LexisNexis Risk Solutions jest firmą, która posiada wiele informacji, dzięki którym może zabezpieczać swoich klientów przed nieuczciwymi użytkownikami internetu. Jak szeroki jest zakres tych informacji?

LexisNexis Risk Solution jest firmą, która zajmuje się dostarczaniem narzędzi do szeroko rozumianego zarządzania ryzykiem, w szczególności ryzykiem związanym z przestępczością finansową, praniem pieniędzy, a także wszelkiego rodzaju nadużyciami. Z jednej strony, będąc największym na świecie dostawcą informacji w obszarze crime compliance, tj. list sankcyjnych, osób politycznie eksponowanych czy negatywnych mediów, pomagamy naszym klientom w spełnianiu wymogów regulacyjnych dotyczących przeciwdziałania praniu pieniędzy. Z drugiej – zabezpieczamy ich także w obszarze przeciwdziałania wszelkiego rodzaju fraudom.

Do realizacji tego celu wykorzystujemy m.in. rozwiązanie ThreatMetrix®, usługę bazującą na globalnej sieci tożsamości cyfrowych (Digital ID), w której w sposób bezpieczny, zgodny z wszelkimi regulacjami i z wykorzystaniem najnowszych metod szyfrowania danych, agregujemy informacje pozwalające ocenić, czy użytkownik, który chce skorzystać z usług naszego klienta, jest godny zaufania. Czy widzimy czynniki wskazujące na ryzyko potencjalnego nadużycia, czy wręcz przeciwnie. Dziś jesteśmy w stanie zapewnić naszym klientom pokrycie tych dwóch obszarów, tj. AML i fraud, w ramach jednego odpytania API, co jest unikatowe w skali świata.

Jak duża jest to sieć?

Zakładamy, że spośród ok. 7 mld ludzi żyjących na świecie dostęp do usług cyfrowych ma ok. 4-4,5 mld. Do tego grona zaliczamy osoby, które przynajmniej raz były aktywne w internecie, czyli rejestrowały się, logowały lub płaciły. Spośród tych 4-4,5 mld użytkowników w swojej sieci mamy globalnie blisko 3 miliardy unikalnych tożsamości cyfrowych online. Przy czym podkreślam, mówimy tu o tożsamości cyfrowej, w rozumieniu algorytmicznego identyfikatora.

Zatem jak to działa?

Od ponad 18 lat zajmujemy się budowaniem analizy ryzyka w oparciu o aktywność cyfrową użytkownika z ujęciem urządzenia, którym się posługuje. Bazujemy na koncepcie tożsamość cyfrowej, stworzonej z danych dotyczących samego urządzenia, takich jak system operacyjny, model urządzenia, przeglądarka, rozdzielczość ekranu, układ aplikacji, status baterii i tysiące innych parametrów, oraz towarzyszących mu atrybutów danych takich jak lokalizacja czy informacje podawane we wniosku, typu adres mailowy, numer telefonu itd. Ale co ważne, dane te analizujemy w formie zhashowanej, która przy obecnych mocach obliczeniowych jest – można powiedzieć – nieodwracalnie zaszyfrowana. Następnie odpytujemy naszą globalną sieć, co wie na temat tej konkretnej tożsamości cyfrowej.

Przeczytajcie także: • Europejskiej karty płatniczej na razie nie będzie

Każdy z naszych klientów współdzieli informacje o zdarzeniach fraudowych, dzięki czemu cały czas ulepsza swoje modele predykcyjne oparte m.in. o uczenie maszynowe, a przy tym zabezpiecza pozostałych uczestników naszej globalnej sieci Digital ID. Dzięki temu nasi klienci, którymi są głównie banki, instytucje pożyczkowe, inne instytucje finansowe, e-commerce, telekomy, platformy streamingowe, podmioty z sektora hazardowego itp., są w stanie poznać ryzyko wiążące się z danym klientem już przy pierwszej interakcji z nim. I to bez pogarszania w jakikolwiek sposób user experience, gdyż działamy całkowicie w tle. Nowy z perspektywy naszego partnera użytkownik jest już nam w 95 proc. przypadków znany. Dzięki temu jesteśmy w stanie błyskawicznie przekazać informację, czy osoba, która właśnie wypełnia formularz, jest godna zaufania i np. można jej udzielić finansowania bez dodatkowych kroków weryfikacyjnych, czy wręcz przeciwnie – coś w jej zachowaniu, czy podawanych danych powinno zapalić czerwoną lampkę.

A czy przy ocenie ryzyka wykorzystujecie także biometrię behawioralną?

Tak, odpowiada za to komponent BehavioSec® w naszym narzędziu antyfraudowym. Pokrywa on zarówno obszar webowy, czyli w momencie, w którym ktoś korzysta z klawiatury i myszki na komputerze, jak i mobilny, czyli wszelkie aspekty związane z korzystaniem ze smartfona, a więc ułożenie urządzenia, siła i szybkość dotyku, sposób pisania itp.

