Spočítejte si...

Zavřít

Banky si hrají na homeopaty, bezpečnost přehazují na uživatele

Banky stále běžně tvrdí, že nejslabším článkem internetového bankovnictví z hlediska zabezpečení bývá klient. Nepřenáší ale banky jen odpovědnost na někoho jiného?

Internetové bankovnictví je šikovný pomocník. Banky už dlouho vědí, že se jedná o cestu, jak zrychlovat a zefektivňovat zpracování bankovních příkazů jejich klientů. Aplikace je současně velkou výzvou pro počítačové podvodníky, protože přístup k účtu klienta přes internetové bankovnictví je přístup k „hotovým“ penězům, které stačí převést jinam. To platilo před více jak 15 lety, kdy s touto službou začínala banka Wells Fargo nebo u nás eBanka.

Čas se (ne)zastavil?

Bohužel, hlavní a největší problém spojený s bezpečností internetového bankovnictví nebyl dodnes vyřešen. Navíc banky místo řešení skutečných problémů raději nabízejí řešení, které je velmi podobné homeopatické léčbě, nebo přímo přenášejí odpovědnost na své platící klienty.

Vědci, inženýři a technici v USA dokázali od projevu J.F. Kenedyho za osm let připravit a úspěšně zrealizovat cestu na Měsíc a zpět.  Přičemž v programu Apollo se museli vypořádat s mnoha novými výzvami. Je tedy zvláštní, že za 15 let jsme se nedokázali vypořádat s něčím tak pozemským jako je bezpečnost počítačů a internetového bankovnictví.

Od doby, kdy jsem pomáhal objasňovat jeden z prvních případů vykradených bankovních účtů přes internetové bankovnictví, se na mém stole vystřídalo několik generací počítačů a přibyl k nim chytrý mobilní telefon s výkonem, který ještě před pár lety měl notebook a mnoho dalších technických vychytávek. Jenže základní pohled na počítačovou bezpečnost a na bezpečnost internetového bankovnictví jako by „zamrzl“ někdy v době Windows 3.11.

Je chyba na straně klienta?

Banky velmi často argumentují tím, že jejich uživatelé jsou nezkušení a riskují při používání internetového bankovnictví a obsluze svého účtu. Jistě je mnoho uživatelů, pro které jsou některá technologická „vylepšení“ internetového bankovnictví těžko srozumitelná a komplikovaná pro obsluhu. Jenže za posledních 15 let jsem se nesetkal s člověkem, který by dobrovolně riskoval ztrátu svých, nebo dokonce rodinných úspor.

Již v roce 2003 jsem nalezl v počítači poškozeného klienta banky počítačový virus, který v době vykradení účtu nedokázal antivirový program rozpoznat. Tyto případy se opakují a dnes o takovém riziku otevřeně hovoří i antivirové firmy. Dalším problémem je bezpečnost chytrých telefonů, jejichž riziko mimo jiné spočívá v tom, že mají relativně malou obrazovku, velký výpočetní výkon a slabiny velmi podobné těm, které se vyskytují v prostředí stolních počítačů a notebooků. Bezpečnost počítačů nebyla spolehlivě vyřešena a pro obsluhu účtu nebo potvrzování transakcí se již používají chytré telefony, které jsou také zranitelné a zneužitelné, aniž by uživatel udělal jasnou chybu.

Bezmocní uživatelé

Nepravidelně se objevující zprávy ukazují i na slabiny či přímo na zadní vrátka v antivirových programech. Pak jsou běžní uživatelé v prakticky neřešitelné situaci.

Kde je jádro problému?

Velmi stručně napsáno, jsou dvě problematická místa. Tím prvním jsou výrobci softwaru a dále také přístup bank, jako provozovatelů internetových bankovnictví.

Dříve, než to stručně vysvětlím, tak mi dovolte malé odbočení a popis toho, co vlastně je operační systém a další počítačové programy. Software a programování jsou exaktní obor, ve kterém je možné vše jasně popsat, naprogramovat a otestovat. Při tvorbě počítačového programu se tvůrci nemusí vypořádat s roztažností materiálů jako například při stavbě mostů, nemusí zkoumat účinnost chemické reakce v podobě spalování uhlovodíků ve válcích benzínových motorů. Tvůrci počítačových programů nemusí ani zkoumat vedlejší účinky jako farmaceuti a lékaři při vývoji nového léku. Počítačové programy vytvořili lidé. Takže chyby, zadní vrátka nebo chybně definované parametry funkcí jsou výsledkem špatné práce člověka – programátora. Někdo může namítnout, že v operačním systému jsou tisíce a milióny řádků zdrojového kódu a je tedy velmi těžké v nich hledat chybu. Takový argument je pouze výmluva. Když se konstruktéři dokáží vypořádat s přírodními zákony a lékaři dokáží „opravovat tělo, od kterého nemají manuál“, tak programátoři musí zvládnout dělat lépe svojí práci.

