Okované truhly, pokladny, trezory a dnes bankomaty lákaly a lákají zloděje. To je známá věc. Pokušení je tak velké, protože v uvedených schránkách bylo nebo je možné nalézt peněžní hotovost. Žádné zboží, které se musí komplikovaně prodávat, ale peníze, které je možné hned použít pro své obohacení.
V internetovém bankovnictví je to velmi podobné, i zde jsou hotové peníze, i když jsou v dematerializované podobě, vyjádřené číslem v databázi klientských účtů. To ale znamená, že podobně jako o pokladnu či trezor se dříve nebo později budou o účty obsluhované přes internetové bankovnictví zajímat novodobí kasaři.
Odolá internetové bankovnictví?
Jsou konstrukce internetových bankovnictví a jejich provoz tak dokonalé, aby odolaly novodobým kasařům? Otázka, na kterou je možné získat mnoho různých a často i protichůdných odpovědí a na každé z nich bude kus pravdy. Internetové bankovnictví je ale především první službou, prostřednictvím které se přenášejí hotové peníze a kde se současně střetávají pohledy informatiků, bankéřů a běžných non-IT uživatelů.
Právě na přístupu k bezpečnosti a s tím spojeným řešením případných sporů je názorně vidět propastný rozdíl v pohledu na tuto oblast. Informatici společně s projektanty a některými (pouze některými) odborníky na bezpečnost internetových aplikací se zaměřují na použitý typ operačního systému, aplikačních programů, způsobů šifrování včetně délky klíčů a další s tím související technické věci.
Běžnému uživateli jsou tyto a podobné technické věci cizí. On očekává uživatelsky přívětivou aplikaci a pod pojmem bezpečnost si představuje především to, že peníze, které po zadání své poslední transakce nechal na svém bankovním účtu, tam při dalším přihlášení opět nalezne.Běžný uživatel nemá mnoho informací o nejnovějších tricích, které používají počítačoví zloději. Tento uživatel prostě spoléhá, že služba, přes kterou obsluhuje svůj bankovní účet, je odolná proti útokům počítačových zlodějů a že banka dokáže rázně zakročit proti takovým útočníkům.
Případy z ČR i zahraničí dokládají, že to nemusí být vždy pravda. Kámen úrazu je v tom, jak se zúčastněné strany postaví k řešení problému.
Shrnutí závěrů studie naleznete v článku Ondřeje Antoše „Představuje přímé bankovnictví riziko pro vaše peníze?“.
Vývoj od roku 2000 ukázal, že vykrádání účtů přes internetové bankovnictví není žádné sci-fi a čas od času opravdu dochází k vykradení bankovního účtu přes tyto nové komunikační kanály, přestože klienti měli počítače zabezpečeny podle požadavků banky. Těch případů není zatím mnoho, což může na oko vyvolávat dojem, že nejde o nic vážného. Jeden či dva případy za rok, to se „nějak“ zvládne. Jenže banky v případech, které jsem pomáhal šetřit, nebyly schopny analyzovat ze svých informací o provedených transakcích, co byla platba zadaná klientem a co byla platba, kterou „jako“ klient provedl podvodník.
Nejhorší na těchto případech bylo, že banky odmítaly s poškozenými klienty vůbec spolupracovat. Klienti museli pracně prostřednictvím Policie ČR a Finančního arbitra dokazovat, že byli okradeni vinou slabiny ve službě, kterou jim za úhradu poskytuje banka.
Co je to „bezpečné internetové bankovnictví“?
Technicky je dnes možné vytvořit mnoho variant, jak se přihlašovat do internetového bankovnictví – od prostého přihlašování s použitím jména a hesla přes použití elektronického podpisu až po ověřování klienta podle otisku prstu. Každá z těchto a mnoha dalších variant má své klady a své zápory. Vždy se ale jedná o změnu pouze v technické části aplikace, jenže skutečná bezpečnost, to nejsou pouze čipové karty, snímače otisků a další podobné technologie.
Orientace pouze na technologie je velmi zrádná a může se vymstít. Ono se totiž může stát, podobně jako se to stalo již s digitálními certifikáty určenými pro tvorbu elektronického podpisu, že se v blízké či vzdálenější budoucnosti objeví způsob, jak takové technické zabezpečení obejít a jménem oprávněného klienta převést peníze.
