Luboš Louda: "Pokusy o prolomení bezpečnosti byly neúspěšné"

Česká spořitelna patří mezi banky s nejvyšším počtem klientů v České republice. Kolik vašich klientů využívá internetové bankovnictví a jaký tvoří podíl na celkovém počtu klientů? Rozveďte prosím i s metodikou, podle jaké uživatele internetového bankovnictví a klienty banky počítáte.

Internetové bankovnictví České spořitelny využívá v současné době 560 tisíc klientů, což je přibližně 10,5 % všech klientů banky. Počítáme klienty, kteří si službu zaktivovali, respektive ji alespoň jedenkrát použili. Neznamená to tedy počet uzavřených smluv, ale skutečně aktivovaných přístupů služby Servis 24 Internetbanking.

Jaký je počet transakcí přes internetové bankovnictví, které vaši klienti uskutečňují?

Pokud vezmeme aktivní i pasivní transakce, tak to je přibližně 2,5 miliónu transakcí za měsíc. Pokud budeme počítat pouze aktivní transakce, jako je zadání platebního příkazu atd., tak je to zhruba 1,5 milionu transakcí za měsíc.

Jak rychle zpracujete zadaný příkaz? Jak dlouho trvá např. zpracování platebního příkazu od zadání příkazu do jeho realizace?

Zpracování transakcí se liší podle typu účtu, podle typu produktu. Některé backendové systémy zpracovávají příkazy okamžitě, některé je zpracovávají jedenkrát denně. Vlastní zpracování po odeslání transakce do koncového systému je však již otázkou několika sekund.

Záleží tedy na tom, zda mám jako klient otevřený běžný účet, nebo sporožirový účet?

Ano, je v tom rozdíl. Rozdíl je právě mezi běžným a sporožirovým účtem. U sporožirových účtů dochází ke zpracování jedenkrát denně a u běžných účtů je zpracování on-line.

Při tak velkém počtu transakcí musí být kladeny velmi velké nároky jak na hardware, tak na software, který internetové bankovnictví zabezpečuje. Jaké systémy stojí v pozadí internetového bankovnictví?

Internetové bankovnictví je provozováno na otevřených platformách, standardně používaných v evropských bankách. Konkrétně na serverech Hewlett-Packard s operačním systémem HP-Unix, aplikačním serveru Bea WebLogic a middleware Bea Tuxedo. Podrobnosti o proxy serverech a dalších systémech bych nerad sděloval, mimo jiné i z bezpečnostních důvodů.

Kolik a jak často řešíte reklamací dotýkajících se internetového bankovnictví a čeho se nejčastěji týkají? Při tak velkém počtu transakcí k nějakým chybám jistě dojít musí.

Ano, počet reklamací souvisí s velkým nárůstem počtu klientů služby Servis 24, která zahrnuje telefonní bankovnictví, internetové bankovnictví a nově i GSM bankovnictví. Vzhledem k tomu, že již evidujeme 1 milion uzavřených smluv služby Servis 24, tak s tím proporcionálně roste také počet reklamací. Počet reklamací, které řešíme, se pohybuje kolem 200 za měsíc.

Jedná se o oprávněné reklamace?

V naprosté většině případů jde o reklamace neoprávněné. Typicky se jedná o neprovedené transakce nebo částečnou nefunkčnost systému. Někdy je to způsobeno neznalostí klienta nebo špatným ovládáním aplikace.

Vyskytly se mezi reklamacemi i nějaké kuriózní případy?

Řadu reklamací přijímá telefonicky naše Klientské centrum, kde se pracovníci setkali s několika kuriózními reklamacemi. Při jedné například vysvětlovali klientovi, kde je na klávesnici mezerník. Nebo když řekli klientovi, aby si otevřel nové okno, tak se zvedl a šel otevřít okno v kanceláři.

Internetové bankovnictví je snadným přístupem k účtu do banky. Snadným nejen pro jeho majitele, ale i pro nepovolané osoby. Jak se proti napadení účtů bráníte?

Otázka bezpečnosti internetového bankovnictví je velmi důležitá. Česká spořitelna nabízí několik úrovní zabezpečení internetového bankovnictví, zabezpečení je vždy víceprvkové a jednotlivé prvky se vzájemně kombinují a doplňují.

Základní metodou je klientské číslo a heslo pro přihlášení do aplikace, to je kombinováno s nastavením maximálního limitu transakcí, navíc je možné nechat si zasílat konfirmační SMS zprávy na mobilní telefon při zadání aktivní transakce, nabízíme také možnost zasílání konfirmační SMS při změně zůstatku na účtu. To je základní metoda.

