Hlavní navigace

Tomáš Hládek, ČBA: Na internetu se musíme chránit. Po ulici také nechodíme s otevřenou peněženkou

Autor: Depositphotos

Jak si vytvořit silné heslo? Možná vás překvapíme. Mnoho Čechů se totiž na internetu dostatečně nechrání. Jejich chování pak připomíná procházku s otevřenou a nataženou peněženkou, kdy každému ukazují, jak na tom jsou.

Doba čtení: 12 minut

O kybernetických rizicích se v poslední době mluví stále častěji. Lidé si dostatečně nechrání svá data, mobilní telefony apod. a následně se diví, že jim šikovný útočník vybílil účet do nuly. Vyzpovídali jsme proto Tomáše Hládka, odborníka na kybernetickou bezpečnost v České bankovní asociaci.

Jak se díváte na opatrnost Čechů při ochraně svých dat?

Mnoho lidí si z mého hlediska neuvědomuje, jak moc jsou neopatrní. Po ulici také nechodí s otevřenou peněženkou a na potkání ji všem neukazují a neříkají, kolik mají peněz. Na sociálních sítích jsou ale lidé ochotni zveřejnit kde co a neuvědomují si, že díky tomu se dá mnoho věcí zjistit. A pokud navíc patří mezi ty, kteří mají jedno heslo všude, tedy na Facebook, do internetového bankovnictví a do e-mailu, tak se nemohou divit, že jim někdo zcizí nějaké peníze z banky a banka mu nic nevrátí.

Jsou banky v posuzování přísné?

Banky dnes případ od případu posuzují, jak k odcizení došlo. Když se kdysi dostal případ k finančnímu arbitrovi nebo k soudu, tak před řekněme 10 a více lety soudci sami nevěděli, jak to technicky funguje. Rozhodovali proto spory ve prospěch klienta s tím, že je chudák on a banka mu měla nástrahy moderních technologií lépe vysvětlit. A ať tedy banka platí za škodu. To už dnes neplatí. Každý případ se posuzuje individuálně, a pokud se zjistí, že při použití karty figuroval PIN či při otevření internetového bankovnictví heslo, tedy že útočník nějak tyto údaje zjistil, ať už přes Facebook, e-mail, nabouráním se do účtu, tak k náhradě škody ze strany banky nedojde, protože klient byl zjevně neopatrný.

Tomáš Hládek

Tomáš Hládek

Tomáš Hládek vystudoval elektrotechnickou fakultu ČVUT a působil téměř 30 let na různých manažerských pozicích v České národní bance. Více než 10 let pracoval jako ředitel Sekce peněžní a platebního styku, kde byl odpovědný za vydávání hotovosti, za ochranu peněz a jejich oběh a za politiku, vývoj a fungování různých platebních a zúčtovacích systémů.

Z pozice poradce guvernéra ČNB se v roce 2013 přesunul do České bankovní asociace. Zde má na starost koordinaci činnosti Komise pro platební styk, otázky kybernetické bezpečnosti a různé IT projekty.

Vedle toho působí jako externí poradce MMF, je členem představenstva Evropské rady pro platební styk (EPC) a taktéž přednáší na různých univerzitách.

Ve volném čase se věnuje rodině, zahradě, starým autům a hudbě.

Jaké další neopatrné chování u lidí pozorujete?

Přes mnohá varování a upozorňování se stále najdou lidé, kteří si nechají „napadnout“ počítač nebo smartphone nejrůznějšími e-maily s přílohou, které se tváří jako něco důležitého. A e-mail se samozřejmě tváří, jako že je od známého člověka. Dnes není tak složité zkamuflovat adresu někoho jiného, aby se tvářila jako opravdová. Člověk musí být velmi opatrný.

Nebo stahují neautorizované aplikace z různých zdrojů místo z těch oficiálních, tedy Google Play, App Store apod. Tam, když se nahrává nějaká aplikace, tak je prověřena, jestli neobsahuje nějaké „blechy“, viry, které by na pozadí telefonu mohly sledovat vaši aktivitu a pak škodit.

Mnozí lidé si navíc často svá hesla ukládají do počítače či do smartphonu, aby je už podruhé nemuseli zadávat. V počítačích, ale i smartphonech ale existuje určitá zóna, kde jsou tato hesla uložena. A to je místo, kam se hackeři, tedy ti, kdo se snaží k našim datům dostat, jdou podívat jako první. A najdou hesla do Facebooku, e-mailu, internetového bankovnictví a dalších.

