Internetové bankovnictví umožňuje rychle a z pohodlí domova ovládat bankovní účet, klient už nemusí být závislý na otevíracích dobách bank. Díky těmto a mnohým dalším výhodám využívají internetové bankovnictví už více jak dva miliony uživatelů a jejich počet se s růstem rozšíření dostupnosti internetové sítě stále zvyšuje.
Internetové bankovnictví však sebou přináší spoustu rizik, která jsou s jeho využíváním spojena. Mnohým z nich se lze vyhnout jednak rozumným chováním a také díky vhodnému zabezpečení, které některé banky poskytují. O jaké způsoby zabezpečení se jedná?
Autentizace klienta
Autentizací se nazývá proces, během kterého klient vstupuje do internetového bankovnictví a zadává přístupové údaje, podle kterých bankovní server pozná, že se jedná o oprávněného uživatele. Každá z bank poskytuje svým klientům jinou formu autentizace. Základní – donedávna nejčastěji využívanou a bohužel i nejméně bezpečnou – formou autentizace je ověření pomocí přiděleného uživatelského jména a hesla. Tuto formu přístupu nabízí mnoho bank, z nich čtyři jako jedinou možnou formu přístupu.
Bezpečnějším způsobem přístupu je využití certifikátu, který uživatel obdrží od banky, uloží si ho nejlépe na nějaké vyjmutelné médium (disketu, CD, DVD, USB flash disk). Tento certifikát slouží jako klíč, prostřednictvím něhož a po zadání hesla klient vstoupí do internetového bankovnictví.
Kdo má strach, že mu může být certifikát zkopírován nepovolanou osobou, ten může využít čipovou kartu. Ta funguje stejně jako certifikát, jenže údaje jsou uloženy na kartě, odkud nemohou být zkopírovány. Aby došlo k jejímu zneužití, musela by být fyzicky ukradena. K přístupu pomocí čipové karty je samozřejmě nutno znát také PIN kód, případně heslo. Uživatel navíc musí vlastnit vhodnou čtečku čipových karet, jejichž cena v obchodech začíná na hranici 600 korun. To se netýká obdobně zabezpečeného iKey tokenu, který je podobný USB flash disku a pro přečtení informací není zapotřebí čtečky.
Další možností autentizace je ověření s pomocí mobilního telefonu. Klient při vstupu do internetové aplikace zadá své klientské číslo a banka mu obratem zašle speciální přístupový kód na jeho mobilní telefon.
Poslední – a vedle užití čipové karty prozatím nejbezpečnější – variantou je použití PIN kalkulátoru. PIN kalkulátor vypadá jako malá kalkulačka a je ve vlastnictví klienta. Poté, co do ní zadá své klientské číslo a PIN kód, kalkulátor vygeneruje autentizační kód, který je vždy jiný. Tento kód klient opět zadá při vstupu do internetové aplikace.
| Banka | Produkt | Uživatelské jméno a heslo | Certifikát | Čipová karta | SMS | PIN kalkulátor |
|---|---|---|---|---|---|---|
| BAWAG Bank | Bawag direct | ANO | ||||
| Citibank | Citibank online | ANO | ANO | |||
| Česká spořitelna | Servis 24 Internetbanking | ANO | ANO | ANO | ||
| ČSOB | Internetbanking 24 | ANO | ANO | ANO | ||
| eBanka | ANO | ANO | ANO | |||
| GE Money Bank | Internet banka | ANO | ANO | ANO | ||
| HVB Bank | Online Banking | ANO | ||||
| Komerční banka | Mojebanka | ANO | ANO | |||
| Poštovní spořitelna | Max Internetbanking PS | ANO | ANO | |||
| Raiffeisenbank | Internetové bankovnictví | ANO | ||||
| Volksbank | Internet banking | ANO | ||||
| WSPK | Internetbanking | ANO | iKey token | |||
| Živnostenská banka | Net banka | ANO | ANO | |||
Doplněno 30. 1. 2007.
Aktivní a pasivní operace
Při pohledu na zabezpečení autentizace se zdá, že některé banky si s bezpečností moc hlavu nelámou, když nabízejí přístup do internetového bankovnictví pouze uživatelským jménem a heslem. Avšak tyto instituce nezabezpečují pouze vstup, ale i veškeré aktivní operace, tzn. operace, při kterých dochází k pohybu peněz na účtu.
