Internetové bankovnictví se za posledních pár let změnilo z konkurenční výhody několika vizionářských bank v nutnost, kterou musí mít v nabídce každá banka. Vedle pohledné a přehledné grafiky webových stránek a jednoduché obsluhy je u internetového bankovnictví velmi důležitá i bezpečnost a důvěryhodnost. Ostatně to platí i obecně v celém finančním sektoru. Jenže co to je bezpečné internetové bankovnictví? Je bankovnictví bezpečné, když používá pro přihlášení jméno a heslo, které je dlouhé deset znaků? Je opravdu bezpečnější, když se používá digitální certifikát v podobě počítačového souboru, nebo je bezpodmínečně nutné používat čipovou kartu, otisky prstů apod.?
Pro porovnání je důležitý úhel pohledu. Jinak se na zabezpečení dívá technik – informatik, jinak bankéř a úplně jinak běžný klient banky. Technici mají snahu vše vyřešit v rovině technologií (hardwaru a softwaru), jenže jak již mnoho let dnes a denně dokazují různé počítačové viry, trojské koně a další "havěť" (škodlivé počítačové programy), co se šíří po internetu, spoléhat se výhradně na dokonalost technologií je krátkozraké a často se takový úzce zaměřený přístup k problému vymstí.
Ekonomům je zase vlastní, že hledají ekonomicky nejvýhodnější řešení. Jenže jim chybí zkušenosti, na základě kterých by sami mohli zhodnotit, zda nejlevnější či naopak nejdražší nabídka je z pohledu poskytovaných služeb, včetně bezpečnosti, tou nejvhodnější, a jsou v této oblasti odkázáni na doporučení informatiků.
Klienti chtějí řešení, které jim zajistí, že peníze na jejich bankovních účtech budou v bezpečí, i když je účet obsluhován přes telefon nebo internet. Současně hledají i záruku, že pokud se stane s jejich účtem nějaká nepříjemnost, tak se vzniklým problémem bude banka zabývat a nabude se na ně (platící klienty) dívat jako na podvodníky.
Jak na podvody?
Někdo by mohl namítnout, že není jednoduché odlišit korektní operaci provedenou klientem například z internetové kavárny od operace, kterou provádí přes Internet podvodník, jenž odcizil klientovi jeho identitu. Zkušenosti s vyšetřováním takových událostí ale existují. Stačí se podívat do oblasti platebních karet, kde se objevují různé formy podvodů a pokusů o neoprávněný výběr peněz bez vědomí vlastníka karty. Na rozdíl od internetového bankovnictví mají vydavatelé platebních karet ve své celosvětové síti vypracovány postupy pro vyšetřování podvodů a současně pro zdokonalování systému. Pokud se v prostředí platebních karet objeví v jedné zemi nová forma podvodného použití platební karty, je po vyřešení popis tohoto podvodu předán všem vydavatelům platebních karet příslušné asociace po celém světě.
V prostředí internetových bankovnictví nic podobného neexistuje. Každá banka si své systémy provozuje sama, a je otázkou, jaký přístup k provozování konkrétního internetového bankovnictví zvítězil. To, že si banka provozuje internetové bankovnictví sama, ještě nemusí nutně znamenat ohrožení klientových úspor. Velmi důležitý je způsob zabezpečení přístupu k jednotlivým účtům, vlastní zabezpečení aplikace internetového bankovnictví na straně banky a především to, zda existují a jak jsou účinné nástroje na monitorování provozu a vyšetřování případných reklamací. Není totiž možné spoléhat na bezchybné zabezpečení počítačů všech klientů.
Zabezpečení počítačů běžných uživatelů
Několikrát jsem byl svědkem situace, že nový počítačový vir ochromil počítačovou síť administrovanou do té doby velmi sebevědomým informatikem. Ten se ještě několik okamžiků před útokem viru chlubil tím, jak je jeho síť zabezpečena. V tomto případě se jednalo o odborníka nebo alespoň velmi dobrého uživatele, který se vydával za odborníka. Jenže běžný uživatel, který začal počítač používat především z nutnosti, má znalosti o virech ještě mnohokrát menší. Jistě, uživatel by měl mít nainstalován antivirový program, měl by si jej pravidelně aktualizovat a kontrolovat s jeho pomocí obsah disků. Jenže šedá je teorie a zelený strom života. Již několikrát za poslední rok se stalo, že se objevil počítačový vir, který se snažil nejdříve zablokovat činnost antivirového programu na napadeném počítači a teprve poté začal páchat další nepravosti. Stačilo málo, několik dnů neaktualizovaný antivirový program, který jednoduše ještě neznal nový virus. Rozhodně se ale nejedná o něco výjimečného, vždyť i v medicíně se často hovoří o nových virech či jejich mutacích, proti kterým nejsou protilátky nebo se teprve připravují.
