Změny v zabezpečení internetového bankovnictví se v
minulých dnech staly námětem mnoha článků a diskusí. V této
souvislosti se objevily i některé nepřesné informace, a
proto bych rád poskytl bližší popis změn, ke kterým
Komerční banka přistoupila. Tyto informace jsou samozřejmě
veřejně přístupné a banka je nikdy netajila. Nejde tedy o
to, že bych chtěl dodatečně poskytovat informace, které
nebyly k dispozici, ale dovolím si veřejně přístupná data
sumarizovat.
Bezpečnost internetového bankovnictví si můžeme představit
jako články jediného řetězu:
- systémy banky
- prostředí a pravidla komunikace mezi klientem a bankou
- prostředí klienta.
Je zřejmé, že pevnost celého řetězu je přímo úměrná síle a
pevnosti jeho jednotlivých článků. Banka přitom musí
věnovat pozornost všem třem článkům a to je práce, která
nikdy nekončí, tak jako nikdy nekončí snaha hackerů některý
z těchto dílů oslabit a narušit.
Ochrana vnitřních bankovních systémů neselhala, ale
události posledních dnů ukázaly, že zranitelné může být
zajištění prostředí klientů. Dobře víme, že v současném
internetovém prostředí není pro klienty jednoduché
efektivně chránit svůj počítač, data v něm uložená, a to
včetně souborového osobního certifikátu. Také proto naši
zákazníci dostávali tzv. desatero bezpečného používání
internetového bankovnictví, které je přístupné i na našich
webových stránkách.
Abychom snížili rizika související s používáním
internetového bankovnictví, zavedli jsme ke stávajícím
opatřením další nové prvky. Použití služby Mojebanka nyní
stojí z pohledu bezpečnosti na těchto principech:
- elektronický podpis aktivních operací - osobní
certifikát klienta uložený v souboru nebo na čipové
kartě
- autorizační SMS kód pro doplňkové ověření totožnosti
majitele osobního certifikátu v souboru
- informace o posledním přihlášení klienta do aplikace
Mojebanka
- možnost poskytování informací o provedených finančních
transakcí (prostřednictvím e-mailu, SMS nebo faxu)
- možnost nastavení denních limitů pro finanční
operace
- zefektivnění interního monitoringu
přihlášení a transakcí
- efektivní systém řešení
mimořádných událostí
- bezplatná klientská linka
internetového bankovnictví dostupná 24 hodin denně
- zlepšení informovanosti klientů o ochraně citlivých dat
(viz>www.kb.cz)
Nejvýznamnější změnou, která zároveň vyvolala živé diskuse,
je zavedení autorizačního SMS kódu pro doplňkové ověření
totožnosti majitele osobního certifikátu v souboru.
Objevily se i spekulace o tom, že KB tímto krokem
zpochybňuje bezpečnost elektronického podpisu.
Elektronický podpis je prvkem, který KB ve svých systémech
nadále využívá. Slouží ve smyslu zákona k jednoznačnému
ověření totožnosti podepsané osoby - majitele osobního
certifikátu. Právní povaha elektronického podpisu je zcela
nezpochybnitelná. Je však založená na tom, že majitel
osobního certifikátu dodržuje zákonné povinnosti a nakládá
s ním tak, aby nemohl být zneužit neoprávněnou osobou.
Ověřili jsme si, že v internetovém prostředí není pro
klienty vždy jednoduché se na dodržení této povinnosti
neustále soustředit, a proto jsme jim nabídli další,
dodatečný bezpečností prvek. Nově zavedený autorizační SMS
kód umožňuje bance doplňkově ověřit totožnost majitele
osobního certifikátu, zjistit zda tento není právě
zneužíván a zároveň informovat klienta o pokusu uskutečnit
transakci s jeho elektronickým podpisem.
Jak už jsem uvedl, boj s počítačovou kriminalitou nikdy
nekončí a proto ani pro banku nekončí práce na dalším
zlepšování internetového bankovnictví, ať už jde o jeho
zabezpečení či o kvalitu jednotlivých služeb, které
klientům prostřednictvím přímých kanálů poskytujeme.
Mojmír Prokop, vedoucí pro Přímé bankovnictví KB