Nejčastější je zabezpečení aktivních operací prostřednictvím SMS kódu, certifikátu, případně PIN kalkulátoru. SMS kód je platný pouze pro právě uskutečňovanou operaci a přichází na vyžádání klienta na jeho mobilní telefon ve formě SMS téměř okamžitě. Další tabulka ukazuje, jak jednotlivé banky zabezpečují aktivní operace.
| Banka | Produkt | Zabezpečení aktivních operací | Způsob zabezpečení |
|---|---|---|---|
| BAWAG Bank | Bawag direct | ANO | certifikát |
| Citibank | Citibank online | NE | |
| Česká spořitelna | Servis 24 Internetbanking | ANO | SMS, PIN kalkulátor |
| ČSOB | Internetbanking 24 | ANO | čipová karta, SMS |
| eBanka | ANO | SMS, PIN kalkulátor, certifikát | |
| GE Money Bank | Internet banka | dle výše částky | digitální podpis |
| HVB Bank | Online Banking | ANO | PIN kalkulátor |
| Komerční banka | Mojebanka | ANO | SMS |
| Poštovní spořitelna | Max Internetbanking PS | ANO | SMS |
| Raiffeisenbank | Internetové bankovnictví | ANO | certifikát, SMS |
| Volksbank | Internet banking | ANO | certifikát |
| WSPK | Internetbanking | ANO | certifikát, iKey token |
| Živnostenská banka | Net banka | ANO | SMS |
Pasivní operace nemusejí být po zadání přístupových údajů nijak více zabezpečeny. Nespočívají totiž v přesunech peněžních prostředků, ale pouze ve sledování změn na účtě, výpisů a historií bankovních operací.
Jak je dále internetové bankovnictví chráněno?
Zabezpečení autentizace a aktivních operací je věnována největší pozornost, ale internetové bankovnictví je chráněno i dalšími způsoby. Jedním z nich je počet pokusů o přihlášení. Např. BAWAG Bank umožňuje pouze 5 chybných pokusů o přihlášení, po dalším neúspěšném pokusu je přístup zablokován a pro odblokování je nutný kontakt s bankou.
Automatické ukončení aplikace je dalším způsobem, jak banky chrání využívání internetového bankovnictví. Příkladem je Volksbank, jejíž systém ukončí aplikaci po 15 minutách nečinnosti.
Další ochranou je maximální denní limit transakcí. Jeho výše neumožňuje převod většího množství peněž, a tak v případě krádeže či zneužití alespoň mírně snižuje výši škody. Např. u Citibank se jedná o limit ve výši 125 tisíc korun.
A samozřejmě je chráněn též přenos a ověřována stránka banky platným certifikátem. O těchto částech zabezpečení se dočtete v článku „Představuje přímé bankovnictví riziko pro vaše peníze?“ vydaném v souvislosti s Analýzou zabezpečení internetového bankovnictví v České republice zpracovanou finančním serverem Měšec.cz ve spolupráci se sesterským serverem Root.cz.
Bezpečnosti se nejvíce musí věnovat klient
Ačkoliv banky vydávají na zabezpečení vysoké finanční částky, nejslabším článkem celého zabezpečení často bývá samotný klient. Většina bank poskytuje klientům informace jak se bezpečně chovat při využívání internetového bankovnictví, na svých stránkách uvádějí různá desatera bezpečného využívání internetového bankovnictví.
Při využívání internetového bankovnictví jde zejména o aktivní přístup k bezpečnosti, věnování pozornosti aktuální verzi antivirového softwaru, kvalitní firewall, ochranu hesel, uchovávání certifikátu na výměnném médiu na bezpečném místě, stejně jako ochranu čipové karty a PIN kalkulátoru před ukradením nebo ztracením.
Klient by měl věnovat pozornost správné adrese internetových stránek. Internetoví podvodníci jsou schopni klienta přesměrovat z oficiálních stránek banky na vlastní podvržené stránky, které jsou od oficiálních k nerozeznání, v lepším případě může být rozdíl třeba jen v jednom písmenku v řádku adresy stránky. Klient zadá v dobré víře přístupové údaje, které pak mohou být lehce zneužity.
Dalším způsobem, jak podvodníci získávají údaje, je phishing. Jedná se o e-maily tvářící se jako od banky, které vyžadují zaslání důvěrných informací. Je samozřejmé, že banky by nikdy nežádaly o zaslání takovýchto informací e-mailem.
Největší pozornost bezpečnosti by měl tedy věnovat zejména samotný klient, zajímat se o způsoby zabezpečení nejen internetové bankovní aplikace, ale i svého počítače. A hlavně zajistit veškerá přístupová hesla a certifikáty před zneužitím.