Czy wymagacie od użytkownika jakichś dodatkowych czynności, które pozwolą Wam "nauczyć się" jego zachowań?

Nie, z perspektywy użytkownika końcowego my jesteśmy zawsze niewidoczni. Jego profil behawioralny tworzymy w tle podczas jego kolejnych interakcji z serwisami naszych 6 tys. klientów. Ale nawet przy pierwszym zetknięciu, na podstawie naszych analiz milionów interakcji, jesteśmy w stanie wyłapać zachowania wskazujące na ryzyko fraudu. Mając na uwadze, jak ogromnym problemem w Polsce, jak i całej Europie, są oszustwa związane z socjotechniką, nasze modele analizy behawioralnej już w pierwszej interakcji użytkownika z serwisem naszego klienta oceniają, czy mamy do czynienia ze zmanipulowanym bądź instruowanym przez oszustów klientem. A więc np. czy ktoś ucieka myszką poza formularz, czy wkleja dane, czy je wpisuje, czy korzysta z zaawansowanych skrótów klawiaturowych albo czy jego telefon jest stale podłączony do ładowarki, czy leży na płasko – jest wiele różnych czynników, które mogą świadczyć o tym, że mamy do czynienia z przestępcą albo z wykorzystywanym przez niego botem.

Czy duże jest ryzyko, że uznacie za potencjalny fraud przypadek, w którym z urządzenia korzysta jego prawowity użytkownik, ale np. trzyma akurat kubek i wyjątkowo wypełnia formularz jedną ręką albo po prostu czuje się gorzej, przez co wolniej pisze lub popełnia więcej błędów?

Nie. Po pierwsze dlatego, że tego typu anomalie również są uwzględnione w naszych modelach, bo przecież taki gorszy dzień raz na jakiś czas przydarza się każdemu, zatem pewnie takie zachowanie będzie zagregowane w profilu. Co więcej, pod uwagę bierzemy nie tylko warstwę stricte biometryczną, a więc to przykładowe tempo pisania na klawiaturze, ale też, jeśli nasi klienci na to pozwalają, całą sferę behawioralną, tzn. rodzaj wykonywanych czynności. Czy to jest 10 dzień miesiąca, kiedy zwykle dany użytkownik najpierw przegląda historię, a potem wykonuje serię przelewów o określonej średniej wartości, do znanych sobie beneficjentów? Czy może ktoś wykonuje zupełnie nietypową dla siebie czynność, porusza się po teoretycznie znanej sobie stronie tak, jakby był na niej pierwszy raz, wykonuje transakcje odbiegające od typowych?

Po drugie – i myślę, że nawet ważniejsze – komponent biometrii behawioralnej jest jednym z szeregu aspektów, które bierzemy pod uwagę. Oczywiście on wzmacnia naszą znajomość użytkownika, pomaga nam w ocenie, czy mamy do czynienia z użytkownikiem powracającym, czy raczej z kimś, kto przejął konto. Natomiast komponent biometrii behawioralnej jedynie dopełnia z naszej perspektywy wielowarstwową ocenę ryzyka nadużyć, gdzie analizujemy scoring tożsamości cyfrowej, charakterystykę urządzenia, aktywność zdalnego pulpitu, anomalie w kwocie płatności, czy choćby detekcję aktywnego połączenia w trakcie sesji, celem sprawdzenia, czy użytkownik nie jest instruowany przez telefon.

Jeśli pisze pani trochę inaczej, ale na tym samym urządzeniu co zawsze, w tej samej lokalizacji co zawsze, korzystając z sieci tego samego dostawcy internetu co zawsze, wykonując te same aktywności co zwykle, to raczej nie ma powodów do obaw. Gorzej, jeśli zauważymy anomalie w aspekcie biometrii – ktoś inaczej trzyma urządzenie, inaczej naciska, inaczej przesuwa palcem po ekranie – a do tego korzysta z urządzenia, którego my wcześniej nie widzieliśmy powiązanego z tym Digital ID, czy adresem mailowym, a do tego jeszcze robi to z podejrzanej lokalizacji, do której prawidłowy użytkownik nie miał szans dotrzeć od chwili, gdy go widzieliśmy podczas ostatniej aktywności.

Dużą rolę w tej ocenie odgrywa analiza urządzenia, a przecież wiele osób dość regularnie zmienia smartfony czy laptopy.

Tak, rzeczywiście z naszych analiz wynika, że średnia "żywotność" preferowanego urządzenia to ok. 2,5 roku. Ale znów – jest ono jednym z wielu kryteriów branych przez nas pod uwagę, jego zmiana nie musi niepokoić, jeśli wszystkie pozostałe aspekty nie wskazują na anomalię.

