Finanční arbitr: on-line škodu klienta zaplatí banka

Půjčky po internetu by měli zakázat.Chceš li pujčku přijď si osobně na pobočku.A nebyl by problém z podvody,jednoduché a účinné na to nemusim mitmaturitu

ČS nedostatečně chrání své klienty při krádeži platební karty. prodejce je zdpovědný za vydání zboží, když neodpovídá podpis, což bylo zjištěno odborníkem na grafologii. Banka chce peníze od klienta, který byl okraden.Rklamace trvají dlouho , a není rozhodováno správně. Nerespektuje se nález Finančního arbitra, a CS žaluje klienta. Měla by spíše urychlit blokace, vylepšit své sluižby, jelikož jsou drahé.

Riskovali by rozříznutí kůžičky útočníkem...:-)

Zřejmě toho mnoho nevíte o počítačích. Ale to po Vás nemůže nikdo chtít, pokud se tím neživíte. :-) Problémem počítačů je v tomto případě skutečnost, že bez software (programů) jsou to stroje bez schopnosti cokoli dělat, vyjma roztočení disků, ventilátorů a žraní elektřiny. Jejich konkrétní činnost je dána softwarem. Ten na PC funguje v několika vrstvách. Základní vrstvu tvoří BIOS - ten slouží k oživení PC a zavedení operačního systému (např. Windows). Tento systém pak převezme kontrolu nad PC a umožňuje spouštění aplikací (Word, hry, prohlížeč internetu). V ideálním případě by OS neměl dovolit aplikacím dělat nic, co jim sám nedovolí (být nadřazenou vrstvou). Vzhledem ke konstrukci Windows a jejich pověstné děravosti (kolik záplat ještě budeme stahovat?) nelze bezpečně zajistit, že se v PC ujme vlády místo OS nějaký skrytý program (virus, spyware...). U vlastního počítače mohu toto riziko velmi významně snížit, ale u cizího vůbec. Natož banka, která poskytuje pouze bezmocnou aplikaci. Neexistuje způsob, jak v takovém prostředí zabezpečit aplikaci proti infekci jiným softwarem. Navíc aplikace, kterou poskytuje banka běží v prohlížeči a nemůže zabránit "odposlechu" klávesnice.
Pokud by banka měla zcela ručit za komunikaci, musela by Vám dodat nejen aplikaci, ale zařízení, které by počítač nahradilo a nebylo na něm možno provozovat žádné cizí aplikace. Pokud malinko slevíme, viděl bych řešení v zařízení, které po připojení k PC bude přes bankovní aplikaci šifrovaně komunikovat se serverem. Příkazy by se nezadávaly v aplikaci, ale na tomto zařízení. Útočník by musel stihnout během seance prolomit šifru, jinak by si nanejvýš přečetl to, co vidíte na obrazovce i Vy. Ještě slabší možností je spouštění bankovní aplikace z bootovacího CD. Aplikace by pak měla vlastní OS dodaný bankou. Pokud však bude napadený BIOS (dnes bohužel možno ve většině PC), je tu nebezpečí, že se nejprve zavede cosi z disku a pak teprve aplikace z CD. Demontovat harddisk před každým přístupem k účtu je nesmysl. Ani restartování PC nutné k zavedení bankovní aplikace by nebylo zrovna hitem u uživatelů. Stejně jako nosit u sebe CD s aplikací.
Jinak s Vámi souhlasím v tom, že řešení pro přístup k účtu z cizího počítače musí být na vyšší bezpečnostní úrovni, než jen jméno a heslo. Pokud něco takového chcete využívat, určitě byste měl žádat banku, aby Vám takovou možnost poskytla a případně změnit banku. Ačkoli sám tu nejjednodušší identifikaci používám, na cizím PC bych si to netroufl.

Ano, rozdíl tu je. Ovšem za předpokladu, že klient s tím vším zachází rozumně. Pokud se rozumně a obezřetně nechová, pak je každé zabezpečení na nic. Napadá mne snad jen podkožní implantát, jaký se používá např. při čipování psů. Ten nemohou zapomenout, nechat povalovat u počítače ani někomu vykecat. :-) Otázkou je, kolik klientů by bylo ochotno takové zabezpečení účtu podstoupit.

Ano, pokud to je receno (moznost volby) takle, tak uz souhlasim. A ja uz myslel, ze se neshodneme :)

Ano, je to vina banky kdyz se pripojim z neznameho pocitace - pouzite reseni ma byt na takove urovni, ze by nemelo vadit pracovat z nezabezpeceneho pocitace.
Idealni by byla moznost volby - bud budu mit jen jmeno+heslo+SSL, pak banka za nic neruci a vse na Vas - je to ale vase volba. Nebo budete pro pristup pouzivat ruzne kalkulatory, zasilani sifrovanych SMS, jednorazova hesla apod. a pak banka bude platit v pripade povedeneho utoku.
Jedine co tu nesedi je, jak zamezit falesnym utokum...