Než vést neustálý souboj s počítačovými podvodníky v technologické rovině, je lepší a v celkovém součtu i ekonomicky výhodnější změnit pohled banky na oblast bezpečnosti internetového bankovnictví.
Rozhodně se nedomnívám, že všichni klienti jsou svatí a myslí to s bankou dobře. Mnoho podvodníčků zkusilo manipulovat s papírovými platebními příkazy i s platebními kartami, takže není důvod myslet si, že to nebudou zkoušet i v prostředí internetového bankovnictví.
Na druhou stranu by si banky měly uvědomit, že internetové bankovnictví je jejich služba, kterou provozují. Mimo jiné se jedná o službu, která bankám výrazně pomáhá snižovat náklady na provedení jednotlivých bankovních transakcí. Selhání takové služby a neuspokojivé vyřešení reklamace může ale poškodit důvěru v tento způsob komunikace a poškodit dobré jméno banky.
To znamená, že je minimálně velmi nezdvořilé, když banka řekne klientovi, že účet vykradený přes jejich verzi internetového bankovnictví je pouze jeho problém. Přijetí odpovědnosti za poskytovanou službu může v některých lidech v bankách vyvolávat obavy z obrovské vlny reklamací a s tím spojených nákladů.
Podle mne je tato obava lichá. Žádný klient jen tak z nudy nebude zkoušet reklamovat transakce provedené přes internetové bankovnictví. Dalším důležitým faktem je to, že bankovní informační systémy poskytují tolik informací, že je možné s jejich pomocí odlišit korektní operaci od podvodné. A v neposlední řadě by mohl být nepoctivý klient stíhán za podvod v případě, že by se šetřením prokázalo, že si peníze „ukradl“ sám nebo byly převedeny na účet někoho z jeho blízkých.
Bezpečnost internetového bankovnictví není v žádné případě úkol pouze pro informatiky, jak by se na první pohled mohlo zdát. Informatici jsou ti praví, kteří nainstalují a budou provozovat internetové bankovnictví, ale jak, to by měli určit bankéři, protože jde především o převody peněz a důvěru v jejich bankovní služby. Fakt, že se to děje s použitím počítače a sítě Internet je až druhořadá informace.
Uživatel si musí dávat pozor
Někdo může namítnout, že si má běžný uživatel dávat pozor. Banky argumentují dnes velmi často tím, že ony mají svoji část (servery) a případně přenosovou linku zabezpečenu a co se děje na počítači klienta, je pouze jeho problém.
Jistě, klient má mít počítač řádně zabezpečený, nenavštěvovat podezřelé stránky, neotvírat podezřelé přílohy v e-mailu apod. Jenže jak řešit případy, kdy se klient opravdu chová obezřetně a přesto jej nějaký, do té doby neznámý škodlivý kód „přechytračí“? V současnosti prakticky není týden, aby se v médiích nebo na specializovaných webových stránkách neobjevila informace o další slabině v nějakém počítačovém programu nebo informace o dalším počítačovém podvodu.
V současnosti jsou čeští uživatelé částečně chráněni tím, že používáme svůj vlastní jazyk. Použití háčků a čárek může být pro případné podvodníky ze zahraničí překážka, kterou by museli úspěšně překonat a teprve následně u nás začít hledat svoji oběť. Ale jak ukázal případ s falešným e-mailem od Citibank, tak i specifika českého jazyka je možné zvládnout.
Falešné e-maily od Citibank byly prvním, dost amatérsky provedeným pokusem, je ale otázkou, jaká bude situace za několik týdnů či měsíců. V případech podvodných přesměrování do sítě Internet (dialery) se mimochodem jednalo o mezinárodní síť, jejíž organizátoři nalezli v ČR zdatné „spojence“ a podvod „vyzkoušený“ v jedné zemi začali zkoušet v celé EU.