Co ciekawe, w warstwie pozabehawioralnej, jedną z najbardziej trwałych charakterystyk użytkownika jest jego adres mailowy. Ponad 90 proc. użytkowników posiada ten sam e-mail przez więcej niż 3 lata, a ponad 50 proc. – przez więcej niż 10 lat. E-mail staje się jednym z najbardziej trwałych identyfikatorów w świecie cyfrowym. Dlatego wzmacniamy naszą ocenę ryzyka adresu mailowego poprzez komponent Emailage®, który jest jednym z modułów usługi ThreatMetrix®. Czy kiedykolwiek widzieliśmy już ten adres mailowy powiązany z tym urządzeniem? Czy kiedykolwiek ten adres mailowy był wykorzystany do nadużycia? Czy w ogóle znamy ten adres mailowy, czy może został przed chwilą stworzony do fraudu, czy domena danego adresu faktycznie istnieje, itp.

Przeczytajcie także: • Obawy bankowców o skutki wprowadzenia mObywatela 2.0

To, co nas wyróżnia, to umiejętność oceny ryzyka z wykorzystaniem bardzo szerokiego spektrum informacji. Kiedy użytkownik wchodzi w interakcję z naszym klientem (bankiem, dostawcą odroczonych płatności, marketplace’em), jesteśmy w stanie ostrzec naszego partnera o potencjalnych ryzykach lub oznaczyć użytkownika jako zaufanego. Mamy 6 tys. klientów na świecie i każdy z nich może korzystać z naszej bazy danych, zbudowanej w ramach interakcji użytkowników z wszystkimi pozostałymi naszymi partnerami. Nawet jeśli do naszego partnera dany konsument przychodzi pierwszy raz, my już możemy sprawdzić, czy kiedykolwiek widzieliśmy w naszej sieci urządzenie, którym się posługuje, a jeśli tak, to w jakiej korelacji. Czy obserwujemy jakąś anomalię dotyczącą urządzenia, która powinna nas zaniepokoić? Czy któryś z atrybutów, które pojawiają się w wypełnianym przez użytkownika wniosku, typu mail, numer telefonu, numer konta, nazwa użytkownika, numer karty kredytowej, adres do wysyłki, jest już w naszej bazie (oczywiście w formie wielokrotnie zhashowanej, nigdy jako odkryty tekst) i czy przez któregoś z naszych klientów został oznaczony jako fraudowy lub ryzykowny? A może wręcz przeciwnie – nikt nie zgłosił nadużycia, ale też określonych atrybutów nigdy nie widzieliśmy w naszej sieci, co w przypadku użytkowników z Europy w zasadzie nie powinno się zdarzyć, więc zapewne mamy do czynienia z syntetyczną tożsamością stworzoną na potrzeby fraudu? Czy dana tożsamość cyfrowa nie składa w tym momencie dziesięciu wniosków o finansowanie? Czy nie ma podpiętych 20 kart kredytowych używanych w różnych zakątkach świata u naszych poszczególnych partnerów? Czy jeden adres e-mail nie jest używany przez wiele urządzeń w tym samym czasie w różnych lokalizacjach (czyli doszło do przejęcia konta)? A może z jednego urządzenia podejmowane są kolejno próby zalogowania do konta przy wykorzystaniu danych wielu użytkowników (prawdopodobnie pochodzących z jakiegoś wycieku)? Tego żaden z naszych klientów z osobna nie jest w stanie sam wychwycić. Do tego dochodzi komponent behawioralny, a więc nasza znajomość profilu biometrycznego i behawioralnego konkretnego użytkownika oraz nasza ogólna wiedza o wzorcach zachowań świadczących o możliwych nadużyciach.

A jak przy takim zakresie danych dbają Państwo o kwestie bezpieczeństwa i zgodności z regulacjami dotyczącymi ochrony danych osobowych?

W naszej globalnej sieci nie operujemy na żadnych danych osobowych użytkownika. Nie jesteśmy w stanie powiązać nazwy użytkownika, jego parametrów identyfikacyjnych, imienia, nazwiska z osobą. Mamy tylko wielokrotnie hashowane i solone (red. dodawanie do hasła losowych danych) identyfikatory, czyli ciągi alfanumeryczne, będące wynikiem pewnych operacji matematycznych z użyciem najnowocześniejszych metod zabezpieczających. Chciałbym jednak zaznaczyć, że naszą usługę można też wykorzystywać, bazując tylko na parametrach urządzenia, bez użycia danych osobowych, nawet tych zahashowanych. Większość banków rozpoczyna współpracę z nami w takim właśnie modelu.

Szacuje się, że gdyby zsumować wszystkie dochody przestępców wynikające z oszustw w internecie, to cyberprzestępczość byłaby w top 5 największych gospodarek świata. Do walki z międzynarodową siecią cyberprzestępców naprawdę potrzebujemy globalnych sieci antyfraudowych, które działają w zgodzie z lokalnymi regulacjami – i właśnie to budujemy w LexisNexis Risk Solutions.

Dziękuję za rozmowę.