Bankovní institut vysoká škola Praha
Katedra finančnictví a ekonomických disciplín
Porovnání internetového bankovnictví vybraných bank v ČR a jeho vývojový trend.
Diplomová práce
Autor: Petr Salát
Finance
Vedoucí práce: Ing. Zbyněk Kalabis
Praha Duben
2013
Prohlášení:
Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu.
Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.
V Rotavě dne 1.1.2013 Petr Salát
Poděkování:
Tímto bych chtěl velmi poděkovat panu Ing. Zbyňku Kalabisovi za skvělé vedení práce a pomoc, které se mně dostalo při vypracovávání diplomové práce.
Anotace práce:
Internetové prostředí je velmi rozmanité, co se funkčnosti týče. Práci bych proto chtěl věnovat problematice dnešního elektronického bankovního světa, a to internetovému bankovnictví. Předmětem diplomové práce se stal rozbor pojmu internetové bankovnictví na základě dostupných informačních zdrojů, z nichž převažuje elektronické publikace.
Cílem teoretické části je popsat problematiku internetového bankovnictví a podrobně čtenáře seznámit s bezpečnostními aspekty internetové komunikace a o možnostech ochrany. Praktická část je rozdělena do dvou kapitol, u nichž se věnuji srovnáním vybraných druhů internetového bankovnictví a porovnání faktorů z hlediska nabízených služeb, zabezpečení a cenové politiky u tří finančních institucí České republiky – Komerční banky, Československé obchodní banky a České spořitelny. A druhá část praktické části se snaží nastínit budoucí vývojový trend přímého bankovnictví.
Summary:
Internet environment is very diverse, as the functionality is concerned. Work I would therefore like to address the issue of today's electronic banking world and internet banking.
The subject of the thesis was an analysis of the concept of Internet banking based on available information sources from which prevails electronic publications. The theoretical part is to describe the problems of Internet banking and thoroughly familiarize the reader with the security aspects of internet communication and means of protection. The practical part is divided into two chapters which are devoted to a comparison of selected types of Internet Banking and compare factors in terms of services offered, security and pricing at three financial institutions in the Czech Republic - Commercial Bank, Commercial Bank of Czechoslovakia and the Czech Savings Bank. A second part of the practical part is devoted to the future development trend of direct banking.
Obsah
Úvod... 7
1. Vymezení internetového bankovnictví... 9
1.1 Historie internetového bankovnictví v ČR ... 12
1.2 Internetové bankovnictví ... 13
1.3 Další formy elektronického bankovnictví ... 16
1.4 Právní úprava elektronického platebního styku ... 18
2. Zabezpečení internetové komunikace... 20
2.1 Možnosti zabezpečení přístupu na IB ... 21
2.1.1 Autentizace uživatele... 22
2.1.2 Autorizace příkazů... 26
2.2 Bezpečnostní hrozby ... 30
2.2.1 Malware ... 30
2.2.2 Sociální inženýrství ... 33
2.2.3 Chyby operačního systému (OS):... 35
3. Průzkum a porovnání internetového bankovnictví v ČR... 37
3.1 Komerční banka ... 37
3.1.1 Internetové bankovnictví Komerční banky... 37
3.2 Československá obchodní banka ... 41
3.2.1 Internetové bankovnictví ČSOB ... 41
3.3 Česká spořitelna ... 44
3.3.1 Internetové bankovnictví České spořitelny... 44
4. Popis a směr vývojových trendů... 51
4.1 Smartbanking ... 52
4.2 Smartbanking v ČR ... 54
4.2.1 Československá obchodní banka... 55
4.2.2 Česká spořitelna ... 56
4.2.3 Komerční banka ... 57
Závěr:... 62
Seznam použité literatury... 65
Úvod
Internet se stává běžnou součástí života většiny z nás. Vyhledáváme informace, prohlížíme zajímavosti, komunikujeme s přáteli, nakupujeme zboží a využíváme dalších služeb, které nám internetové prostředí nabízí. Moderní služby se tak zaměřují na stále početnější skupinu lidí využívající internet. Tento růst počtu reálných uživatelů internetu představuje pro bankovní instituce lákavou alternativu vzdáleného přístupu ke klientům. Internetové bankovnictví se v současné době stává standardně poskytováno všemi bankami k běžným účtům, účtů firemním a řadě dalších nabízených produktů. Internetové bankovnictví umí do jisté míry nahradit návštěvu kamenné pobočky banky. Služby, které nabízí pokrývají nabídku od základního zadávání platebních příkazů, přes placení složenek a faktur po složitou komunikaci účetních programů. Internetové služby mají však jeden „háček“ a to je riziko napadení škodlivým softwarem za účelem odcizení dat. Tato práce se soustředí na vymezení problematiky internetového bankovnictví a s tím spojená bezpečnostní rizika.
