V pondělí 4. května 2015 vyšel v MF DNES velký článek Bankovní účty v ohrožení: mafie se v Česku učí krást a podobné články se objevují i jinde.
Již v roce 2003, konkrétně 15. 4. 2003, jsem vydal zprávu věnovanou internetbankingu. Tehdy i dnes tvrdí banky a jejich partneři z některých IT firem, že nejslabším článkem jsou klienti. Banky a někteří IT konzultanti říkají, že platící uživatel je hrozbou pro jinak dokonalý systém internetového bankovnictví. To je absurdní a chybný názor.
Klient svěřil bance své peníze, banka mu nabídla službu internetového bankovnictví a následně banky a jejich IT Security poradci tvrdí o platících zákaznících, že jsou hrozbou pro jejich službu. Proč tedy banka takovým klientům internetové bankovnictví nabízí?
České banky přenášejí odpovědnost na slabšího
Již v roce 2003 jsem jasně hovořil o tom, že internetbanking je služba banky. Klient svěřil bance své peníze a ona je povinna klientovi tyto peníze ochránit. Banky to jsou schopné zajistit v případě obsluhy uživatele na přepážce. S problémy, ale funguje to v případě platebních karet, takže to musí fungovat i v případě internetového bankovnictví.
Skutečnost, že banka si je vědoma své povinnosti ochránit klientovi peníze, je běžná všude v civilizovaném ve světě. Například v USA, Kanadě nebo Velké Británii vydávají banky garance pro uživatele internetového bankovnictví. Jak je zřejmé například z veřejného prohlášení a garancí banky Barclays, garancí Wells Fargo či z garancí TD Bank, tyto banky a další v USA, Kanadě a Velké Británii jsou si plně vědomy své odborné a společenské odpovědnosti. Banky si uvědomují, že běžný uživatel má své limity, jak v oblasti znalostí z bankovnictví, tak v tomto případě především v oblasti IT a bezpečnosti IT. V zahraničí to funguje, tak proč ne v České republice?
ICT technologie nejsou dokonalé, ale tato situace je víceméně stejná nebo velmi podobná ve všech zemích. Problém není ani v zájmu počítačových podvodníků. Pro ně je zajímavější anglicky mluvící prostředí od Kanady přes USA, Velkou Británii, JAR až po Austrálii. I znalosti běžných uživatelů jsou ve všech zemích dost podobné.
Hlavní problém je v atmosféře, která okolo IT a bezpečnosti IT za posledních 10–15 let v ČR vznikla. To vyslovuji s naprostou vážností a s 20 lety zkušeností z oboru ICT bezpečnosti v ČR.
Když jsem v roce 2003 vydal svoji předchozí zprávu věnovanou bezpečnosti internetového bankovnictví, vyjádřil se k mému prohlášení zástupce IT firmy a pan profesor a soudní znalec v oboru IT. Odmítavý postoj zástupce IT firmy naprosto chápu, jeho zájmem je udržet si obchod a generovat zisky. V případě pana soudního znalce v oboru počítačové kriminality byla a je situace složitější. Pan znalec mne tehdy obvinil z toho, že jsem chtěl svým prohlášením poškodit dobré jméno českých bank. Paradoxní na celé situaci je skutečnost, že od té doby uplynulo 12 let, banky se s problémy nedokázaly úspěšně vypořádat a odpovědnost přenášejí na toho nejslabšího. (Pozn. red.: Šlo o Vladimíra Šišku, bývalého náměstka ministra práce a sociálních věcí, který byl následně obviněn z trestné činnosti.)
Společenská odpovědnost bank
Pokud by si banky plně uvědomovaly svoji společenskou odpovědnost, mohly za uplynulých 12 let v oblasti ICT bezpečnosti mnoho změnit. Stačilo by například sebevědomé jednání s dodavateli SW, případně nastavení obchodních podmínek podobně jako u Barclays nebo WF. To se nestalo.
Banky se v České republice drží svých původních názorů z roku 2003 a starších. Od té doby se hodně změnilo v oblasti ICT, nastoupily chytré telefony a zdokonalily se i útoky počítačových podvodníků. Nezměnil se přístup tvůrců SW a nezměnily se a těžko se změní možnosti a schopnosti běžných uživatelů. Banky v zahraničí to dávno pochopily a jasně prohlásily, že si jsou vědomy své odpovědnosti za provozovanou aplikaci.
Již v roce 2003 jsem poznal, že členové představenstev bank byly především bankéři a v případě IT a internetbankingu velmi spoléhali na rady svých podřízených nebo externích poradců. Což je částečně v pořádku. V mnoha jiných oblastech je jasný tlak na náklady a na měřitelné výsledky. Takový přístup v případě ICT zakázek a tedy i internetbankingu často chybí a CEO se spokojí s názorem, že jinak to není možné udělat, že je problém v uživatelích a podobně.
Ve skutečnosti je tvorba software exaktní obor, kde je možné vše jasně popsat a následně i kontrolovat. Za uplynulých 12 let od prvních vykradených účtů přes internetová bankovnictví se dalo mnoho věcí vyřešit. To se nestalo a nedá se to již vrátit. Otázkou pro dalších 12 let zůstává, jak se k problémům s bezpečností ICT oboru budou dál banky stavět. Banky jsou provozovateli rozsáhlých aplikací, ve kterých je kladen velký důraz na spolehlivost a bezpečnost. Ostatní firmy a úřady berou přístup bank k moderním technologiím a s nimi spojenými problémy jako svůj vzor a inspiraci.
Řešení existuje
Řešení není v nové krabičce (tedy v hardwaru), která lépe ověří identitu uživatele. Řešení není ani v bezplatném antivirovém programu. Obě řešení je nebo v krátké době bude možné obelstít. Základem je změna pohledu na SW a jeho vytváření.
Řešení jsou relativně jednoduchá, i když si to mnoho lidí nechtělo připustit v roce 2003 a o to složitější to bude pro ně dnes.
- Internetbanking je služba banky a ta za svoji službu nese odpovědnost a zodpovídá za to, že ochránění peníze, které jí platící klient svěřil.
- Dalším bodem je skutečnost, že banky budou aktivně pracovat na osvětě mezi uživateli. Prohlášení, že obyčejný uživatel je hrozbou a slabinou nikoho moc nemotivuje.
- Velmi důležitým bodem je také sebevědomý tlak na tvůrce operačních systémů a dalších aplikací.
Poslední doporučení je určené běžným uživatelům a skutečným IT odborníkům:
Je čas odložit obavy a zbytečný respekt z IT a chovat se jako sebevědomý zákazník tak, jak je to běžné v automobilovém průmyslu, potravinářství nebo ve výrobě hraček.
Na takové změně vydělají občané, firmy včetně bank a následně i skutečně dobří dodavatelé ICT řešení.