Takze banka by mela nest odpovednost za skody, ktere vzniknou neopatrnou praci klienta s webovym bankovnictvim? Takze kdyz se napr. pripoji z nahackovaneho pocitaci kamarada a hacker mu vyluxuje konto a zmizi, mela by to byt vina banky?
"Pokud banky neumí garantovat kvalitu své služby ať ji laskavě neposkytují."
Nebyla by docela skola vylit vanicku i s ditetem?

"Já bych zas dodal, že odmítám pokaždé při přihlašování na účet kontrolovat nějaké certifikáty stránky podle papírku a dělat další podobné šaškárny jen proto, že bankovní ústav přenáší odpovědnost za mizerně pojatou bezpečnost na mne."
Ja ziram ... :) Uvedomujete si, co rikate?
Analogie: Dodal bych, ze odmitam jezdit v bezpecnych autech, brat si pas, jezdit rozumnou rychlosti a delat podobne saskarny jenom proto, ze automobilka prenasi odpovednast za mizerne pojatou bezpecnost na me.

!!

Ako sa chcete dostat k certifikatu, ktory bol vygenerovany cipom na smartcard a nikdy neopusti kartu? Neda sa ani odzalohovat pre pripad straty karty. Ak kartu stratite mate smolu, da sa len stary certifikat zneplatnit v systeme a vygenerovat novy v novej karte. Ak by toto slo tak ste zborili cely princip smartcard a ich cipov ktore chrania vygenerovane certifikaty.

Já bych zas dodal, že odmítám pokaždé při přihlašování na účet kontrolovat nějaké certifikáty stránky podle papírku a dělat další podobné šaškárny jen proto, že bankovní ústav přenáší odpovědnost za mizerně pojatou bezpečnost na mne. Potřebuji rychle na účet, podívat se na transakce, zadat příkaz a hotovo. Od toho používám banku v internetu. Má-li to být tak, že budu neustále kvůli bezpečnostní nekvalitě daného internet bankingu přemýšlet nad tím, co jsem kdy kde zapomněl dle šíleného návodu ověřit či koho jsem kdy pustil ke svému počítači, kde jsem lezl po jak nebezpečných stránkách, či co jsem kdy nového potenciálně zákeřného nainstaloval, pak je jednodušší a praktičtější chodit na pobočku a na internet se prostě vykašlat. A nebo si najít lepší - tzn. bezpečnější a přitom praktičtější produkt od jiné banky, která bere bezpečnost vážně.

Ještě bych chtěl panu Jirkovi říct. Myslím, že nejsem sám, kdo potřebuje občas obsluhovat účet z cizího PC. Já bych to považoval za normální a ve své smlouvě nemám žádnou zmínku na toto téma. Pokud banky neumí garantovat kvalitu své služby ať ji laskavě neposkytují.

Dovolím si ještě reagovat. Pokud budu mít ve smlouvě, že mám používat konkrétní firewall, antivir, operační prostředí a prohlížeč a já tuto smlouvu poruším je to moje chyba. Pokud mě banky alibisticky tvrdí, že mám mít zabezpečené PC a když se stane malér je to moje chyba, protože použitá ochrana selhala nebo nebyla dobře nastavena, tak je to nekorektní jednání. Navíc mě ochrana jménem a heslem nutí používat jen moje PC. Pokud mám aktivní operace chráněny (např. ČSOB - 9-místné heslo zaslané SMS na můj mobil)mohu si dovolit komfortu opustit své bydliště. Jestli chce nejmenovaná banka za ochranu dat 1000,- Kč + roční "udržovací" poplatky je to zlodějina. Svět není ideální, ale pokud by banky přistupovaly k vykradeným účtům korektně nediskutoval bych tady o tom. Jak to funguje ve skutečnosti si lze přečíst třeba v EURu z 301.5.2005 (číslo 22) v článku finančního arbitra Otakara Schlosbergera s příznačným názvem "Banky se soudí o drobné" aneb kolik si Vaše banka účtuje za to, že si stěžujete na vykradený účet.

Mimo tema: ad "že pokud bude účet zabezpečen dokonalou biometrikou, tak přeci není problém si získat maketu palce či oka apod...:-)"
Problem ziskat maketu palce opravdu neni, vzdyt otisky zanechavate nekontrolovane temer na vsem, ceho se dotknete ... az s okem to je skutecne horsi :)

Ale je přeci velký rozdíl, pokud nabízím ve standardu bezpečnost na úrovni jméno+heslo nebo pokud nabízím pro jakoukoliv aktivní operaci jednorázové kódy, které se generují a distribuují šifrovaně a mimo počítač na zařízení (mobil, kalkulačka..), které mám chráněné vlastním heslem (pinem). Pokud tvrdíte, že je triviální zjistit tento pin, pak tvrdíte, že je triviální už úplně cokoliv - při této logice lze říkat, že pokud bude účet zabezpečen dokonalou biometrikou, tak přeci není problém si získat maketu palce či oka apod...:-). Prostě já bych nikdy přes zabezpečení internetu formou jméno+heslo s žádnými velkými penězi neoperoval a v principu bych takové bance moc nevěřil, že si toto vůbec dovolí ve standardu "masovce" nabízet, protože až se phishing apod. hrozby v Česku více rozšíří (a ono to nebude trvat dlouho), tak se budou všichni zúčastnění (klienti i banky, které jsou tím zasažitelné) velmi divit. Znovu se tím vracím k elegantnímu řešení ebanky, které považuji za maximálně vyvážené z hlediska kompromisu bezpečnost x použitelnost pro obyč.lidi.

