érdekében
Korunk jogos informatikai elvárása az elektronikus ügyintézés rendszerének olyan szintre emelése, hogy a műveletileg felgyorsult tranzakciós folyamatok kiszolgálására alkalmassá váljanak.
Ennek a fejlődésnek szerves része a fizetési folyamatok minél nagyobb részének elektronikus útra terelése. Ez egyben a gazdasági-pénzügyi folyamatok felgyorsulását és megbízhatóságát is növelné. A tranzakciók végrehajtásában komoly feladatot jelent a kezdeményező és a fogadó személyek megbízható és hiteles azonosítása.
A pénzintézetek jelentős energiákat fektetnek e feladat megoldására. Speciális kódrendszerek, jelszavak alkalmazásával több kontrolleszköz egyidejű alkalmazásával kiváló azonosítási módszereket vezettek be, de mivel ezek közvetett eszközök, ezért megismerésük, kijátszásuk esélye nem zárható ki 100%-osan. E probléma megoldására a biometria tudományágának jelenlegi fejlettségi szintje nyújthat lehetőséget. Az ember mint speciális hamisíthatatlan „azonosító kód hordozója” új lehetőségeket kínál a tranzaktáló ügyfél személyazonosításának hiteles bizonyítására. Az azonosításhoz használható eszközök pontossága, megbízhatósága és környezeti alkalmazhatósága szabja meg továbbiakban e lehetőség felső korlátait.
A pénzintézeti ügyfelek közeli és távoli azonosítási feladata, annak megbízhatósági problémái jelentős feladatot okoznak a banki tranzakciók végzése során, mivel a banki csalások jelentős részében a bűnözők az ügyfelek számláihoz való legálisnak látszó, de valójában illegális hozzáféréssel valósítják meg a pénzeltulajdonítási műveleteiket. Ezt a közeli személyes kontaktus kialakításával, és a távoli, hamis bejelentkezéssel megvalósuló csalások módszerével érhetik el.
A közeli, személyes megtévesztés érdekében a valós ügyfél „szerepét” eljátszva a „social engineering” módszerével és hamis okmányok alkalmazásával tudnak a leghatékonyabban fellépni a bankkal és annak elektronikus azonosító rendszerével szemben.
A már megismert és alkalmazott közeli azonosítási csalási formák ismeretében az alábbi módszereket érdemes különösen figyelembe venni, megismerni.
104 Fialka György
A megszemélyesítés közvetlen módszere
Ez esetben a kiszemelt személy hivatalos azonosító okmányainak illegális megszerzésével, lemásolásával, hamis okmányok előállításával kezdődik a csalás folyamata. A következőkben szükséges a célszemély életmódjának, pénzkezelési szokásainak, közvetlen személyazonosítási módszereinek (például aláírási típusának) megismerése, elsajátítása. Ezután rendszeres ügyfeleinek felderítésével utalási rendjük kialakult módszerei ismeretében kezdődhet a „social engineering”
játszma. A tettes a kiválasztott bankhálózatnak nem a honos (az ügyfél által rendszeresen használt) fiókjában jelenik meg, eljátssza az ügyfél szerepét, és az azonosítás hamisított eszközeivel valós tranzakciót kezdeményez.
Persze ehhez az ügyfél közvetlen környezetéből vagy a honos bankfiókból együttműködő partneri kapcsolat létesítésére van szükség a fenti személyhez kötődő bizalmas információk begyűjtése érdekében. Ezek megléte segítségével lehetséges a megfelelő ügyfél kiválasztása, alkalmassági előszűrése, banki belső együttműködő partner segítségével a számlaforgalom megismerése, az ügyfélszokások elsajátítása, valamint a fényképcserés hamis igazolványok elkészítése. Az így lebonyolított csalások nagyfokú szerepjátszó képesség és előkészítő adatgyűjtés segítségével valósulhatnak meg, de kellően egészséges, biztonságtudatos körültekintéssel e műveletek még az előkészületi szakaszukban észlelhetőek.
Bankkártya vagy annak azonosító adatainak ellopása
Ha a kiválasztott személy bankkártyáját ellopják, és még a kódhoz is valamilyen formában hozzáférnek (például mellette tárolja az ügyfél a felírt kódot), a letiltás pillanatáig, a beállított limithatárig az elkövető leveheti ATM automatából a rajta található készpénzt.
Ha a kártyaadatokat lopják el (például az ATM-re elhelyezett speciális eszközökkel, vagy a POS terminál segítségével), akkor is a beállított értékhatárig és a letiltás pillanatáig fosztogatható a számla.
Mindkét esetben a tranzakciót jelző banki sms segíthet a bűncselekmény észlelésében és megszakításában.
