Nieświadoma Nadia, Bojaźliwy Błażej i Rezolutny Ryszard – to trzy archetypy zachowań, które wyłoniono w trakcie badania użytkowników systemów bankowości elektronicznej w Polsce. Przeprowadzili je m.in. dr inż. Wojciech Wodo, mgr inż. Damian Stygar i Klaudia Winiarska z Politechniki Wrocławskiej.

Wszyscy jesteśmy potencjalnymi ofiarami

Dr Wojciech Wodo na Wydziale Podstawowych Problemów Techniki zajmuje się bezpieczeństwem w bankowości elektronicznej, czyli tematem niezwykle istotnym dla każdego z nas. W połowie września 2019 roku Unia Europejska wprowadziła dyrektywę PSD2, która otwiera rynek usług finansowych na podmioty trzecie, czyli instytucje poza bankowe.

– Banki zostały zmuszone do przygotowania odpowiedniego dostępu do naszych kont. Teraz nie tylko bank, ale również inne instytucje czy firmy, oczywiście za naszą zgodą, mogą mieć dostęp do naszego konta – tłumaczy dr Wojciech Wodo. – Sprawdzą kiedy i jakich transakcji dokonujemy, mogą zainicjować płatności w naszym imieniu, być pośrednikiem pomiędzy nami a innymi dostawcami. Otwiera się przed nami ocean możliwości, ale i zwiększa ryzyko, powstają nowe zagrożenia.

Dlatego dziesięcioro badaczy naszej uczelni postanowiło razem poznać sposoby korzystania z internetu, bankowości elektronicznej i mobilnej oraz wiedzę na temat bezpieczeństwa w sieci przez użytkowników.

Na początku 2019 r. przebadano łącznie 62 osoby: 32 mężczyzn i 30 kobiet, w wieku od 18 do 78 lat, o zróżnicowanym statusie zawodowym, materialnym czy społecznym. Badano nie tylko stan wiedzy użytkowników, ale i „towarzyszące odpowiedziom tło emocjonalne, wyrażające się w zachowaniu respondentów czy motywację podejmowania przez nich decyzji” – czytamy w monografii „Bezpieczeństwo systemów bankowości elektronicznej i mobilnej w Polsce. Badania użytkowników 2019”, która lada dzień ukaże się nakładem Oficyny Wydawniczej PWr.

- To były badania eksploracyjne. Sprawdzaliśmy zachowania i motywacje ludzi. Jak korzystają z bankowości elektronicznej? Czy mają wiedzę na ten temat i dbają o bezpieczeństwo w sieci? Co łączy tych ludzi, co ich dzieli? – mówi dr Wojciech Wodo. Ankieta została podzielona na 13 zagadnień, o które naukowcy pytali swoich rozmówców w pogłębionym godzinnym wywiadzie.

Pytania miały charakter otwarty, a ankietujący mógł na bieżąco korygować pytania. Z zebranych odpowiedzi wynikło to, że nie można traktować użytkowników bankowości elektronicznej jako jednolitej grupy. Tym samym nie można zaproponować im jednego rozwiązania w obszarze kanałów informacyjnych, zakresu usług finansowych czy cyberbezpieczeństwa.

Nieświadoma Nadia, Bojaźliwy Błażej czy Rezolutny Ryszard?

Nasi naukowcy, na podstawie przeprowadzonych rozmów, stworzyli trzy archetypy klientów, aby lepiej zobrazować ich podejście do bankowości elektronicznej:
• Bojaźliwy Błażej (10 proc. badanych reprezentuje postawę charakterystyczną dla tego archetypu),
• Rezolutny Ryszard (45 proc. badanych),
• Nieświadoma Nadia (45 proc.).

Według dr. Wojciecha Wodo badanie jasno pokazało, że użytkowników nie sposób sklasyfikować sztampowo. Na przykład w grupie sklasyfikowanej jako Nieświadoma Nadia można znaleźć informatyków, którzy mimo swojego wykształcenia wcale nie korzystają bardziej świadomie z bankowości internetowej od „zwykłych” osób. Także inne aspekty, jak wiek czy status zawodowy nie miały decydującego znaczenia. Bojaźliwego Błażeja, Rezolutnego Ryszarda czy Nieświadomą Nadię można spotkać wszędzie.