Pokud ma nekdo vladu nad vasim pocitacem, ma vladu i nad vasimi certifikaty, kartami a vsim, co nema jednorazovou platnost. Nema pin k cipove karte? Holt musi pockat, az ho sam zadate ;-)

Absolutně bezpečné řešení si nedovedu představit. Zneužití aplikace lze pouze různými způsoby zkomplikovat. Bohužel se tím komplikuje i používání aplikace a případné vyšetřování zneužití. Nevím, proč by banka neměla nabízet zabezpečení SSL + ID + heslo. Pro uživatele jako jsem já je to ideální. Do banky chodím pouze ze svého PC doma, používám firewall, nechodím na nebezpečné servery, umím manipulovat s e-maily tak, aby se mi do PC nedostal žádný spyware, který by odposlouchával moji klávesnici.
Pokud bych to měl s digitálním certifikátem, nebude to v mém případě o nic bezpečnější, jen dražší a komplikovanější. Ten lze stejně jako ID a heslo ukrást po síti, je-li PC špatně zabezpečen. Budu-li mít certifikát na kartě, nechám jej i se čtečkou doma u PC, když půjdu ven. Totéž platí pro autentizační kalkulátor. Vždy stačí zjistit ID + heslo (příp. PIN - to už nelze odposlechem z klávesnice na dálku) a mít přímý přístup k mému PC. Jestliže pak banka prokáže, že operace byla vedena z mého PC, je to můj problém, neboť jsem si nezabezpečil dostatečně byt. Na provozovně, kde bych nemohl zamykat místnost s PC vždy, když musím někam jít, bych si certifikát na kartě nebo autentizační kalkulátor pořídil a zamykal je do trezoru.
K vykradení účtů dochází běžně díky nezodpovědnosti a neznalosti uživatele. Pokud ten brouzdá po erotických stránkách, kde se to PC viry hemží, nebo si hesla k bankovnictví přilepí na monitor na veřejně přístupném místě, protože není schopen si je zapamatovat a kvůli častému používaní aplikace je nechce lovit z nějakého notýsku, nebo si je uloží do souboru hesla.txt na ploše, nelze spravedlivě požadovat po bance, aby za takovou hloupost platila. A neznám způsob, jak účinně aplikaci pro takové borce zabezpečit.
Souhlasím s tím, že by banky měly klienta řádně poučit o rizicích a jasně uvést ve smlouvě o elektronickém bankovnictví, jaká prokázaná porušení pravidel bezpečnosti budou příčinou nenahrazení ztráty z případného útoku na jeho účty. Paušální ustanovení, že za ztráty může vždy klient neberu.

v tom pripade si rad poslechnu vas navrh -- jde nam tedy o bezpecne reseni jako standard a uzivatel neni schopny zadavat bezpecne heslo a neni mozne pouzit bezpecne sifrovani.
Napada me jenom dodavat uzivateli zvlastni zarizeni na ovladani uctu nebo pouzivat telefonni bankovnictvi (u pevnych linek trivialne odposlechnutelne) nebo radeji GSM bankovnictvi, ale to zase prichazite o komfort.
Pozn: je mi naprosto jasne o co se snazite -- vy jste uzivatele a chtete to pouzivat, ne studovat a starat se kdo vi co. Ale dle meho nazoru to proste neni zase tak snadne a odpovednost by mela byt na strane klienta. Uz proto, ze provest falesny utok a tak "okrast" banku by nebyl velky problem ...

Problem je, ze jednoduche prakticke a maximalne bezpecne reseni je v tomto pripade pouze v pouziti tokenu a autentizacnich kalkulatoru(*; popr. chytre vyresene chipove karty, biometriky apod.), ktere generuje jednorazova hesla. Sice si stale umim predstavit podvedeneho uzivatele i u tohoto pripadu, ale to uz je takova paranoia, ze bude pravdepodobnejsi zfalsovany podpis u papiroveho platebniho prikazu.
(*) coz u naz znamena nepletu-li se eBanka, CS a HVB Bank
Co se rhybareni tyce, tak letos jsem zakladal ucet u cca 6 bank a bezpecnostni pouceni jsem dostal jenom u Citibank a to IMHO navic proto, ze to je kvuli narizeni pro vsechny Citibank (ktera tim byla dost postizena), dokonce jsem dostal i brozurku. Mimochodem, phishing je typicka chyba uzivatele -- neoveril si alespon SSL certifikat, kdyz nic jineho. Toto by take mela platit banka?