obrazków, z których tylko jeden jest podstawą do uwierzytelnienia transakcji. Zwykle jest to obraz wybrany przez klienta podczas zakładania konta w banku.

Inne banki, również w Polsce, też już stosują podobne rozwiązania (zestawy osobistych pytań). Tego typu technologie opracowują i oferują takie firmy, jak Actimize, Corillian, Cyota lub The 41st Parameter. Systemy wykorzystują bazę indywidualnych profili użytkowników zawierających informacje np. o typowym adresie IP czy rodzaju systemu operacyjnego. Pozwalają na analizę wskazania zegara systemowego, a także wykrywają takie anomalie, jak nietypowa lokalizacja użytkownika lub nieoczekiwany przekaz dużej sumy na konto, które dotąd nie było wykorzystywane.

Bieżąca analiza takich danych umożliwia np. automatyczne zablokowanie transakcji, gdy użytkownik z Krakowa zleca ją w Argentynie - system zadaje mu wówczas dodatkowe pytania w celu zweryfikowania autentyczności. Rozwiązanie takie utrudnia, ale nie blokuje możliwości korzystania z systemu przez osoby podróżujące, a jednocześnie znacznie utrudnia kradzieże online.

Mechanizmy umożliwiające automatyczną analizę i detekcję podejrzanych transakcji na podstawie wzorców zachowań z reguły pozwalają na zablokowanie rachunku już po przeprowadzeniu kilku nielegalnych operacji. W porównaniu ze standardową operacją logowania lub potwierdzania transakcji wykorzystującej prosty mechanizm tak/nie (zezwolenie lub zablokowanie transakcji) systemy inteligentnej analizy wprowadzają trzecią opcję "być może" - decyzja "tak" zależy od spełnienia dodatkowych warunków.

Procesory i EMV

Era kart magnetycznych powoli zbliża się do końca. Można oczekiwać, że w najbliższych latach banki i instytucje finansowe będą systematycznie migrować do innych systemów. Najprawdopodobniej będą to systemy oparte na kartach z , które są dostępne od dłuższego czasu. Tego typu migracja jest jednak dość kosztowna, bo w praktyce trzeba wymieniać lub modernizować ogromną bazę urządzeń (bankomaty, terminale POS). Ponieważ jest to proces długotrwały, pomysłem przejściowym są karty hybrydowe, które zależnie od sytuacji mogą być wykorzystywane jako karty magnetyczne lub mikroprocesorowe.

Należy zauważyć, że z technicznego punktu widzenia karty mikroprocesorowe nie są żadną nowością. Ich największy producent, firma Axalto, po raz pierwszy wprowadziła je do oferty już ponad 25 lat temu (w 1979 r.), a wśród innych liczących się obecnie na rynku dostawców można wymienić m.in. Gemplus, HID i RSA Security. Popularyzacji kart mikroprocesorowych sprzyjają pojawienie się standardu EMV opracowanego przy współpracy Eurocard, Visa i MasterCard oraz spadek cen. Według MasterCard w masowej produkcji cena wytworzenia uniwersalnej karty mikroprocesorowej wynosi obecnie tylko 99 centów. W grudniu 2003 r. było to ok. 2 USD, spadek jest więc znaczący.

Standard EMV wykorzystuje system operacyjny Multos i zestaw preinstalowanych aplikacji, które umożliwiają zastosowanie kart do różnych celów: jako kart kredytowych, debetowych, telefonicznych itp. Ich użytkownik może, choć nie musi aktywować potrzebne mu funkcje. System Multos jest dość stary, a jego funkcjonalność ustępuje wielu nowszym, bardziej zaawansowanym systemom operacyjnym, takim jak platforma Java. Ale jego zaletą jest wysoki poziom zabezpieczeń oraz duża popularność, która powoduje, że jest łatwy w implementacji.

Karty mikroprocesorowe zapewniają wyższy poziom zabezpieczeń, bo wykorzystują zaawansowane mechanizmy szyfrowania danych (pilotowe wdrożenie EMV we Francji pokazało zmniejszenie strat związanych z kradzieżami aż o 90%), ale chyba największą ich zaletą jest uniwersalność zastosowań, która może być źródłem poważnych oszczędności. Jedna, wydana przez bank karta EMV może później służyć do aktywacji funkcji elektronicznej portmonetki, biletu komunikacji miejskiej, karty lojalnościowej, klucza otwierającego dostęp do chronionych pomieszczeń, do logowania w systemach IT, a być może także jako dowód osobisty lub prawo jazdy.