Porovnání internetového bankovnictví tří vybraných institucí a práci uzavírá nástin dalšího vývoje přímého bankovnictví.
První kapitola nás provede historií internetového bankovnictví v České republice a zodpoví další otázky vysvětlující tento pojem. Budou uvedeny i základní informace co se týče právní úpravy elektronického platebního styku.
Navazující kapitola se bude zabývat velmi důležitou částí a tou je zabezpečení internetového bankovnictví. Povíme si o možných hrozbách, kterým čelí ochranné prvky bank, rizika jimž čelí samotní uživatelé a druhy ochrany proti nim.
Praktická část práce se věnuje rozboru a porovnání internetového bankovnictví tří vybraných finančních institucí- Komerční banka, Československá obchodní banka a Česká spořitelna, z hlediska nabízených služeb, míry zabezpečení, uživatelského komfortu a poplatkové politiky. Práci uzavírá autorův model vývojového trendu přímého bankovnictví s ukázkou smartbankingu výše zmiňovaných institucí.
Vzhledem k šíři vytyčené problematiky, je obtížné se do detailu věnovat všem oblastem internetového bankovnictví. Práce je spíše celkovým pohledem než detailní analýzou. Rád bych se tudíž na tomto místě zmínil o dostupné literatuře a jiných pramenech, ze kterých práce čerpá, a které diskutovanou problematiku v mnohých ohledech rozšiřují. Základní tištěnou literaturou je v tomto ohledu kniha Michala Přádky a Jana Kaly Elektronické
bankovnictví: rady a tipy. Tato často citovaná publikace z roku 2000 je úvodem do problematiky internetového bankovnictví. Vzhledem k datu vydání jsou ovšem mnohé v ní uvedené informace již neaktuální. Novější je kniha Miroslava Máčeho Platební styk – klasický a elektronický, která se kromě platebního styku zabývá i internetovým bankovnictvím. Výčet dostupných českých publikací je výše uvedenými knihami z velké části vyčerpán. Ucelená aktuální monografie na téma elektronického bankovnictví na českém knižním trhu chybí a potřebné informace je tudíž třeba hledat spíše v elektronických zdrojích.
1. Vymezení internetového bankovnictví
Internetovému bankovnictví rozumíme vzdálené komunikační propojení klienta s bankou, prostřednictvím celosvětové datové sítě (internet). Řadíme ho do přímého bankovnictví bezhotovostního platebního styku. Tedy elektronický přenos bezhotovostních (virtuálních) peněz mezi dvěmi stranami.
„Přímé bankovnictví znamená, že klient může být díky elektronickým prostředkům komunikace se svými penězi v kontaktu 24 hodin denně, 365 dnů v roce, ať je v zaměstnání, doma nebo uprostřed oceánu. Zkrátka odkudkoliv a kdykoliv. Je to možné díky moderním technologiím.“ 1
Internetové bankovnictví úzce souvisí s technologickým pokrokem informačních a telekomunikačních technologií. Tyto pokroky jež za posledních pár let uletěli světelné roky nám umožnili efektivněji využívat čas, kterého je v dnešním světě stále méně. Denně vznikají nové komunikační prostředky umožňující vzdálený přístup ke svým peněžním účtům a odkudkoliv ze země mohou podávat bankovní příkazy např. příkazy k platebním transakcím v tuzemském platebním styku, příkazy k platebním transakcím v zahraničním platebním styku, lze ovládat i termínované a spořící účty, zjišťovat zůstatky na účtech, kurzovní lístek, úrokové sazby, poskytovat výpisy z účtů a jiné platební produkty a služby.
Předpokladem je mít příslušný hardware, komunikační program umožňující propojení s bankovním systémem, přístup na internetovou sít a zřízený běžný účet u dané banky.
Internetové bankovnictví znamená mnoho výhod pro klienta i banku. Jedna z nejvíce viditelných pro klienta je okamžitý přístup k penězům a snadná manipulace s nimi v reálném čase, aniž by musel překročit práh svého domu. Pro banku to znamená snížení vytíženosti kamenných poboček a s tím spojené náklady na provoz a údržbu. Ale každá mince má i druhou stranu a i zde ji najdeme. Nevýhodou pro uživatele je nutnost technického vybavení (PC, PDA, mobilní telefon, tablet, internet TV) a trocha počítačové gramotnosti. Pro banku pak vysoké náklady na zřízení technického vybavení a do investic pro inovaci hardwaru i softwaru. O zabezpečení internetové komunikace se budeme bavit v druhé kapitole.
