In zes stappen naar een gebruiksvriendelijke security-aanpak
Als het gaat om fraude proberen financiële instellingen altijd rivaliserende prioriteiten op een lijn te brengen. Fraude en aanvallen van hackers worden elk jaar geavanceerder, sterke authenticatiemethoden zijn belangrijker dan ooit. Daarnaast is er een stortvloed aan nieuwe wettelijke voorschriften en regels ontstaan om meer veiligheid te garanderen in de authenticatie van klanten. In de meeste gevallen gaat een verhoging van de veiligheid echter ten koste van het comfort van de klant. Bankklanten hebben weinig begrip voor een veiligheidsbelemmering wanneer ze betalingen willen doen. Idealiter zou de verwerking van transacties daarom zo eenvoudig en weinig spectaculair moeten zijn dat de klant niet eens nadenkt over het onderwerp veiligheid.
Dankzij de innovatieve aanpak beheerst Intelligent Adaptive Authentication (IAA) het evenwicht tussen meer veiligheid en een verbeterde gebruikerservaring. Het voorbeeld van een gewone transactie, die miljoenen keren per dag wordt verwerkt, leidt door de zes stappen van het authenticatieproces en laat een blik achter de schermen toe.
Fase 1: Achter de schermen
De authenticatieoplossing verzamelt en analyseert gegevens van de apparaten die voor elke transactie worden gebruikt. Dit wil zeggen: een bankoverschrijving, een geldopname, een creditcardbetaling. Bij het gebruik van bijvoorbeeld een mobiele telefoon zou de IAA een security breach detecteren als een verandering in het besturingssysteem.
Om vervolgens een evaluatie van de integriteit van de gebruikte transactiesoftware uit te voeren.
Met een laptop of geldautomaat kan IAA hun exacte geografische locatie bepalen en informatie zoeken over de gebruikte apparaten en andere contextuele gegevens. Tegelijkertijd verzamelt de authenticatieoplossing ook gegevens over gebruikersgedrag als template voor toekomstige transacties. Biometrische gedragsgegevens vormen de basis om de gewoonten en voorkeuren van het individu te kennen en zo duidelijk transacties te kunnen identificeren die afwijken van de gebruikelijke gedragspatronen.
Fase 2: Risicoanalyse aan serverzijde
Intelligente adaptieve authenticatie houdt vervolgens rekening met een verzameling van verdere gegevens van de klant en de tot nu toe uitgevoerde transacties om een vollediger beeld van de situatie te geven. Als open en cloud-based platform kan IAA ook beveiligingsoplossingen van andere leveranciers die een financiële instelling al in haar IT-omgeving opereert, orkestreren en hun gegevens over risicobeoordeling in de berekening opnemen.
Financiële instellingen gebruiken een breed scala aan beveiligingsoplossingen om fraude te bestrijden. IAA maximaliseert hierbij het potentieel van deze reeds bestaande investeringen om fraude te bestrijden door alle instrumenten naadloos te integreren en te gebruiken op een enkel platform. Dit resulteert in een compleet gebruikersprofiel met gegevens uit een grote verscheidenheid aan bronnen en de huidige transacties kunnen in realtime worden vergeleken met de gebruikelijke gedragspatronen.
Fase 3: Machine learning in combinatie met kunstmatige intelligentie
Wanneer alle transactiegegevens beschikbaar zijn, gebruikt de IAA een combinatie van algoritmes voor machine learning om nieuwe fraudepatronen, abnormale activiteiten of verdachte acties voor een individuele gebruiker of groep gebruikers te identificeren. De algoritmes helpen om het grote geheel te zien. Dit omvat de analyse van grote hoeveelheden gegevens, waaronder informatie over de klant, de gebruikte eindapparatuur en het gebruikte kanaal. Door met zo’n grote datapool te werken, kon het menselijk oog geen zinvolle patronen identificeren, maar IAA creëert realtime datamodellen om verdachte activiteiten op te sporen.
Vervolgens wordt kunstmatige intelligentie gebruikt om te bepalen uit welke datasets patronen worden ontwikkeld die relevant zijn voor de betreffende transactie. De combinatie van machine learning en kunstmatige intelligentie kent vervolgens een zogeheten ‘transactie-risicoscore’ toe, die in de volgende stap wordt gebruikt.
Fase 4: Logische workflows voor risicobeoordeling
Zodra de risicoscore van de transactie is bepaald, maakt IAA gebruik van vooraf gedefinieerde modellen met antifrauderegels. Deze modellen passen logica toe op het risico van een transactie en bepalen hoe deze moet worden behandeld. De resultaten van dergelijke logische workflows verschillen van organisatie tot organisatie. Over het algemeen zal de financiële instelling echter eisen dat de klant bepaalde authenticatiestappen uitvoert in overeenstemming met het vastgestelde risiconiveau. In dit stadium worden authenticatiestappen aan de transactie toegewezen, maar nog niet geïmplementeerd.
Fase 5: Dynamische authenticatie in realtime
In de vijfde stap implementeert IAA de zogeheten ‘Step-Up Authentication’. Met risico-evaluatie als leidraad worden de authenticatiestappen dynamisch en in realtime op de transactie toegepast en kan het nodig zijn dat de klant verdere actie moet ondernemen. Een specifieke risicoscore kan bijvoorbeeld een eenmalig wachtwoord (OTP) vereisen. Een hogere risicowaarde kan een OTP- en vingerafdrukscan vereisen. Door dit proces verhoogt de IAA alleen de veiligheid als daar een echte reden voor is. In de regel wordt daarbij het veiligheidsniveau toegepast dat nodig is om pogingen tot fraude tegen te gaan.
Fase 6: Orchestreren van de authenticatie aan klantzijde
Indien aanvullende veiligheidsmaatregelen nodig zijn, worden verdere vormen van authenticatie gevraagd. Na een geslaagde authenticatie eindigt de transactie normaal gesproken.
Volledig transparant
De klant heeft zelf geen inzicht in wat er op de achtergrond gebeurt tijdens de gehele procedure. De eerste vijf fasen van het proces verlopen in realtime en zijn volledig onzichtbaar. De klant van de bank is alleen betrokken bij fase 6 als de IAA de risicoscore heeft berekend en een bepaald authenticatieniveau aan de transactie heeft toegekend.
In tegenstelling tot de meerderheid van de beschikbare antifraude-instrumenten lost Intelligent Adaptive Authentication het bekende probleem van concurrerende prioriteitsgebieden op. De combinatie van verschillende technologieën biedt bankklanten een frustratie-vrije gebruikerservaring en meer transactiebeveiliging, ongeacht het gebruikte eindapparaat of -kanaal. Potentieel risicovolle transacties worden op betrouwbare wijze geïdentificeerd en hun legitimiteit wordt gecontroleerd door aanvullende veiligheidsmaatregelen. Bovendien voldoet de IAA aan de wettelijke vereisten met betrekking tot naleving zoals PSD2.
Een frustratie-vrije bancaire ervaring die loyaliteit en vertrouwen creëert bij de klant is een belangrijke voorwaarde voor meer groei. Met Intelligent Adaptive Authentication hebben financiële instellingen hierbij een bewezen instrument in handen in de strijd tegen cybercriminaliteit.
Giovanni Verhaeghe is Vice President Corp Development & hardware operations bij OneSpan