Policejní akademie a rootkit od Sony BMG
V souvislosti s nepozorovaným proniknutím do počítače, nebo dokonce do velké skupiny počítačů, se mi vedle již uvedených dialerů často vybaví zápletka z americké bláznivé komedie Policejní akademie. Možná někoho napadne, co má společného tak seriózní obor, jakým dozajista je bezpečnost počítačových systémů, s bláznivou komedií? Na první pohled nic, jenže v jednom z dílů mají absolventi policejní akademie v Moskvě zlikvidovat mafiána, který se snaží prostřednictvím vydírání počítačového programátora dostat do počítačové hry trojského koně a jeho prostřednictvím ovládnout svět. Na první pohled zápletka hodná bláznivé komedie, jenže již na druhý pohled si každý trochu znalý uživatel a informatik musí uvědomit, že vlastně v tuto chvíli neexistuje jakákoliv kontrola počítačových programů, a mohlo by se tedy klidně stát, že se objeví skutečný mafián, který se pokusí prostřednictvím ovládnutí nějakého rozšířeného programu získat přístup k velké skupině počítačů.
Fakt, že je to možné, prokázala v loňském roce společnost SONY BMG, když na své CD disky instalovala program na ochranu proti neoprávněnému kopírování těchto disků. Ve skutečnosti ochranný program obsahoval zadní vrátka, která následně začaly zneužívat počítačové viry. Podle informací firem, které se zabývají ochranou před počítačovými viry, bylo tímto programem zasaženo několik stovek tisíc počítačů.
Prostředí Internetu a dalších přímých kanálů se mění. Mění se způsoby, jak se mohou do klientských počítačů dostat škodlivé programy a tam jim odcizit uživatelovu počítačovou identitu. Vedle neustálé osvěty a rozšiřování znalostí jednotlivých uživatelů je nutné stále věnovat velkou pozornost i bezpečnosti a důvěryhodnosti internetového bankovnictví a dalších aplikací provozovaných přes internet.
Ještě před několika lety vypadaly jako sci-fi informace o počítačových virech, které jsou vytvořeny přímo na míru a určeny pro napadení několika málo počítačů. Dnes je to realita, a pokud někdo dokáže vytvořit škodlivý program, který se dostane do cizího počítače, tak tento autor jistě dokáže udělat i to, že takový program se po splnění úkolu sám odinstaluje. V takovém případě se na počítači klienta nemusí ani při velmi podrobném zkoumání zjistit žádné podezřelé informace. Pak existuji v zásadě dvě cesty pro další vyšetřování.
První a nejjednodušší řešení je prohlásit, že za všechny problémy si může klient. Sice používal antivirový program a personální firewall, ale to, že tato zařízení nedokázala zabránit činnosti škodlivého kódu, je jeho problém. Dnes tento způsob mnoho telekomunikačních firem v případě dialerů a bank v případě vykradených účtů používá. Vzhledem k malé zkušenosti se skutečnou počítačovou kriminalitou jim to zatím prochází. Je pouze otázkou času, kdy se začnou poškození klienti spojovat a budou, ať již přes právníky, média nebo zkušené státní úředníky, žádat změnu a náhradu škody.
Co nás čeká?
Bezpečnost počítačů a počítačových aplikací provozovaných přes internet, to je a bude nekonečný příběh. Po zdokonalení systému se za čas objeví nová skulinka, kterou by bylo možné se za určitých podmínek dostat k penězům na cizím účtu.
Provozovatelé internetového bankovnictví mají proti počítačovým podvodníkům jednu nevýhodu. Bankéři, provozovatelé internetového bankovnictví, musí ohlídat peníze na všech účtech, podvodníkovi stačí, když vybere peníze z jednoho.
Na druhou stranu mají ovšem bankéři a jejich interní vyšetřovatelé rozsáhlé zázemí banky, a to jak v rovině IT oddělení, tak také v oblasti právní a obchodní. Pokud tyto možnosti dokáží využít skutečně naplno, mohou vytvořit takové podmínky, že i internetové bankovnictví, ve kterém se používá pro přihlášení pouze jméno a heslo, může být pro klienty bezpečné a současně by taková aplikace mohla být postrachem pro všechny počítačové podvodníky.
I když již několik let hovořím a píši o slabinách v internetovém bankovnictví, tak to rozhodně neznamená, že bych tyto služby úplně zavrhoval. To rozhodně ne. Pouze se snažím, dokud je čas, upozornit na rizika, která jsou nová a není možné pro jejich eliminaci používat klasické postupy ověřené v běžném (non-IT) životě. Bezpečnost aplikací provozovaných prostřednictvím sítě internet není možné úspěšně řešit pouze v technické rovině s použitím nejrůznějších zabezpečovacích „vychytávek“.
ČLÁNKY DO MAILU