IT-rendszeren a bank vagy az ügyfél támadásával a cél a kiválasztott eszközökön a személy számlájának fosztogatása az alábbi módszerekkel:
− Social engineering (informatikai megoldásokkal vagy MIM támadással, közbeékelődéssel);
− kódok, azonosítók megszerzésével;
− az ügyfél félrevezetésével;
− a pénzintézeti szerep vagy
A biometria alkalmazása a pénzintézeti ügyfelek azonosításának megbízhatósága érdekében
105
− a keresett vásárlási lehetőség megszemélyesítésével.
Az alapvető ok, amiért ezek létrejöhetnek, az, hogy az ügyfél közeli vagy távoli azonosítására kidolgozott azonosító módszerek kis segítséggel és magas szintű technikai tudással kijátszhatóak.
Olyan azonosító eszközre van szükség, amely kizárólag csak az ügyfélre jellemző paramétereket tartalmaz. Ez nyilvánvalóan csak az ügyfél személyében fellelhető, egyedileg csak rá jellemző paraméterek alkalmazásával megvalósítható.
E probléma megoldásához vezethet a BIOMETRIA tudománya és az általa létrehozható speciális ellenőrzési, mérési környezet.
A humán egyedi jellemzők mérésére és összehasonlítására kialakult mérési módszerek összességét nevezzük így. Ezek egyedi jellemzőik alapján minden kétséget kizáróan alkalmasak egy adott személy azonosságának megállapítására.
Ezért meg kellett határozni az egyedi azonosításra alkalmas jellemzőket és az azok mérésével szembeni elvárásaink rendszerét. De a biometria nem csodaszer, hanem szigorú materiális alapokon nyugvó megfogható és bizonyítható tudomány.
A biometria alkalmazása a személyazonosítás problematikájában
Hosszú idők óta folyik a kísérlet a személyek egyedi megkülönböztetésének, azonosításának nagy biztonságú meghatározására. Az első megoldások olyan kísérő okmányok kiadásával kezdődtek, melyek aláíró személye és pecsétje igazolta az irat hordozójának nevét, beosztását és feladatait. Később az azonosítás lehetőségét, eszközeit és módszerét a fototechnika megjelenése segítségével a személyről készült fényképpel kiegészítve, valamint az irat speciális anyagának kialakításával próbálták nagyobb biztonsági szintre emelni.
A személyek egyedi megkülönböztetésére, azonosítására tett több bátor és néhány bátortalan kísérlet elvégzése után rádöbbentek, hogy nincs teljesen megbízható módszer a birtokukban, mert az általuk bevezetett módszerek kellő szakmai ismeretanyag birtokában kijátszhatóak, hamisíthatóak.
A fényképes igazolványok, speciális kódok, aláírásminták birtokában is fennáll a hamis személyazonosság igazolásának lehetősége. A figyelem ezért az azonosítandó személy irányába fordult, hiszen ő minden olyan „KÓD” hordozója, amely minden kétséget kizárva önmagában alkalmas a tökéletes azonosítási eljárás lefolytatására. A biometria tudományágának megjelenése, fejlődése alkalmat adhat ezen személyes, egyedi jellemzőként alkalmazható „KÓDOK” felismerésére és ellenőrzésére, vagyis a személy nagy biztonságú azonosítására.
Mit tekinthetünk jelenleg elsődlegesen egy személy egyedi specifikus jellemzőinek?
− a személy egyedi belső genetikai jellemzői;
− a személy külső, látható egyedi jellemzői;
106 Fialka György
− a személy szervezetének működéséből fakadó egyedi jellemzői;
− a személy szokásrendszeréből adódó jellemzői;
− a személy mozgását kísérő egyedi jellemzői (járás, testtartás stb.).
A jellemzők természetesen nem minden esetben használhatók fel megbízható azonosításra, csak bizonyos feltételek megléte esetén. A biometriai azonosítási módszerek alapfeltételei:
− egyedi (csak arra a személyre jellemző paraméterek),
− állandó értéket mutat (például a korral nem változik),
− mérhető mennyiség (digitális adattá konvertálható),
− gyors (néhány másodperc alatt eredményt szolgáltat),
− elfogadott (higiénikus felvételi-ellenőrzési eljárás),
− megbízható (kevéssé sérülékeny, csekély számú támadási ponttal rendelkezik).
A biometria által nyújtott legfontosabb lehetőség, hogy egyedi személyazonosításra 100%-osan alkalmas adatok feldolgozását és összehasonlítását teszi lehetővé. Ezen belül is specifikálnunk kell az alkalmazásával kapcsolatos általános feltételeket:
− az alkalmazott módszer környezettűrése (hőmérséklet, páratartalom, hang- és fényviszonyok);
− az ellenőrzés időtartama (a mérés, válaszadás sebessége elfogadható);
− az azonosítás megbízhatósága (a mérési eredmény helyessége);
− az ellenőrzési módszer törvényessége (a személyiségi jogok érvényesülése);
− az alkalmazott eszközök ára (értékarányosság);
− egészségügyi megfelelőség (fertőzés- és ártalommentesség).