A i když se v počítači uložila jen nějaká hesla, tak zkusí tato hesla aplikovat i jinde. Zkusí se přihlásit do internetového bankovnictví pod e-mailem, který právě odcizili, a zkouší, jestli to vyjde.

Ukládáte si vy někdy svá hesla někam?

Ne, nikdy bych si heslo k internetovému bankovnictví nikam neuložil. PIN si také nemáte nikam psát. Hesla si neukládám ani na domácím počítači.

Pravidelně si navíc hesla měním. Jsem na to zvyklý z ČNB, kde jsem léta pracoval. Tamní interní systém vynucoval, aby se každý měsíc heslo měnilo.

Někteří lidé sice hesla mění, ale pořád může být nebezpečné.

Nemohou používat jako heslo své jméno, jméno dětí, partnerů nebo heslo, které obsahuje datum narození. V žádném případě. Až se útočník dostane k jejich Facebooku, uvidí, že partner se jmenuje třeba Václav a je ročník 1980. Tak zkusí heslo „Vaclav1980“. Nebo jinou kombinaci, při které využijí informace, které jsou o nich jednoduše dostupné.

Hesla se mají vymýšlet úplně jinak.

Máte na to vlastní postup?

Používám jednu pomůcku. Vezmu si třeba nějakou básničku nebo písničku, kterou znám. Například „Skákal pes přes oves“. A z té vezmu první písmeno z každého slova, takže mám heslo „Sppo“, což je zcela náhodná kombinace písmen, kterou útočník jen tak lehce neodhalí.

Má to jen jednu podmínku: musíte vědět, že to nebyla písnička „Pec nám spadla“, ale „Skákal pes přes oves“. Při pravidelné změně hesla se pak musí celé heslo tvořit znovu. Pokud se změní jen jeden či dva znaky, nejde o zcela nové heslo a útočník by si ho opět mohl odvodit.

Je tedy riskantní si na Facebook či jiné sociální sítě dávat své datum narození?

Ano, vždyť co je komu do toho.

Co dalšího lidé na sociálních sítích sdílí a může to být potenciálně nebezpečné? Zneužít se dá prakticky cokoli.

Přesně tak. Odborně tomu říkají sociální inženýrství. Jde o speciální softwarové nástroje, které z různých zdrojů zjišťují, kdo jsou vaši přátelé, kam jezdíte na dovolené, jaké máte zájmy, co se vám líbí. A z toho si odvodí i to, že vaše heslo by mohlo vycházet ze značky vašeho kola.

Úplně nejbezpečnější je nemít žádnou digitální stopu, což je dnes pro mnoho lidí samozřejmě nereálné.

Jak moc lidé zásady bezpečnosti dodržují?

Z našeho pravidelného průzkumu vyplývá, že tzv. index bezpečnosti je posledních 5 let téměř stejný. Nelepší se to, ale na druhou stranu se to ani výrazně nehorší. Lidé si uvědomují, že dnes je spíše pravděpodobné, že je nikdo nepřepadne na ulici, ale spíše se jim pokusí ukrást peníze elektronicky.

Na druhou stranu je ale velké množství těch, kteří si to vůbec nepřipouštějí. Myslí si, že peníze jsou zabezpečeny v bance, tak to stačí.

Má nějaký vliv na přístup k zabezpečení i věk či vzdělání?

Rozhodně. Průzkumy ukazují, že s vyšším vzděláním a nižším věkem se bezpečnost zlepšuje. V rozmezí 25–50 let je situace nejlepší.

Mladší generace si problémy často vůbec nepřipouští a starší generace je naopak v situaci, kdy se na ně nahrnulo mnoho nových technologií. Něco tedy používají, ale spíše tuší, než vědí jak.

Co myslíte, že lidi přinutí k té změně a začnou bezpečnost řešit?

Částečně je to osvěta. V oblasti bankovnictví ale nemají jinou možnost, banky je k tomu prostě donutí. I poslední evropská směrnice o platebních službách trvá na dvoufaktorovém ověřování, pokud nejde vyloženě o mikroplatbu. A kromě dvoufaktorového ověření při autentizaci, tedy při přihlašování do internetového bankovnictví, je vyžadována i autorizace plateb, tedy potvrzení nějakým kódem, že opravdu chcete provést tuto platbu.

Samozřejmě to ale může být i špatná zkušenost, ať už jejich, nebo někoho v jejich okolí.

Jak velká množina lidí tuto bezpečnost vůbec neřeší?

Většina se o bezpečnost zajímá, ale více než třetina to neřeší. A se zvyšujícím se věkem a nižším vzděláním jsou ta procenta vyšší.