Novou metodou pak je možnost autorizačních SMS, které se využívají nikoli pro přihlašování, ale pro autorizaci transakcí na účtu. Pokud klient zadá transakci s částkou vyšší, než je jím nastavený limit (maximálně však 20 tisíc korun), tak transakci potvrzuje jednorázovým kódem, který obdrží na mobilní telefon. Tato metoda je moderní a uživatelsky oblíbená.

Při zavádění této metody došlo k jedné poměrně nelichotivé bezpečnostní chybě. I neoprávněný „uživatel“ internetového bankovnictví mohl změnit zasílání SMS zpráv k potvrzování transakcí na svůj mobilní telefon, a tímto způsobem se na cizí účet obohatit. Jak došlo k takovéto chybě?

Já bych nechtěl říkat, že to nebyla z naší strany chyba, ale nebyla zásadního rázu. Novou metodu jsme zaváděli ve více krocích. Jako první krok jsme umožnili klientům nastavení zasílání potvrzovacích SMS zpráv na mobilní telefon, v této fázi nedošlo ke změně jakýchkoli limitů transakcí. Kdyby službu někdo chtěl v tomto momentě zneužít, tak musel znát klientské číslo a heslo klienta, které se nikde nezobrazovalo. Pokud by tedy případný útočník odpozoroval z URL číslo, kterým se může změnit číslo mobilního telefonu, tak by stále neznal základní prvek pro přihlášení – klientské číslo a heslo klienta.

Možnost zneužití chyby byla velice omezená a do jejího odstranění nedošlo k pokusu o zneužití této chyby. Nicméně chyba to byla a byla odstraněna rychle poté, co jsme ji zjistili.

Tímto způsobem se dalo změnit nejen zabezpečení účtu člověka, který ho měl zabezpečený pouze uživatelským jménem a heslem, ale dalo se změnit též zabezpečení čipovou kartou nebo PIN kalkulátorem. V tomto směru tedy ta chyba byla o něco závažnější, než říkáte.

S tímto tvrzením nemohu souhlasit. Pokud klient používal pro přihlášení kalkulátor nebo čipovou kartu, tak při změně zabezpečení této metody nepotvrzoval „contract ID“, které se objevovalo v URL, ale potvrzoval příslušným zabezpečovacím prvkem. Pokud by tedy chtěl například změnit zabezpečení klientským certifikátem, musel by tuto operaci klientským certifikátem potvrdit.

Říkal jste, že v souvislosti s touto chybou nedošlo k pokusu o zneužití. Došlo k nějakým reklamacím v rámci této chyby?

Nedošlo k reklamacím v pravém slova smyslu, tedy k reklamaci transakce, se kterou klient nesouhlasil. Obdrželi jsme ale několik stížností, nebo spíše dotazů klientů, kde popisovali bezpečnostní obavy v reakci na články, které se objevily zejména na internetu.

„Několik dotazů“ znamená řádově desítky, stovky…?

Řádově desítky.

Pokusy o zneužití internetového bankovnictví se dějí všude ve světě, dějí se poměrně často. Jak často je zaznamenáváte vy?

Nemůžeme mluvit o mnoha pokusech, jde spíše o jednotky, ale úspěšný pokus jsme zatím nezaznamenali.

Pokud jsme v minulosti zaznamenali pokus o zneužití internetového bankovnictví, vždy bylo zjištěno zneužití údajů členem rodiny nebo domácnosti. Například manžel provedl transakci, protože měl přihlašovací údaje manželky, ale zapomněl jí to říci.

Žádný případ nebyl tedy takový, že by se někdo snažil prolomit přístup do cizího účtu?

Takové případy také byly, ale nebyly úspěšné. V jednom případě za čtyři roky, kdy se jednalo o poměrně malou částku, jsme nebyli schopni vyšetřit, co se stalo, jak byly peníze z účtu převedeny. Nebyli jsme schopni říci, zda se jednalo o úspěšný útok, nebo o jinou záležitost.

Jak jste tento případ vyřešili?

Ještě před uzavřením šetření jsme klientovi připsali reklamovanou částku ve výši škody zpět na účet. Okamžitě.

Žádný systém zabezpečení není zcela bezpečný, pokud klienti nedodržují základní bezpečnostní zásady. Jestliže někdo nechává čipovou kartu s klientským certifikátem u počítače a na ní si ještě pro jistotu napíše PIN, tak v tom okamžiku je tento téměř dokonalý bezpečnostní prvek zcela nefunkční. V tomto směru je důležitá osvěta u klientů. Sebelepší bezpečnostní prostředek je k ničemu, pokud klient nedodržuje bezpečnostní zásady!

Internetové bankovnictví České spořitelny je dostupné i v méně rozšířených prohlížečích a na minoritních operačních systémech. Přesto se na vstupní stránce při vstupu s jiným prohlížečem než Internet Explorerem neustále zobrazuje informace, že aplikace není optimalizována pro daný prohlížeč. Proč tomu tak je?