A leírtaknak megfelelő biometriai rendszerek alkalmazásának folyamata és a mérési folyamat mechanizmusa a következő:
− Az érzékelő szenzor vagy detektor rögzíti a szükséges biometriai mintát az adott személytől.
− A teljes mintából a program kiemeli a jellegzetes (azonosításhoz szükséges és elégséges mennyiségű) jegyeket.
− Az algoritmus ezt az adatbázisban található mintaelemekkel összeveti és kiértékeli.
− Ez alapján azonosítási választ generál (egyezik – nem egyezik, „Go – No go” típusú azonosítás).
A biometria alkalmazása a pénzintézeti ügyfelek azonosításának megbízhatósága érdekében
107
− Ezeket a rendszereket már több, megbízható azonosítást igénylő területen alkalmazzák, néhány gyakorlati példán bemutatva ezek áttekinthetőek.
Tenyér- és ujjérhálózati scannerek
Az írisz azonosítás megoldása
108 Fialka György Ujjnyomat scannerek
Gyakorlati alkalmazás ATM-nél
A biometria alkalmazása a pénzintézeti ügyfelek azonosításának megbízhatósága érdekében
109
A pénzintézetek eszközein általánosan alkalmazható biometrikus azonosítók kiválasztásának szempontjai a következők:
− Általánosság, univerzalitás:
A kiválasztott felhasználói csoport minden egyes tagja rendelkezik-e a mért jellemzővel?
− Egyediség garantálása:
Előfordulhat-e az az eset (a gyakoriság paraméterével jellemezve), hogy több felhasználó is ugyanazzal a jellemzővel rendelkezik?
− Maradandóság:
Változik-e idővel az adott paraméter?
− Eltulajdoníthatóság:
Mennyire másolható, eltulajdonítható vagy reprodukálható az adott biológiai, biometriai jellemző (külső vagy belső paramétereket mérünk-e)?
− Teljesítmény:
A biometrikus adat beolvasása után milyen gyorsan képes a módszer a válaszadásra?
− Elfogadottság:
A felhasználó részéről mennyire elfogadható a módszer (szükséges-e közvetlen kontakt az eszközzel az adatfelvételhez)?
− Megtéveszthetőség:
Mennyire megtéveszthető az adott biometrikus módszer (idegen, hamis minták bevitele egy adott rendszerbe)?
A biometriai azonosítás megbízhatósága:
− Aláírás hamisítása
A legrégebben alkalmazott biometriai paraméter, vizuális megtévesztésre alkalmas hamisítványok készültek és készülnek mostanában is, bár speciális technikai eszközökkel ezek felismerhetőek (például a kalligrafikai elemzés, a denzitásmérés).
− Arcképmás kijátszhatósága
Speciális eljárásokkal, fényképcserével kijátszható (a hordozó egységes felszínfelületével, illetve speciális anyagaival a kockázat csökkenthető).
110 Fialka György
− Ujjnyomat kijátszása
A 3D technológia lehetővé teszi az aránylag könnyű reprodukálhatóságot, ezért érdemes egyéb paraméterek hozzáadásával összevonni (hőmérséklet, véráram, érhálózat).
− Egyéb „belső” azonosítók kihasználása
Aránylag nagy megbízhatóságú a véna scannerek tenyér- és ujjadatainak felhasználása, alkalmazása.
A biometria adatvédelmi kérdései további problémákat generálnak, hiszen a személyes adatok közvetlen tárolása visszaélésre, megszemélyesítésre teremtene lehetőséget.
Ezért a személyes adatokra vonatkozóan szigorú kódolási, tárolási előírások léteznek (GDPR), melyek az alábbi kérdéseket szabályozzák:
− a rögzített adatok felhasználása;
− a rögzítés tárolási kérdései;
− az eredeti adat/személy reprodukálhatósága (HASH algoritmusú kódolás, amely a reprodukálhatóságot nem teszi lehetővé).
A távoli azonosítás esetében az adatbeviteli/azonosítási feltételek adatforgalmi biztonsági megoldásainak szerepe garantálhatja az eljárás sikerét.
A biztonság további fokozása érdekében a megismert biometriai eljárások védelmi lehetőségeinek kombinációival lehet még fokozni a lehetőségeket.
Tehát a leírtak alapján belátható, hogy a biometriai fejlesztések eredményeire támaszkodó, megismert megoldások alkalmasak a nagybiztonságú személyazonosítás új eljárásainak bevezetésére, de a titok továbbra is a részletekben rejlik. A bemeneti pontokon kialakított adatátviteli helyek biztonsága, megbízhatósága, hozzáférhetetlensége határozza meg az eljárás sikerét. Ezek sérülékenysége újabb csalási lehetőséget szülhet.
A biometriai lehetőségek tárháza a mérőeszközök érzékenységének és az érzékelés új területeinek bevezetésével folyamatosan bővül. Ezek majd további azonosítási eljárások fejlesztését generálják a személyazonosítás új módszereinek kifejlesztéséhez.
FINSZTER GÉZA