|
Jak například došlo k vykradení účtu? |
|
Uživatel internetového bankovnictví odjel na několik dnů na dovolenou a po návratu zjistil, že platební příkaz, který zadal před odjezdem, nebyl proveden, protože na bankovním účtu nebyla hotovost. Uživatel následně zjistil, že peníze byly během jeho nepřítomnosti převedeny prostřednictvím internetového bankovnictví na účet v jiné bance. Protože sám takový převod neprováděl a nikdo z jeho blízkých neměl přístup k jeho internetovému bankovnictví, podal okamžitě reklamaci na pobočce banky. Protože od počátku byl přístup banky k reklamaci odmítavý, podal uživatel také trestní oznámení na neznámého pachatele. Když jsem byl přizván Policií ČR ke zkoumání počítače poškozeného uživatele, tak jsem zjistil, že na tomto počítači byl nainstalován antivirový program, ale současně s ním byl v počítači i trojský kůň, který umožňoval, aby se útočník na tento počítač vzdáleně připojoval a sledoval práci na něm. Tak také došlo k odcizení přihlašovacího hesla a digitálního certifikátu. Po krátkém, ale intenzivním pátrání byl pachatel vypátrán, při zkoumání jeho počítačů byly mimo jiné nalezeny digitální certifikáty k účtům v dalších českých bankách. Pod tíhou důkazů se pachatel přiznal a nahradil vzniklou škodu. |
V prostředí informačních systémů, počítačů a internetu je často vidět snaha vyřešit všechny úkoly prostřednictvím technologií. Ne vždy je to možné a ne vždy je to nejlepší řešení. Konkrétně při provozování elektronických obchodů a internetového bankovnictví je nutné počítat s tím, že klientův počítač není pod kontrolou provozovatele aplikace a někdy jej nemá pod svojí kontrolou ani uživatel. To může být způsobeno tím, že klient používá počítač v zaměstnání, v internetové kavárně nebo se na jeho počítači usadil například trojský kůň. Klienti musejí mít pod svojí kontrolou počítač, který používají pro komunikaci. To je podmínka, jejímž uvedením ve smlouvách o používání služeb internetového bankovnictví se banky snaží přenést zodpovědnost na své platící klienty. I běžným uživatelům je určitě jasné, že se jedná o nerovné podmínky. Na jedné straně totiž stojí uživatel s pouze základními informacemi o počítači a na druhé straně banka se svojí finanční silou a týmy specialistů na IS a jejich zabezpečení.
Jde to u karet, proč ne u on-line bankingu?
To, zda banky s takovýmto přenášením zodpovědnosti na své platící klienty jednají v souladu se zákony ČR a dobrými mravy, by měly posoudit pracovníci ČNB (profil, názory), ČOI a právníci klientů. Podstatné je, že řešení problému málo zabezpečených počítačů klientů existuje. Stačí se opět podívat do oblasti platebních karet. V jejich případě se již mnoho let v odborných kruzích hovořilo o možnosti kopírovat platební karty, v poslední době jsou tyto informace publikovány i v denní tisku, a přesto jsou pro běžného klienta klasické platební karty stále relativně bezpečné.
To je zajištěno především rychlým a účinným auditem, který funguje v síti platebních karet. Pro ilustraci jeden konkrétní příklad. Obchodník ráno zaplatil v Záhřebu kartou ubytování v hotelu a vracel se automobilem zpět do ČR, odpoledne natankoval benzín na dálnici D1. Druhý den mu volal pracovník z linky pomoci vydavatele platební karty a ptal se, zda je možné, aby v jeden den platil v Chorvatsku za hotel a ten samý den v ČR za benzín. Drobnost, která v případě provádění neoprávněných transakcí potěší.
V internetovém bankovnictví nic takového neexistuje. V případě vykradení bankovního účtu přes internetové bankovnictví banky reagovaly tak, že je to výhradně problém klienta, který si nezabezpečil svůj počítač. Jenže jak jsem se zmínil v úvodu, ono zabezpečení počítače může být někdy tvrdým oříškem i pro odborníky. Dalším paradoxem, se kterým jsem se setkal, bylo to, že banky neevidovaly IP adresy počítačů, ze kterých klient prováděl přes internet bankovní operaci. Jistě, můžete namítnout, že IP adresy se mohou měnit, útočník se může různě skrývat. Jenže pokud něco nesleduji, tak to ani nemohu porovnat s jinými záznamy a následně patřičně vyhodnotit.
