כמה תובנות על אבטחה טובה יותר בעידן הבנקאות הדיגיטלית

בנקים רבים מעבירים יותר ויותר שירותים לדיגיטל. כך, בנק לאומי הקים את הבנק הדיגיטלי Pepper ולבנק הפועלים יש כמה סניפים דיגיטליים מלאים. לצד המגמה ההולכת וגוברת עולה שאלת האבטחה של השירותים הבנקאיים הדיגיטליים: איך שומרים עליהם? וכיצד מבטיחים שלא יהיו תקלות ומתקפות שיבריחו את הלקוחות לבנקים אחרים?

איילת אבני, מנהלת בכירה לתחומי האבטחה וההונאה ב-IBM Trusteer, דיברה על הבנקאות הדיגיטלית ואבטחת המידע בכנס FinTech Junction 2017 של אנשים ומחשבים, שנערך שלשום (ב') במלון הילטון בתל אביב, בהשתתפות 1,500 אנשי IT מהעולם הפיננסי והפינטק.

אבני, בעלת יותר מ-15 שנות ותק בענף, במגוון תפקידי מחקר ופיתוח לעסקים, עוסקת במסגרת תפקידה כמנהלת בכירה ביבמ (IBM) בהובלת וביישום פתרונות נגד פשעי אינטרנט ואיומים חדשים. עוד לפני שהצטרפה לענק הכחול מילאה אבני תפקידי ניהול שונים בחברות בולטות, כולל ב-RSA.

בהרצאתה דיברה אבני על ההתמודדות של הבנקאות הדיגיטלית עם ההונאות ועם איומי הסייבר החדשים. "לקוחות רוצים את הנוחות שבדיגיטל – לשלם חשבונות, לבצע עסקות וכדומה – אבל אם המערכת פתוחה ללקוח, היא פתוחה גם לתרמית. לכן, אנחנו מחויבים לאבטחת השירות הדיגיטלי ללקוחות הקצה", הסבירה.

היא אמרה כי "בנקים החלו חוששים בעקבות איומי הסייבר מכך שהלקוחות יחליפו אותם אם הם לא יספקו אבטחה טובה. זאת, מכיוון שאנשים מחליפים כיום ספקים במהירות, ולא את התשתית. למשל, הם לא יחליפו בקלות iPhone גם אם יעשה בעיות, אבל בהחלט ובלי פקפוק יחליפו את הספקית".

המעבר לדיגיטל – בעל פוטנציאל עצום למשיכת לקוחות

לדברי אבני, המעבר לדיגיטל מפחית עלויות עבור הבנקים ויש בו פוטנציאל עצום למשיכת לקוחות – אם החוויה הדיגיטלית תותאם אליהם. יתרה מכך, אמרה, הדיגיטליות עשויה להביא לבנקים עולם חדש של אפשרויות ובהתאמה – של הצעות ללקוחות. אלא שהם מודאגים מאוד מהשינוי ו-"האבטחה היא הנושא שהכי מטריד אותם במעבר לדיגיטל", הבהירה, "הפיכת הבנק לשכבת תשתית מחייבת את הבנקים לשקוד על האבטחה, בכדי לבנות את יחסי האמון בינם ללקוחות".

כיום, הסבירה, הזיהוי והאימות של המשתמש משמעותיים. אי אפשר עוד להתייחס לזהות המשתמש ככזו שמגיעה ממקום אחד בלבד, כמו מהמחשב הנייח בעבר, שכן הלקוח נכנס ממכשירים ומיקומים שונים, וזו אחת הסיבות לכך שגנבת זהות ופישינג הן כה בעייתיות כיום. לכן, אותנטיקציה היא אספקט משמעותי במיוחד, שכן היא נעקפת על ידי תרמיות. "יש עלייה בתרמיות על פני ערוצים צולבים", אמרה. "המערכת משתנה באופן דרמטי מבחינת לקוחות, עסקים והסיכון שגלום בה מפני תרמיות".

אבני הוסיפה שהלקוח צריך להרגיש את האבטחה ושזו צריכה ליצור הרתעה, ודיברה בהקשר זה על הפתרון של יבמ. "הכלים שפיתחנו בכדי לטפל בזה ולמנף את הטכנולוגיה באופן חכם מנסים לזהות את התרמית בדרך חכמה, וזאת מתוך ההבנה שחובה להתבונן בתמונה הרחבה ושלשם כך אנחנו נזקקים לטכנולוגיה קוגניטיבית, שתאפשר ללקוח הלגיטימי לגשת לאפליקציה ולבנק שלו. זו מערכת שקופה שמזהה מי הלקוח המורשה. אנחנו לא רק חוסמים ניסיונות חדירה, אלא מספקים גם יכולות וכלים לזהות לקוחות מורשים, וכן מספקים כלים לנקות את המכשיר ולאבטח אותו, לאחר פגיעה שזוהתה".

היא הסבירה שלכל לקוח יש טביעת אצבע ומערכות האבטחה לומדות את התנהגותו, כך שהן יכולות לזהות אם מדובר באדם פרטי או במכונה. "המוצר שלנו מזהה אבנורמליות ולא מאשר פעילות לא מורשה", אמרה אבני. "המנגנונים הקיימים כיום מבינים ומזהים מה עושה הלקוח הלגיטימי בהשוואה לסוג הפעילות האופייני לפורצים. אנחנו לומדים את התרמיות ומחילים זאת בכל העולם. אם מזוהה פעילות לא כשרה במכשיר, בכמה אפיקים, ולאחריה מוכנס משלם חדש למערכת, המנגנון מוקפץ ומתחילה בדיקה של מה שקרה".

לדברי אבני, התוצאה מפחיתה את כלל עלויות האבטחה ואת העלויות הגבוהות של הנזקים הנלווים. "הלקוחות טוענים שהמערכות הפחיתו את עלויות האבטחה שלהם ב-90%", אמרה.

לסיכום היא ציינה ש-"להכניס את הלקוח פנימה ולחסום את הניסיונות לחבלה באבטחה הן הפעולות החשובות בהתנהלות המערכת הבנקאית החדשנית, ויש לעשות זאת בלי יותר מדי הכבדה על הלקוחות. זה קריטי בעידן החדש של הבנקאות".