– Typ Bojaźliwy Błażej to wcale nie jest starszy człowiek – opowiada dr Wojciech Wodo. - Użytkownicy zakwalifikowani do tej grupy charakteryzują się paranoicznym lękiem przed utratą pieniędzy, atakiem i są na tym punkcie przewrażliwieni. Zapewne wynika to z faktu braku odpowiedniej wiedzy w tej dziedzinie. Bojaźliwy Błażej woli robić zakupy za gotówkę, aby minimalizować ryzyko, ale jednocześnie nie chce być odcięty od świata i chciałby kupować on-line. Dlatego trzeba mu zapewnić rozwiązania, które go uspokoją, dadzą poczucie bezpieczeństwa – wyjaśnia naukowiec.

Z kolei Rezolutny Ryszard to połączenie Pewnego Patryka z Cwanym Cezarym, z których to postaw badacze ostatecznie zrezygnowali. Pewny Patryk jest świadomy swoich kompetencji - ma wiedzę, czyta portale zajmujące się bezpieczeństwem w sieci. Z kolei Cwany Cezary przecenia swoją wiedzę. Buduje wokół siebie otoczkę osoby kompetentnej.

- Ponieważ zarówno Pewny Patryk, jak i Cwany Cezary mają pewną wiedzę, więc dla klarowności badania oraz archetypów połączyliśmy ich i wyszedł nam Rezolutny Ryszard – wyjaśnia dr Wojciech Wodo. - To typ, który przoduje jeśli chodzi o wiedzę i zrozumienie pewnych technologii. Czuje się swobodnie i bezpiecznie w internecie. Jest świadomy swoich działań w sieci i je kontroluje. Potrafi zrezygnować z podejmowania pewnych działań on-line, ale to wynika z jego wiedzy, a nie strachu – mówi dr Wodo.

Najbardziej narażona na ataki w sieci, czyli utratę kontroli nad swoim kontem, jest Nieświadoma Nadia. W tej grupie znalazły się osoby, które chcą korzystać z usług bankowości elektronicznej, robić zakupy przez internet, ale nie interesuje ich bezpieczeństwo. Nie mają żadnej wiedzy (bądź znikomą) na ten temat, i co ważniejsze, nie odczuwają potrzeby jej zdobycia.

- To ludzie, którzy chcą otrzymać wszystko tu i teraz, bez wprowadzania skomplikowanych systemów dotyczących bezpieczeństwa. Chcą zrobić przelew, wejść na konto, zrobić zakupy i nie interesuje ich ani bezpieczeństwo, ani procedury. Liczą na to, że to zajmujący się ich produktami odpowiednio je zabezpieczą.

Badanie utwierdziło naukowców w przekonaniu, że reprezentujemy diametralnie różne światopoglądy na bankowość elektroniczną czy cyberbezpieczeństwo. Dlatego też bankowcy, którym zależy na klientach, muszą mieć różne propozycje i rozwiązania, które będą dopasowane do każdego archetypu.

Druga linia obrony, czyli bank wkracza do akcji

Powstała na Politechnice Wrocławskiej analiza zachowań użytkowników bankowych byłaby bardzo pomocna dla zwiększenia bezpieczeństwa osób korzystających z sieci. Może stać się tzw. drugą linią bezpieczeństwa.

- Bank mógłby prowadzić analizę zachować klienta. Czy użytkownik wykonuje przelewy w ciągu tygodnia, np. po pracy między 17.00 a 20.00? Jakie kwoty przelewa zazwyczaj? Czy i jak często wykonuje przelewy zagraniczne? Zbudowanie takiego profilu zabezpieczałoby klienta nawet po przełamaniu pierwszej linii bezpieczeństwa, czyli po utracie karty i PINu – wyjaśnia dr Wojciech Wodo. - Bo oto nagle rano nasz użytkownik wykonuje przelew do Chin na 5 tys. zł. Czego nigdy do tej pory nie robił. Ten mechanizm powinien zostać natychmiast w banku zauważony. Warto taką transakcję zablokować i wyjaśnić ją z klientem.