A to ještě vycházíme z toho, že nám to ti lidé přiznali. Někteří vědí, že by měli používat určité prvky zabezpečení, ale nedělají to z pohodlnosti. Při průzkumech se ale tváří, že samozřejmě zásady bezpečnosti dodržují.

Čím se podvodníci snaží vylákat z obětí peníze či hesla?

E-mailové spamy jsou stále populární. E-maily typu „vyhráli jste milion“ apod. jsou stále rozšířené.

Výjimkou ale nejsou ani krádeže hotovosti. Podvodníci využívají i důvěřivosti starých lidí. Vytipují si podle Zlatých stránek osobu se jménem, které už dnes není běžné, a předpokládají, že jde o starou babičku. Té pak zavolají s tím, že jí volá vnouček, který zůstal trčet na dálnici a potřebuje hotovost. Ale že nemůže přijet on, tak posílá kamaráda. A babička jde, vybere peníze a dá je cizímu člověku. Aniž by si ověřila zpětným zavoláním, že jí opravdu volal vnuk. Tito lidé jsou důvěřiví a vidí jen to, že jejich blízký je v nesnázích. Nezamyslí se, k čemu by měla být komu jakákoli hotovost na dálnici.

To jsou ale staré známé triky.

Vždycky se najde někdo, kdo na tyto triky naletí. Snažíme se, aby v případě, že se stane někomu malér, se to ihned řešilo a dostalo na stůl někomu kompetentnímu z řad Policie ČR. Ale je to složité. Snažíme se ale i v této oblasti spolupracovat s policií jak v oblasti prevence takových nekalých praktik, tak i při jejich vyšetřování.

O prevenci se samozřejmě starají i banky. Správný bankéř by měl znát svého klienta a může se zeptat, na co chce stará babička všechny peníze najednou vybrat. A až mu babička poví celý příběh, může ji alespoň znejistit, doporučit, aby si zavolala na vnukovo číslo a ověřila si, že opravdu peníze potřebuje.

Jsou podvodníci inovativní, nebo si vystačí s těmito triky?

Určité inovace tu jsou. Nejúčinnější je kombinace starého způsobu vylepšeného tak, že vypadá pravděpodobně.

V roce 2017 tu byla vlna podvodných e-mailů s hlavičkou České pošty. V předmětu e-mailu bylo „Doručujeme vám balíček, podrobnosti v příloze“. To, že vám někdo bude doručovat balíček, je běžné. Sice jste si nic neobjednala, ale třeba vám někdo něco posílá. V podvodném e-mailu se pak psalo, že podrobnosti jsou v příloze, kterou mnoho lidí otevřelo, čímž si do počítače stáhli nějaký virus, který opět na pozadí dělá neplechu, sleduje vaši aktivitu nebo jde do zóny s hesly.

Jinou cestou je založení podvodného e-shopu. Takový, který prodává krásné věci a velmi levné, nezvykle pod cenou. A lidé se chytnou, objednávají jak o život. Při platbě vás pak přesměrují na platební bránu, která je ale podvržená. A vy zadáte údaje k platbě. Adresu platební brány si už každý nezkontroluje. Tam však musí být vždy uvedena adresa banky či provozovatele, který má k takové činnosti oprávnění. Taková adresa začíná písmeny „https“, která říká, že se jedná o zabezpečenou komunikaci v internetové síti, kdy je ověřeno, kdo s kým komunikuje.

Hackeři jsou ochotni si i založit účet v českých bankách, aby si sami vyzkoušeli, jaké bezpečnostní prvky banka vyžaduje, a věděli, jak ji napodobit.

Hrozí, že pak zabezpečení prolomí?

Většinou se hackeři dostanou k jednotlivcům. Banky do své elektronické obrany v posledních letech investovaly poměrně vysoké částky. V systémech existují zóny, do kterých se útočník nedostane. To už jsou technická řešení, kdy banka musí dát možnost, aby k ní někdo zvenčí elektronicky přistoupil a zadal potřebné instrukce, ale ta místa, kde se tyto instrukce provádějí, jsou od vnějšího světa oddělena.

Hacker se možná dostane do prostředí okolo, ale nedostane se do vlastního systému, ze kterého by mohl získat více informací nebo systém shodit. Takže když už se hacker dostane do jednoho účtu, neznamená to, že má možnost se dostat do druhého.

Stal jste se vy sám někdy terčem kybernetického útoku?