Česká spořitelna věnuje podpoře alternativních prohlížečů velkou pozornost od samého počátku. Již od roku 2002 byla naše aplikace s nepatrným omezením funkční kromě MS Internet Exploreru i na řadě dalších prohlížečů (př. Mozilla).

To platí do dnešní doby, kdy je dvojkou na trhu prohlížeč Firefox, na kterém funkčnost internetového bankovnictví také testujeme a aplikace je na tomto prohlížeči téměř plně funkční.

Otázkou je plnohodnotná garantovaná podpora. O tomto kroku uvažujeme, ale problém je v tom, že garantovaná podpora s sebou nese potřebu specialistů například v Klientském centru. Pokud by měl klient problémy s aplikací, tak mu musíme být schopni poradit s veškerým nastavením v daném prohlížeči, musíme testovat všechny funkčnosti do detailu na obou prohlížečích. To si samozřejmě vyžádá dodatečné náklady na naší straně.

Garantovanou podporu prohlížeče Firefox připravujeme, nicméně musím znovu zdůraznit, že podpora alternativních prohlížečů byla pro nás od počátku velmi důležitá. Získali jsme též řadu kladných reakcí na různých diskusních fórech a ještě před dvěma lety jsme byly jednou z mála bank, jejíž internetové bankovnictví bylo přístupné i alternativním prohlížečům.

Uvedl jste, že internetové bankovnictví je v prohlížeči Firefox „téměř plně funkční“. Jaká má omezení?

Ta omezení jsou nepatrná a týkají se drobných grafických odlišností. Například při zobrazení přehledu účtů může dojít k posunům oddělovací grafické linky.

V rámci internetového bankovnictví jsou nabízeny a spravovány též nebankovní finanční produkty. Jak klienti možnost nákupu a správy dalších finančních produktů využívají?

Ano, využívají je. Postupně jsme integrovali do služby Servis 24 Internetbanking produkty většiny našich dceřiných společností a v dnešní době nabízíme produkty Investiční společnosti České spořitelny (majetkové účty a drobné operace na majetkových účtech), Penzijního fondu České spořitelny (smlouvy o penzijním připojištění), Pojišťovny České spořitelny (pojistné smlouvy) a v neposlední řadě i Stavební spořitelny České spořitelny (spoření i úvěrové produkty). Jedná se o produkty uživateli internetového bankovnictví oblíbené a využívá je zhruba 15 % uživatelů služby Servis 24 Internetbanking. Předpokládáme, že tento podíl dále poroste.

Plánujete rozšíření nabízených produktů?

V nejbližší době ne. V současnosti integrujeme již všechny hlavní produkty dceřiných společností. V tomhle směru jsem v porovnání s konkurencí vepředu.

Jaké plánujete další změny či rozšíření internetového bankovnictví?

V nedávné době jsme spustili novou aplikaci internetového bankovnictví Business 24. Už z názvu vyplývá, že je určena především firemním klientům – pro střední a větší firmy.

V aplikaci Servis 24 v nejbližší době připravujeme zasílání výpisů z účtů ve formátu PDF jako alternativu k papírovým výpisům z účtů, chystáme zobrazování zůstatků na účtech kreditních karet a dále akceptaci kvalifikovaných certifikátů, takže budeme přijímat také kvalifikované certifikáty vydané I. CA ke komunikaci se státní správou. Klienti je budou moci využít i v rámci služby Servis 24 Internetbanking.

V delším časovém horizontu připravujeme e-commerce platby prostřednictvím služby Servis 24 Internetbanking. Tím myslím například platby v e-shopech. Dále chceme do internetového bankovnictví včlenit „předprodejní“ a „prodejní“ roli, prostřednictvím které chceme cíleně oslovovat naše klienty s nabídkou určitých produktů. Cíleně, tedy nikoli plošnou kampaní.

Spustili jste novou službu Business 24. V čem se liší od služby Servis 24 Internetban­kingu?

Služba Business 24 je určena především firmám, které provádějí aktivní platební styk, má větší možnosti ve zpracování dávkových příkazů. V této službě je povinný certifikát (digitální podpis) na čipové kartě. A v neposlední řadě obsahuje komplexnější disponentský model, tedy několik stupňů oprávnění disponentů. Na druhou stranu zahrnuje pouze službu internetového bankovnictví, to znamená, že v jejím rámci nenabízíme telebanking ani GSM banking.

Po dřívějším zlevňování transakcí provedených přímými komunikačními kanály a zdražování služeb na pobočkách začínají některé banky zvyšovat ceny za služby poskytnuté přes internet a jiné formy přímého bankovnictví. Chystá Česká spořitelna změny v poplatkové politice? Jaké?

V současné době nechystáme žádné změny sazebníku, které by znevýhodnily klienty využívající přímé bankovnictví.