1 Přádka Michal, Kala Jan: Elektronické bankovnictví: rady a tipy, Computer Press 2000, 1. vyd. ISBN 80-7226-38-5, str. 1
Tabulka č. 1: Výhody internetového bankovnictví
Pro klienta: Pro banku:
Klient nemusí pro vykonávání bankovní operace fyzicky navštívit banku
Banka může snížit množství a velikost svých poboček a snížit tak své náklady
Klient není omezen pracovní dobou
Klient nemusí komunikovat s bankou jen z jednoho místa
Banka obsluhuje aplikaci internetového bankovnictví z jednoho centrálního pracoviště, čímž snižuje nároky na množství zaměstnanců
Klient je obsloužen bez čekání a schůzek
Klient nemusí vyplňovat papírové formuláře a uvádět podpisový vzor
Klient má informace o svých bankovních účtech a operacích neustále přístupné
Banka skrz aplikaci internetového bankovnictví získává informace o chování klientů a může tak lépe cílovat reklamu a marketing
Tabulka č. 2: Nevýhody internetového bankovnictví
Pro klienta: Pro banku:
Klient musí mít potřebné technické vybavení
Náklady na zřízení systému jsou relativně vysoké
Klient musí být počítačově gramotný Banka musí zajistit designované pracoviště a technické pracovníky
Banka musí pravidelně investovat do vývoje a inovace systému
Banka musí být schopna pružně reagovat na technologické změny v oblasti
Klient musí dbát na zabezpečení svého počítače
Banka musí dbát na zabezpečení systému
Zdroj: ŠENKÝŘOVÁ, B., 1999:104 a autorka
Narazil jsem také na fakt, že rozsah služeb nabízených přes internetová bankovnictví jsou u některých bank různé. Setkat se dá pouze s nabídkou základních operací a jiné umí plně nahradit navštívení bankovní pobočky.
Internetové bankovnictví přináší i další výhody. To zejména ceny uskutečněných příkazů.
V mnoha případech je příkaz zadaný prostřednictvím internetbankingu levnější než podání v kamenných pobočkách. Například tuzemský převod peněz vyjde levněji u Fio banky, Komerční banky, v ČSOB, GE, Raiffeisenbank, České spořitelny aj. O cenách služeb internetbankingu dále v kapitole 3. Průzkum a porovnání internetového bankovnictví v ČR.
Internetové bankovnictví je poskytováno na základě písemné smlouvy uzavřené mezi finanční institucí a klientem majitelem účtu. Dále je provádění internetového bankovnictví podmíněno vedením běžného účtu nebo vkladového účtu klientem. Uzavřením smlouvy klient získává možnost využívat služby elektronického bankovnictví (respektive klientem zmocněné osoby na základě uzavření dohody), přístup ke všem účtům, přístup k vybraným produktům a službám, a také získá rychlou a snadnou komunikační linku s centrem podpory. Smlouva o internetovém bankovnictví osahuje všechny potřebné atributy – informace o stranách smlouvy, informace o předmětu smlouvy, podmínky, písemné stvrzení a další důležité údaje.
Každá banka má stanoveny obchodní podmínky poskytování a využívání elektronického bankovnictví. S těmito podmínkami by se měl klienti důkladně seznámit před uzavřením smlouvy o poskytování elektronického bankovnictví. Podpisem této smlouvy totiž klient stvrzuje, že se seznámil technickými podmínkami, příslušnou příručkou a souhlasí, že se bude řídit jejich ustanoveními. Klient dále podpisem smlouvy stvrzuje, že se seznámil se zásadami bezpečnosti pro využívání elektronického bankovnictví a že je bude dodržovat.
Před podepsáním smlouvy je potřeba dokument pečlivě přečíst a překontrolovat, jelikož může obsahovat chyby nebo důležité fakta o využívání internetového bankovnictví, jež v budoucnu může vést k vážnějším problémům a zbytečným konfliktům. To samozřejmě neplatí jen u smluv o elektronickém bankovnictví, ale obecně u všech smluv, které stvrzujete vlastním podpisem.
