Reakce KB na článek O vykradených účtech Komerční banky a (ne)bezpečnosti elektronického podpisu"

Změny v zabezpečení internetového bankovnictví se v minulých dnech staly námětem mnoha článků a diskusí. V této souvislosti se objevily i některé nepřesné informace, a proto bych rád poskytl bližší popis změn, ke kterým Komerční banka přistoupila. Tyto informace jsou samozřejmě veřejně přístupné a banka je nikdy netajila. Nejde tedy o to, že bych chtěl dodatečně poskytovat informace, které nebyly k dispozici, ale dovolím si veřejně přístupná data sumarizovat.

Bezpečnost internetového bankovnictví si můžeme představit jako články jediného řetězu:

• systémy banky
• prostředí a pravidla komunikace mezi klientem a bankou
• prostředí klienta.

Je zřejmé, že pevnost celého řetězu je přímo úměrná síle a pevnosti jeho jednotlivých článků. Banka přitom musí věnovat pozornost všem třem článkům a to je práce, která nikdy nekončí, tak jako nikdy nekončí snaha hackerů některý z těchto dílů oslabit a narušit.

Ochrana vnitřních bankovních systémů neselhala, ale události posledních dnů ukázaly, že zranitelné může být zajištění prostředí klientů. Dobře víme, že v současném internetovém prostředí není pro klienty jednoduché efektivně chránit svůj počítač, data v něm uložená, a to včetně souborového osobního certifikátu. Také proto naši zákazníci dostávali tzv. desatero bezpečného používání internetového bankovnictví, které je přístupné i na našich webových stránkách.

Abychom snížili rizika související s používáním internetového bankovnictví, zavedli jsme ke stávajícím opatřením další nové prvky. Použití služby Mojebanka nyní stojí z pohledu bezpečnosti na těchto principech:

• elektronický podpis aktivních operací - osobní certifikát klienta uložený v souboru nebo na čipové kartě
• autorizační SMS kód pro doplňkové ověření totožnosti majitele osobního certifikátu v souboru
• informace o posledním přihlášení klienta do aplikace Mojebanka
• možnost poskytování informací o provedených finančních transakcí (prostřednictvím e-mailu, SMS nebo faxu)
• možnost nastavení denních limitů pro finanční operace
• zefektivnění interního monitoringu přihlášení a transakcí
• efektivní systém řešení mimořádných událostí
• bezplatná klientská linka internetového bankovnictví dostupná 24 hodin denně
• zlepšení informovanosti klientů o ochraně citlivých dat (viz>www.kb.cz)

Nejvýznamnější změnou, která zároveň vyvolala živé diskuse, je zavedení autorizačního SMS kódu pro doplňkové ověření totožnosti majitele osobního certifikátu v souboru. Objevily se i spekulace o tom, že KB tímto krokem zpochybňuje bezpečnost elektronického podpisu.

Elektronický podpis je prvkem, který KB ve svých systémech nadále využívá. Slouží ve smyslu zákona k jednoznačnému ověření totožnosti podepsané osoby - majitele osobního certifikátu. Právní povaha elektronického podpisu je zcela nezpochybnitelná. Je však založená na tom, že majitel osobního certifikátu dodržuje zákonné povinnosti a nakládá s ním tak, aby nemohl být zneužit neoprávněnou osobou.

Ověřili jsme si, že v internetovém prostředí není pro klienty vždy jednoduché se na dodržení této povinnosti neustále soustředit, a proto jsme jim nabídli další, dodatečný bezpečností prvek. Nově zavedený autorizační SMS kód umožňuje bance doplňkově ověřit totožnost majitele osobního certifikátu, zjistit zda tento není právě zneužíván a zároveň informovat klienta o pokusu uskutečnit transakci s jeho elektronickým podpisem.

Jak už jsem uvedl, boj s počítačovou kriminalitou nikdy nekončí a proto ani pro banku nekončí práce na dalším zlepšování internetového bankovnictví, ať už jde o jeho zabezpečení či o kvalitu jednotlivých služeb, které klientům prostřednictvím přímých kanálů poskytujeme.

Mojmír Prokop, vedoucí pro Přímé bankovnictví KB