Druhým vážným faktem je, že internetové bankovnictví je především služba konkrétní banky. Nejjednodušší pro různé „odborníky“ je říkat, že uživatelé jsou málo zkušení a právě oni jsou největší slabinou bezpečnosti internetového bankovnictví. Jenže tato oblast a chování uživatelů se za uplynulých 15 let prakticky nezměnilo a je velmi naivní si myslet, že všichni platící klienti bank budou někdy v budoucnosti dokonalí uživatelé počítačů a chytrých telefonů.

Internetové bankovnictví není zdaleka jediná oblast, kde je nebo může být problém se znalostmi nebo ochotou uživatelů. Například v prostředí osobních automobilů bylo používání bezpečnostních pásů místem, o kterém odborníci již dávno věděli, že se jedná o správnou věc, ale řidiči bezpečnostní pásy neradi používali a nepomáhaly ani represe v podobě policejních kontrol. Automobilky se raději chopily iniciativy a moderní automobily vybavují kontrolou zapnutých pásů.

Jak řešit bezpečnost?

Nejdokonalejším by bylo změnit přístup k posuzování softwaru a prosadit zodpovědnost jeho tvůrců za svojí práci podobně, jako to platí v jakékoliv jiné lidské profesi. V takovém prostředí by počítačové viry neměly šanci se dostat do počítače nebo mobilu a tím by byla uzavřena nejčastější cesta, jak se podvodníci dostávají k ovládání cizího bankovního účtu.

Druhou možností je zaměřit se pouze na oblast internetového bankovnictví a řešit bezpečnost a důvěryhodnost pouze této služby. Nabízí se několik způsobů.

A) 15 let prosazovaný a neúspěšný přístup

Uživatel je nezkušený a představuje největší bezpečnostní riziko pro jinak, prý dokonalou, službu. Pokrytecký názor, který se úspěšně prosazoval před 15 lety a bohužel je slyšet i dnes. Tento způsob neřeší základ problémů. Pouze se problém přenáší na toho nejslabšího, tedy na klienta banky.

B) Audit klientových činností

Rychlé vyhodnocování chování klienta při práci s internetovým bankovnictvím. Z aktuálního připojení v porovnání s historií se dá s velmi vysokou pravděpodobností zjistit, zda účet obsluhuje skutečně majitel nebo někdo, kdo se za majitele účtu pouze vydává.

C) Připojištění

Další možností je připojištění internetového bankovnictví nebo klientského zařízení pro obsluhu bankovního účtu. Již v roce 2003 jsem po prvních vykradených účtech tuto cestu navrhoval zástupcům bank a říkal jsem jim, že inspiraci mohou hledat v připojištění platebních karet. Které jsou mimochodem mnohem zranitelnější než internetové bankovnictví.

V souvislosti s bodem „A)“ a názorem, že si uživatelé nedokáží dobře zabezpečit své počítače, stojí za zmínku upozornění SWIFT, který provozuje mezinárodní platební systém nebo chcete-li zvláštní typ internetového bankovnictví mezi bankami. SWIFT upozornil v minulých týdnech na nebezpečí, že někteří uživatelé, tedy některé banky mají nedostatečně zabezpečené počítače, prostřednictvím kterých pracují v systému SWIFT.

Jak je možné požadovat po běžných uživatelích (novinář, politik, právník, lékař, atd.), aby si zabezpečili své počítače, když toho nejsou vždy schopné ani bohaté banky.

Pokud nějaký problém nebyl za 15 let spolehlivě vyřešen, tak je to důkaz, že jej dotyční „odborníci“ celou dobu řešili špatným způsobem. Dnes se budou tito „odborníci“ pravděpodobně cítit dotčeni, ale problémy trvající 15 let jasně ukazují, že se problém řeší špatným způsobem a odsouvání změny celou situaci bude dál zhoršovat. Tvorba softwaru je čistě lidská práce, kde není nutné poznat a pochopit přírodní zákony. Chyba v programu je vždy výsledkem špatné nebo uspěchané práce člověka.

Než se změní přístup softwarových firem a než se změní přístup bank k internetovému bankovnictví, tak zbývá klientům pouze doporučit, aby byli sami velmi obezřetní. Nejlepší, i když trochu staromódní, je mít na účtu s on-line přístupem pouze nejnutnější zůstatek. Pokud se rozhodnete mít své nebo rodinné úspory na bankovním účtu, tak je bezpečnější je mít na účtu, ke kterému nemáte aktivovanou platební kartu ani internetové bankovnictví. Je to staromódní přístup, ale podle mne a podle téměř stovky poškozených, se kterými jsem se v minulých letech setkal, je lepší jednou za měsíc navštívit osobně banku a převést peníze z účtu na účet, než později řešit ztrátu všech rodinných úspor přes internetové bankovnictví.

37 názorů Vstoupit do diskuse
poslední názor přidán 29. 5. 2016 21:09