Hlavní navigace

Kulhající bezpečnost internetového bankovnictví

22. 1. 2008
Doba čtení: 4 minuty

Sdílet

Internetové bankovnictví přitahuje pozornost nenechavců a incidenty v oblasti bezpečnosti informačních technologií se stále zdokonalují. Jenže ani velcí bankovní hráči nemají zcela jasno, co je hlavní prioritou.

Technika není všechno

Přestože po technické stránce má většina velkých bank dobře zabezpečené internetové bankovnictví, bezpečnost v bankách stále pokulhává. Problém je v malém zájmu nejvyššího vedení. Odpovědnost za bezpečnostní opatření se deleguje na IT zaměstnance finančních institucí a nejvyšší vedení bank je stranou. Toto zjištění vyplývá to z průzkumu poradenské společnosti Deloitte, který v loňském roce provedla mezi nejvýznamnějšími finančními společnostmi, jako jsou ABN Amro, Citibank, Commerzbank, Deutsche Bank, Fortis Bank, HSBC, ING a Raiffeisenbank.

Tak zvaný bezpečnostní paradox ukazuje obrovský rozdíl mezi povědomím o problému na straně jedné a chybějící aktivní podporou pro hledání vhodných řešení, na straně druhé.

Kdo má podle vás nejlepší internetové bankovnictví?


Lidský faktor jako zrádce

Podle zmiňovaného průzkumu mají více než dvě třetiny respondentů vypracovanou strategii v oblasti informační bezpečnosti. Jenže i přes všechna bezpečnostní opatření a vyspělost technicky nelze zabránit lidskému selhání. Nejčastější příčinou vnějších narušení bezpečnosti je stále lidský faktor. Jde přitom o vlastní zaměstnance banky, její klienty, třetí strany a obchodní partnery. Jinými slovy, na jedné straně banky znají hlavní bezpečnostní problémy včetně opatření, která musí přijmout, aby se zvýšila bezpečnost i ochrana soukromých dat. Ale na straně druhé řada finančních institucí stále váhá s realizací konkrétních kroků, a to i přes množící se incidenty narušení bezpečnosti z poslední doby, jak vnitřní tak vnější.

Češi nejsou imunní

Pokusy o narušení bezpečnosti již zdaleka nejsou jen doménou zahraničních firem. I v České republice byly finanční instituce předmětem externích cílených útoků především na systémy internetového bankovnictví. Navíc se vyskytlo i několik úspěšných případů, kdy se podařilo útočníkům narušit provozní systémy, či docházelo k manipulaci s klientskými daty a defraudacemi. To má za následek intenzivní potřebu věnovat se problematice informační bezpečnosti a rizik podvodů. Není nic horšího než špatná reputace konkrétní banky nebo obavy o bezpečnost internetového bankovnictví v celém odvětví. Následky špatné reputace totiž značně převýší náklady na potřebné investice do zabezpečení a osvěty.

Podle zprávy Deloitte mezi nejčastější případy narušení bezpečnosti zvenčí patřily za posledních 12 měsíců útoky na elektronickou poštu (57 %). Nemusíme chodit daleko, v minulých dnech se opět pokoušeli podvodníci vylákat bezpečnostní údaje od klientů České spořitelny, bohudík, velmi amatérskou formou.

Víte, co máte v počítači?

Co dělá bankám největší starosti v oblasti narušení bezpečnosti? Klienti. Přesněji jejich žalostně zabezpečené počítače. Průzkum identifikoval následující tři typy nejčastějších pokusů o narušení bezpečnosti. Jsou to počítačové viry a červi, dále útoky na systémy elektronické pošty v podobě nevyžádané pošty a spamu, a také podvodné techniky k získání citlivých údajů jako např. tzv. phishing a pharming. Ke všem těmto útokům dochází prostřednictvím počítačů klientů, kteří se tak stávají nevědomými poskytovateli citlivých informací a kanály vedoucími do nitra finančních institucí.

Přijmout zodpovědnost za bezpečnost počítačů svých klientů se bankám příliš nechce, přestože jsou finanční instituce právě těmito útoky přímo ohrožovány. Na otázku, zda by měli nést odpovědnost za zajištění ochrany počítačů svých klientů, kteří s nimi komunikují online, odpověděly dvě třetiny respondentů, že nikoliv.

Zaměstnanec jako riziko

Ovšem klienti bank nejsou jedinými narušiteli bezpečnosti. Vysoký počet narušení lze připsat také vlastním zaměstnancům. Ti buď úmyslně zneužívají svou pozici a oprávnění, nebo se neúmyslně dopouštějí chyb a omylů, a to často i vlastní hloupostí. Právě zaměstnanci dělají bankám vážné starosti a jsou uváděni jako hlavní příčina selhání informační bezpečnosti. Tento problém se prohlubuje, pokud banky svým zaměstnancům neposkytují žádné školení v oblasti bezpečnosti. Podle průzkumu pouze třetina respondentů uvádí, že jejich zaměstnanci jsou vybaveni náležitými dovednostmi, díky kterým mohou případné bezpečnostní problémy řešit.

skoleni_15_4

Učit se vnímat nebezpečí

„Finanční instituce jednoznačně vykročily správným směrem, aby tato úskalí překonaly,“ uklidňuje Petr Brich ze společnosti Deloitte. Podle něj je potřeba klást důraz na školení v oblasti bezpečnosti a zvyšování povědomí o bezpečnostní problematice. Prostředí bezpečnostních hrozeb se stále vyvíjí, mění a zdokonaluje a jen včasná prevence může zmírnit dopady krádeže identity v prostředí IT.

Je potřeba spolupracovat. Banky by měly být vstřícnější ke klientům a převzít minimálně morální odpovědnost za vzdělání svých uživatelů internetového bankovnictví. Stejně tak uživatelé internetového bankovnictví by si měli všímat, co se děje v jejich počítači. Ani dveře od vlastního domu si přece nikdo nenechá jen tak otevřené.

Prošli jste v zaměstnání bezpečnostním IT školením pro práci s internetem?

Byl pro vás článek přínosný?

Autor článku

Autor pracuje jako pojišťovací poradce.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).