|
Jiný případ z praxe |
|
Další případ měl úvodní fázi podobnou tomu předchozímu uvedenému výše. Jednoho dne ráno zjistil podnikatel, že z jeho osobního účtu a z firemního účtu zmizely všechny peníze. Ani tento uživatel internetového bankovnictví se svojí reklamací v bance neuspěl. Při následném šetření Policií byl sice ustanoven podezřelý, který se ale v místě svého bydliště nezdržuje. Po zjištění, že podezřelý je sice znám, ale Policie jej nevypátrala a existuje podezření, že je bez prostředků, podal poškozený jako poslední šanci jak se domoci spravedlnosti stížnost k Finančnímu arbitrovi (www.finarbitr.cz) . Arbitr po důkladném zkoumání všech skutečností vydal rozhodnutí, že banka nesplnila všechny podmínky pro řádný provoz internetového bankovnictví a je povinna klientovi vrátit neoprávněně převedené peníze na jeho účet včetně úroků za období, kdy klient nemohl s penězi nakládat. Řešení jednotlivých bank jsou si velmi podobná a hlavně přístup bank k problematice auditu a vyšetřování reklamací je stejný. Tedy banky se tváří, že mají vše dokonale zabezpečené a za případné problémy může klient. Pokud se dlouhým a komplikovaným šetřením na náklady klienta nebo Policie (státu) prokáže, že zjištěnou skutečnost nemohl klient ovlivnit, tak podle bank platí bod "a", za případné problémy může klient. |
Vykrádání bankovních účtů prostřednictvím internetového bankovnictví již v žádném případě není sci-fi, jak se na tuto oblast ještě před pár lety dívali pracovníci bank. Konkrétní příklady z České republiky ukázaly, že banky nejsou připraveny řešit tuto oblast. Když říkám "řešit", nemyslím tím nákup autentizačních kalkulátorů nebo dalších technologií. Účinným řešením je především rychlý a komplexní audit prováděných operací, který dokáže odlišit běžné (oprávněné) transakce od těch, které zadal podvodník.
Hrozby budou vždy
V úvodu tohoto článku jsem zmínil počítačové viry, které se mohou dostat do počítače, i když je na něm nainstalován antivirový program (popř. další bezpečnostní prvky). To je (může být) způsobeno tím, že tyto bezpečnostní programy vesměs chrání před hrozbami, které jsou již známé a někým popsané. Může se stát, že se objeví nové způsoby, jak vniknout do počítačů běžných uživatelů bez jejich vědomí a souhlasu. Což může být například i příčinou dalších vykradených bankovních účtů prostřednictvím internetových bankovnictví. A to i přesto, že klienti budou mít své počítače zabezpečené přesně podle doporučení své banky.
Těmito řádky jsem rozhodně nechtěl odrazovat od používání internetového či telefonního bankovnictví. Jsou to moderní komunikační kanály, které šetří čas i peníze. Při jejich používání je ovšem třeba být obezřetný. Osobně bych doporučil i více sebevědomí a důrazu při vyjednávání s bankou, kde máte svůj účet. Jste její klienti, kterým banka za poplatek (za vaše těžce vydělané koruny) nabízí službu, takže by bylo vhodné, aby dotyčná služba byla bez závad. Tím, že je služba bez závad, mám na mysli nejenom, že je možné bez problémů zadávat platební příkazy. Ale že bude fungovat i tak na první pohled neviditelná, ale podstatná věc, kterou je audit. Tedy pokud se stane nějaká nepříjemnost s penězi na vašem účtu, banka se vzniklou situací bude aktivně zabývat a s reklamací vás neodmítne.
Autor je soudním znalcem v oborech výpočetní technika a počítačová kriminalita. V letech 2003-04 se podílel na úspěšném vyšetření několika případů, kdy došlo k vykradení bankovních účtů prostřednictvím internetového bankovnictví.
Je podle vás internetbanking bezpečný? Měly by za ztráty způsobené neoprávněným přístupem do aplikace odpovídat banky? Za jakých podmínek?
Penzijko s finančním bonusem
Založte si penzijko Conseq a získejte nejen státní příspěvky a daňovou úsporu, ale i bonus pro věrné klienty.
Sdílejte článek, než ho smažem
Diskuze
Příspěvek s nejvíce kladnými hlasy
21. 5. 2005 0:15, jezevec
Zajímavé. To by pak taky například pojišťovny nemohly nikdy vyplácet žádné pojistné plnění - protože NEMOHOU hlídat každého BFU, jestli si nechá vykrást byt nebo dokonce nabourá auto.
Zobrazit celé vláknoSkrýt celé vlákno
Příspěvek s nejvíce zápornými hlasy
8. 9. 2005 16:56, vpar
Nechápu, proč dnes nejsou kryptograficky bezpečné čipové karty nebo tokeny více rozšířeny - cena při nákupu velkých sérií bude srovnatelná s cenou toho kalkulátoru. Navíc je to pohodlnější a možná i bezpečnější (používá se asymetrická RSA narozdíl od symetrické 3DES v kalkulátoru). Čipovka sice někomu připadá jako výměnné médium, ne jako šifrovací nástroj, opak je pravdou. Ještě dodám, že jediné, co má cenu v e-bankingu chránit je soukromý klíč (nebo balíček PKCS#12), nikoli certifikát, jehož součástí je pouze klíč veřejný. Mnoho lidí si také myslí, že zaměstnanec banky by mohl manipulovat klientovým soukromým klíčem, avšak ten se generuje u klienta a tudíž v bance není...
Zobrazit celé vláknoSkrýt celé vlákno
V diskuzi je celkem (15 komentářů) příspěvků.