Ochrana dat při elektronickém platebním styku

Při zváţení hlediska bezpečnosti (důvěryhodnosti) bank je zřejmé, ţe musí neustále hledat lepší a bezpečnější cesty pro přenášená data od a ke klientům a nevyhnou se tím značným částkám vynakládaným na ochranu a vývoj šifrování těchto dat. Pro klienty je více neţ rychlost a spolehlivost důleţitá bezpečnost jejich finančních prostředků!

Zašifrovaná data odeslaná bankou musí mít moţnost rozšifrovat jen správný jedinečný příjemce. K tomu existuje v praxi celé řada bezpečnostních opatření a metod.

Základní formu tvoří uţivatelské jméno a heslo. Uţivatelé mají moţnost stanovit si maximální denní limit odesílaných plateb, přes který je jiţ banka nedovolí uskutečnit další transakci.

Dalším technicky poměrně jednoduchým, ale účinným a hojně dnes pouţívaným nástrojem jsou tzv. přihlašovací SMS zprávy, které banka na vyţádání odešle na klientův mobilní telefon, který je smluvně registrován a lze jej změnit pouze při fyzické přítomnosti klienta na pobočce banky. SMS zprávy jsou jedinečné a pouţitelné vţdy pouze jedenkrát.

Při telefonické komunikaci se pouţívá více prvkového zabezpečení. Identifikační číslo IPPID, PIN a klientské heslo. Při GSM bankingu je moţné vyuţít přímo generovaného PIN aplikací banky uloţené (nahrané) na SIM kartu klientova mobilního telefonu. Vstup do aplikace je zabezpečen zvlášť nejčastěji bankovním PINem = BPIN.

Za zmínění stojí ještě dnes pouţívané avšak na ústupu autentizací kalkulátory, které po zadání potřebných údajů vygenerují jedinečný a časově omezený kód pomocí kterého lze danou operaci uskutečnit.

Nejčastější formou při pouţívání speciálních bankovních PC aplikací (OfficeLine apod.) je elektronický podpis. Jedná se o asymetrický šifrovací algoritmus (RSA), který vyuţívá dvou klíčů na kaţdé komunikační straně, z nichţ jeden je uloţen v PC (nejčastěji na pevném disku počítače, či FDD) a je tajný a druhý, který je certifikován a veřejný. Oba klíče mají omezenu platnost na max. 1 rok.

44

Historický vývoj platebních systémů se značně liší země od země. Navzdory celosvětové globalizaci, kdy jsou dnes bankovní sítě vzájemně propojeny, je mezi nimi velká nestejnorodost. Technický pokrok panuje napříč všemi bankami, bohuţel však pokulhává legislativní rámec, kde nejsou sledovány primární cíle (např. bezpečí či komfort pro uţivatele těchto sluţeb), nýbrţ směr zvyšování počtů transakcí a tím především zisků bank.

Tento úhel pohledu má při zamyšlení svá opodstatnění. Tam kde je to zákonně moţné, totiţ navíc banky přesouvají maximální moţnou míru odpovědnosti za prováděné transakce na klienty. Rozdílnost je patrná např. v USA, kde byla přijata tzv. Regulace E, která jednoznačně určuje odpovědnost za transakce poskytujícím bankám.

Citace: KRHOVJÁK J., LORENC V., MATYÁŠ V., Autentizace a autorizace finančních transakcí: „Ať je současný model v jakémkoliv směru dokonalý, postavíme-li do role útočníka samotného obchodníka, zjistíme, ţe téměř ţádný z pouţívaných bezpečnostních prvků mu samostatně nemůţe zabránit zneuţít svého postavení a podvést zákazníka. Jeho postavení je výjimečné tím, ţe pro platby poskytuje tzv. "důvěryhodný terminál". Stačí mu tedy jen podstrčit falešný displej zobrazující sumu rozdílnou od té, která je právě odečítána ze zákazníkova účtu. Zákazník na místě nemá ţádnou šanci takovou transakci před provedením potvrdit či zastavit, obrana je moţná aţ v případě, kdy se vyskytne větší mnoţství stíţností na jednoho obchodníka.

Obecně platí, ţe terminál je pod výhradní kontrolou obchodníka, platební karta pod kontrolou banky, avšak zákazník nemá k dispozici ţádnou technologii, které by mu umoţnila ověřit, ţe obchodník zadal skutečně správnou sumu (tj. tu, která se zobrazuje na displeji terminálu).“¹

Zatímco první odstavec je v podstatě pravdivý, s textem v druhém odstavci autora si však dovolím nesouhlasit. Z letité praxe a po mnoha desítkách instalací platebních terminálů na různých obchodních místech mohu prohlásit, ţe naopak platební terminály jsou jen výjjímečně (v řádu do cca jednoho procenta instalovaných POS) pod kontrolou obchodníka. O výhradní kontrole nemůţe být řeč vůbec! Veškeré platební terminály (POS) jsou instalovány pouze odborným personálem banky a zabezpečeny hesly, která jsou nutná pro rekonfigurace či případné změny v nastavení POS. Kaţdý POS má přiděleno jedinečné

1 Pramen: KRHOVJÁK J., LORENC V., MATYÁŠ V.: Autentizace a autorizace finančních transakcí.

Zpravodaj ÚVT MU, Praha 2007, ISSN 1212-0901, (5-10 s.)

45

ID, které je na centrálním datovém úloţišti nakonfigurováno přesně pro konkrétního obchodníka a je zpřístupněno jen autorizovaným pracovníkům banky. Je tedy zřejmé, ţe jakékoliv zásahy do POS ze strany obchodníka ať jiţ SW nebo HW jsou moţné pouze po sepsání příslušných dodatků ke smlouvám a jejich realizaci pracovníky banky.²

V jiných médiích se IT specialisté zabývají celým balíkem SW opatření, které velmi elegantně řeší zabezpečení přístupu k vašim financím na Internetu.

Zajímavou myšlenkou, kterou sice umí zrealizovat spíše pokročilí uţivatelé PC systémů, je mít k bankovním internetovým transakcím druhý samostatný prohlíţeč, který je speciálně upraven (ořezán) o spoustu doplňkových sluţeb jinak nutných k modernímu browningu.

Další variantou je přenosný Firefox, uloţený na flashdisku (USB paměti), který máte všude s sebou. K dispozici je na www.portableapps.com bohuţel ne v českém jazyce.

Jako důleţité jsou zmíněny tipy pro ještě vyšší bezpečnost, které jsou obecně komunikovány dnes jiţ všem uţivatelům IB.

Svá čísla kont, PINy nikdy neukládejte v PC

Vţdy kontrolujte platnost a přesnost www adresy (dbejte na šifrování) Zřiďte si denní limit

Kontrolujte často (nejlépe denně) svůj účet

Po skončení bankovních operací se odhlaste! Nestačí ukončit okno prohlíţeče

„kříţkem“ v pravém horním rohu

Zdroj: Portableapps.com [online]. 2009-2010 [cit. 2010-03-02]. Dostupné z WWW:

<http://portableapps.com>

2 Vycházím ze znalosti prostředí ČS, a.s. Není nemoţné, ţe jiné společnosti postupují rozdílně.

46

4.2 Internetové bankovnictví - Problémy zabezpečení