Dodaje też, że kolejną linią zabezpieczającą finanse są zachowania na koncie. Każdy z nas, po zalogowaniu się do konta, zachowuje się w określony sposób. Wyszukuje przelewy po nazwie lub wpisuje ręcznie numer konta, używa dynamicznie myszki.

Tymczasem, gdy do konta loguje się ktoś inny, kto korzysta ze skrótów, rozwija historię przelewów, ponawia przelewy to jest to sygnał dla banku, że na koncie pojawiają się zachowania odbiegające od normy. I warto je sprawdzić.

– To proste rozwiązania, które mogą bardzo pomóc w prewencyjny sposób zatrzymać atak. Ktoś wykradł nasz PIN, numer karty czy konta i zalogował się do systemy bankowego. Na koncie zaczynają się dziać rzeczy, które nie wpisują się w dotychczasowe nawyki użytkownika – to alarmuje bank, czyli zaczyna działać nasza druga linia obrony. Złodziej jest w przedpokoju, ale do salonu się nie dostanie – obrazowo wyjaśnia dr Wodo.

Pomocna w ochronie może być również biometria, czyli wykorzystanie najnowszej technologii związanej z naszym ciałem i indywidualnymi, unikalnymi cechami.

- W 2016 r. robiłem badania wzorców zachowań użytkowników urządzeń mobilnych i wtedy biometria to była praktycznie czarna magia. Wszyscy się jej bali. Dziś powszechnie działają już czytniki linii papilarnych czy metody rozpoznawania twarzy. Wszyscy z tego korzystają i są zadowoleni, bo nie muszę pamiętać haseł, nosić ze sobą wielu kart. Płacą za pomocą telefonu i czują się z tym bezpiecznie – mówi Wojciech Wodo.

Nie bądź leszczem, zabezpieczaj się

Bezpieczeństwo dla wielu użytkowników bankowości elektronicznej czy mobilnej nie jest tematem kluczowym. Tymczasem, gdy pojawiają się wspomniane nowe możliwości, łatwość manipulacji wzrasta.

- Oprócz badań nad negatywnymi skutkami wirtualnej bankowości prowadzę kampanie edukacyjne, uświadamiające czy szkoleniowe, popularyzujące wiedzę na ten temat – opowiada dr Wodo. - Takie działania muszą być prowadzone równolegle.

Tylko wtedy jesteśmy w stanie podnieść poziom bezpieczeństwa wśród ludzi. Muszą oni mieć pełną świadomość, jakie zagrożenia na nich czyhają i jakie rozwiązania technologiczne ich ochronią przed potencjalną kradzieżą. Mam też świadomość, że nikt nie będzie korzystać ze skomplikowanych rozwiązań, to musi być proste i intuicyjne.

Sektor finansowy powinien być motorem i dostawcą nowoczesnych mechanizmów bezpieczeństwa cyfrowego zorientowanych na użytkownika. Ale my też możemy się umiejętnie bronić przed niebezpieczeństwem. Najpowszechniejszym obecnie wirtualnym atakiem jest tzw. phishing (czyli łowienie leszczy). Złodzieje tworzą fikcyjne strony banków, wysyłają fałszywe wiadomości, że trzeba dopłacić do jakiegoś zakupu, przesyłki, wysyłają informacje o niezapłaconych fakturach.

- Warto ustawić na swoim koncie niewielkie limity wypłat, np. nie większe niż wysokość pensji. A może nawet mniejsze, bo jak często przelewamy 3 tys. czy 5 tys. zł? – radzi dr Wojciech Wodo. - Jeśli potrzebujemy jednorazowo przelać większą kwotę, to możemy jednorazowo zwiększyć limit i po wykonaniu transakcji wrócić do starego, mniejszego limitu.

O czym warto pamiętać?

• nie róbmy przelewów w miejscach publicznych,
• patrzmy, w co klikamy (podejrzane linki, adresy stron internetowych),
• nie prezentujmy publicznie i nie zapisujmy kodu PIN ani wzorów, którymi odblokowujemy telefon,
• włączajmy maskowanie haseł,
• stosujmy obrazki antyphishingowe.

Ula Małecka