Nestal. Samozřejmě mi chodí spamy a podvodné e-maily, jako každému, ale já to vůbec neotvírám. A dodržuji i další „pravidla“. Nikdy bych se například z internetové kavárny či nějaké veřejné nezabezpečené Wi-Fi sítě nepřihlásil do internetového bankovnictví, je to příliš riskantní. Pravidelně si měním hesla a tak dále.

Co byste doporučil těm, kteří chtějí mít internetové bankovnictví, i banku v mobilu, ale chtějí se chovat bezpečně?

Měli by vědět, jestli a jak mají svůj mobil a počítač zabezpečený. Stále existuje dost lidí, kteří to nevědí a u mobilu to ani neřeší. To je jako ta otevřená peněženka.

Mnoho lidí si neuvědomuje, že smartphone je výkonný počítač. To, co je uvnitř, by se před třiceti lety nevešlo do místnosti 10×3 metry. A to, že umí telefonovat, je drobnost, podružnost. Dříve to bylo tak, že telefon uměl hlavně telefonovat, pak uměl posílat i nějaké zprávy a postupně se tato zařízení uměla i připojit k internetu. Dnes má mobilní telefon mnoho funkcí a k tomu navíc umí i telefonovat.

Hesla doporučuji si nikam nepsat a pravidelně měnit, třeba i podle nějakého klíče, který zná jen ten člověk. A nesmí to mít žádné spojení s danou osobou či koníčky, aby se to nedalo jen tak vydedukovat.

Ani PIN si nikam nepište. Banky mají zkušenosti i s tím, že jsou lidé schopni si PIN napsat i přímo na platební kartu. Důležité je i rozhlížet se u bankomatu, že nám nikdo nekouká přes rameno. To také plno lidí nedělá.

A samozřejmě ztrátu karty okamžitě hlásit. Od té doby vám banka musí nahradit škodu, která by po nahlášení vznikla.

Jak se díváte na moderní způsoby platby, jako jsou platební nálepky, NFC nebo platbu hodinkami?

Velmi shovívavě. Nálepka značí jen to, že informace, které normálně dává karta, teď dává jiné zařízení. Ale je to vždy navázané na kartu.

V budoucnu očekávám nové možnosti, například platby v reálném čase, kdy vám ze svého mobilu pošlu peníze a vám váš mobil okamžitě oznámí, že vám přišly. A tam nebude figurovat karta, jen speciální aplikace. A takové platby budou probíhat okamžitě, 24 hodin denně.

Jak jsme na tom z hlediska kyberbezpečnosti ve srovnání se zahraničím?

Nedá se říct, že bychom v oblasti bezpečnosti na tom byli výrazné lépe či hůře než lidé v zahraničí. Spíše se liší standardy, podle kterých jednotlivé státy určují, co je bezpečné a co nikoli.

Dříve třeba bylo ve Velké Británii běžné, že jste si šla koupit například knihu a platila jste 80 liber, tak jste na pokladně řekla, kde máte účet, jaké je číslo vašeho účtu a podepsala jste jim účtenku. A oni si vyinkasovali peníze z účtu. Bez ověření, jen na základě toho, že jste dala souhlas svým podpisem. Kdokoli by tedy znal číslo vašeho účtu a váš podpis, mohl nakupovat na váš účet. Tamní odborníci se velmi divili, proč něco takového neumožňujeme u nás, že přece nejde, aby to někdo zneužil, protože by to přece bylo nelegální.

Někteří lidé ve snaze chránit svůj účet přistupují k poněkud zvláštním opatřením. Jeden čtenář nám popisoval, že zásadně neprovádí bezhotovostní platby nad nějakou částku, např. nad 20 000 Kč. Peníze místo toho vybere a vloží na účet dané banky. Údajně tím zamezí digitální stopě a tomu, aby si ho hackeři vytipovali a zaútočili na jeho účet.

Pokud se hacker dostane k informacím o nějakém účtu, tak je to díky tomu, že prolomil heslo klienta. Ale rozhodne si nepřečte, jaké informace proudí třeba mezi bankou a Českou národní bankou, jejíž systémem je zajišťováno mezibankovní zúčtování. Taková komunikace je vysoce zabezpečena a šifrována. Komunikují spolu systémy, které se vzájemně znají a kontrolují.

Když už se hackeři k účtu daného klienta dostanou, stejně uvidí, že peníze někdo vyčerpal a vybral. Pro ně je nezajímavé, jaké peníze odkud tam putovaly.

diners_2.3.

To už spíše hrozí, že si ho vytipují podle toho, že má pěkný dům a vypadá bohatě.

Děkuji vám za rozhovor.

Našli jste v článku chybu?