Bylo internetové bankovnictví KB nebezpečné?

Komerční banka od dnešního dne spouští zdokonalenou verzi svého internetového bankovnictví. Zatímco v minulé verzi internetového bankovnictví Mojebanka.cz se pro potvrzení zadávaných transakcí používal digitální certifikát a heslo, v nové verzi se místo trvalého (delší dobu používaného) hesla bude používat jednorázový kód zasílaný formou SMS na předem zaregistrovaný mobilní telefon klienta.

První zaregistrování telefonního čísla si může klient provést sám doma na svém počítači. Jedná se vlastně o vygenerování nového digitálního certifikátu, k jehož použití se bude místo hesla používat jednorázový kód. V případě další změny telefonního čísla již bude muset klient zajít na svoji pobočku Komerční banky a tam požádat o vytvoření nového certifikátu s novým telefonním číslem. To může být pro někoho nepohodlná podmínka, na druhou stranu je velmi důležitá jako ochrana před vykradením dalších bankovních účtů přes internetové bankovnictví.

Vzpomínám si na jeden případ vykradeného účtu z roku 2003 v jiné české bance. V tomto případě se hesla zasílala na mobilní telefony podobně, jak to dnes zavádí Komerční banka. Bohužel tehdy bylo možné přes internet změnit i telefonní číslo pro příjem SMS zpráv s jednorázovým heslem. Pachatel právě tuto slabinu zneužil. Nejdříve odcizil klientovi jeho nástroje pro přihlášení k bankovnímu účtu, následně změnil telefonní číslo pro zasílání SMS a pak vykradl účet. Tato slabina v případě řešení Komerční banky neexistuje.

Nové řešení vydané 14. 8. 2006 představuje určitě zvýšení bezpečnosti internetového bankovnictví. Jedna stránka věci je zvýšení úrovně technického zabezpečení a druhá strana téže mince (téhož internetového bankovnictví) je ekonomika a efektivita aplikace.

Tím, že banka zdokonalila své řešení internetového bankovnictví, které je založené na použití elektronického podpisu, nepřímo přiznala, že dosavadní řešení obsahovalo slabiny, a bylo tedy nutné jej zlepšit. Slabiny v dřívějším řešení internetového bankovnictví Mojebanka.cz skutečně byly a svědčí o tom několik případů vykradených účtů (viz např. reportáž TV Prima či TV Nova).

Poslední případy se objevily v červnu a červenci letošního roku a v tuto chvíli probíhá jejich vyšetřování. Úmyslně používám množné číslo, protože se jednalo o tři vykradené účty klientů Komerční banky (o kterých jsem se dozvěděl). Škody ve všech případech dosahovaly stovek tisíc, a co je velmi důležité, tak ve všech případech pocházel pachatel ze zahraničí a v České republice získal spolupracovníka (bílého koně), na jehož účet byly peníze převedeny a tento člověk následně peníze vybral a složenkou je poslal do zahraničí.

Může se jednat o shodu náhod. Možná banka již dlouho uvažovala o zdokonalení úrovně zabezpečení svého internetového bankovnictví. Několik v posledních týdnech vykradených účtů byla pouze ta poslední kapka, která celou změnu urychlila. Na druhou stranu je nutné se chovat jako řádný hospodář a vlastníci banky by takový pohled měli vyžadovat i po managementu Komerční banky. Pokud banka uvádí, že zpracovává desítky miliónů transakcí za rok, pak je zvláštní, že z důvodů několika mimořádných událostí a škody v řádu stovek tisíc korun za stejné období investuje mnoho miliónů korun do centra pro generování jednorázových hesel, SMS brány a dalších s tím souvisejících systémů.

Řešení mohlo být výrazně levnější (o mnoho miliónů korun), protože pro úspěšné vyřešení podvodů nebo pokusů o podvod se zneužitím digitálního certifikátu je možné použít softwarové nástroje, které již banka používá pro odhalování pokusů o praní špinavých peněz a další podobné úkoly podobně, jak to dělají jiné banky v Evropské unii.

Používání jednorázových hesel zasílaných na mobilní telefon je velmi důvěryhodné a již před více jak sedmi lety jej bez problémů používala u svého internetového bankovnictví Union banka, jenže bez digitálního certifikátu. Proč také. Pro jednoznačné určení klienta v takovém případě sloužilo předem zaregistrované číslo klientova mobilního telefonu. Digitální certifikát doplněný o jednorázové heslo zasílané na mobilní telefon je z pohledu technika (informatika) zajímavý projekt, z pohledu ekonoma se jedná o plýtvání penězi a o důkaz toho, že při budování takového projektu chyběla na počátku jasná vize a dobrá analýza rizik. Pokud identitu klienta spolehlivě určím pomocí předem zaregistrovaného čísla mobilního telefonu, tak je již identifikace s pomocí digitálního podpisu navíc a slouží k ověření již jednou ověřeného údaje. Pokud klientovi banky někdo odcizí mobilní telefon a chtěl by vykrást jeho bankovní účet, tak pro takového pachatele již není problém si opatřit i klientův certifikát. Digitální certifikát je v případě používání jednorázových hesel zasílaných na mobilní telefon navíc a pouze prodražuje a komplikuje celé řešení.

Nové úpravy internetového bankovnictví zaváděné Komerční bankou nepřímo ukazují, že současný způsob používání elektronického podpisu, včetně zaručeného elektronického podpisu pro (podle zákona 227/2000 Sb.) komunikaci mezi občanem a státními úřady nemusí být vždy dokonalý a může dojít ke zneužití identity klienta.

Dnes zaváděná změna zabezpečení internetového bankovnictví Komerční banky je sice komplikovaná, ale rozhodně se jedná o posun správným směrem, který by měl zabránit vykrádání dalších účtů přes internetové bankovnictví. Zajímavé bude sledovat reakce dalších společností a úřadů, které používají pro komunikaci se svými klienty digitální certifikát v podobě souboru.