1.1 Historie internetového bankovnictví v ČR
První banka a zároveň čeští uživatelé internetbankingu se v tuzemsku objevili před patnácti lety, tedy už v první polovině roku 1998. To bylo přibližně ve stejné době, kdy se k podobnému kroku odhodlávaly i největší evropské banky. Pokud ovšem čeští klienti chtěli s bankou komunikovat právě tímto způsobem, nemohli si mezi bankovními domy příliš vybírat. Nový způsob ovládání bankovního účtu tehdy umožňovala už od dubna 1998 jen družstevní záložna FIO 2. Její klienti u ní mohli uskutečňovat běžné transakce na účtu i sledovat kompletní historii transakcí. Ty byly zabezpečené prostřednictvím autorizace přes elektronický podpis.
O masovější rozšíření internetbankingu se vzápětí postarala Expandia banka (tedy dnešní eBanka). „Zpočátku šlo především o to, přesvědčit Čechy, že internetové bankovnictví je opravdu bezpečné a že pro běžné služby není nutné chodit na pobočku,“3 Bylo možné provádět především základní platby, jako jednorázové a trvalé příkazy. Ke vzdělávání i zvyšování důvěry k internetbankingu mezi klienty také výrazně přispěl projekt eCity.
„Mezi nejvýznamnější inovace v roce 2001 pak patřilo vytvoření speciální karty určené pouze pro platby na internetu, zavedení multiměnového účtu a třeba i zamykání platební karty,“ popisuje Kofroň, mluvčí eBanky.
V době, kdy v eBance začali rozvíjet další etapu internetbankingu, se postupně začaly v Česku rozhoupávat k investicím do rozvoje internetbankingu i další finanční instituce.
Většina tuzemských bank totiž před tím, než se odhodlala umožnit klientům ovládání účtu přes internet, zřizovala spíše call centra a sháněla telefonní operátory. Přímé bankovnictví nabízela koncem devadesátých let převážná část bank nejčastěji jen v podobě telefonního bankovnictví či GSMbankingu. V České spořitelně poskytovali podle Lorence například Sporotel Telebanking a Sporotel SMS už od roku 1996, GSM bankovnictví o tři roky později. Z velkých bankovních institucí se k zavedení internetového bankovnictví jako první rozhodla Komerční banka. Učinila tak na začátku nového tisíciletí v roce 2000.
Nabídla klasický internetbanking „Moje banka“ pro retailové klienty a PC banking ve službě Profibanka pro podnikovou sféru. Další dvě velké banky, ČSOB a Česká spořitelna,
2 Zdroj: peníze.cz [on-line], [cit. 3.2.2013], dostupný z http://www.penize.cz/prime-bankovnictvi/42614- odkud-kam-miri-cesky-internetbanking
3 Zdroj: peníze.cz [on-line], [cit. 3.2.2013], dostupný zhttp://www.penize.cz/prime-bankovnictvi/42614- odkud-kam-miri-cesky-internetbanking
internetbanking rozjely shodně v roce 2002. ČSOB spolu s Poštovní spořitelnou rok poté začala jako první masověji nabízet i autorizaci platebních operací na účtu přes takzvaný SMS klíč.
Na samotném počátku byli lidé vůči internetového bankovnictví v ČR velmi skeptičtí.
Veřejnost svazovala nedůvěra a předsudky plynoucí z neznáma. A není se čemu divit.
Tehdejší klienti IB byli omezováni technickými možnostmi a dostupností internetu, nižší spolehlivostí a bezpečností softwaru. Klienti mohli pro komunikaci se svým účtem využít jen některé operační systémy a vybrané internetové prohlížeče. „Zbavili jsme se tím závislosti na prostředí Windows a nabídli jsme klientům možnost používat stále populárnější alternativní operační systémy a prohlížeče jako je třeba Firefox,“ 4
1.2 Internetové bankovnictví
Internetové bankovnictví má svoji pasivní (zůstatky, úrokové sazby, devizové kurzy a další) a aktivní část (příkazy k úhradě, povolení inkasa, zakládání termínovaných vkladů atd.). Z pohledu klienta se dá internetbanking rozdělit dle dvou hledisek, a to podle míry uživatelského komfortu na neplnohodnotné a plnohodnotné.5
1. neplnohodnotné (vázáno na konkrétní PC). Klient si musí na svůj PC nainstalovat speciální bezpečnostní software s pomocí digitálních certifikátů, elektronického klíče a digitálního podpisu, které jsou vygenerovány při komunikaci klienta a banky a může přímo zadávat pokyny bance.
2. plnohodnotné (přístup odkudkoliv a kdekoliv pomocí PC a internetu). Současně klient a banka mají k dispozici zařízení schopné zajistit vzájemnou autentizaci obou stran, tzn. Internet banking lze použít odkudkoliv a kdekoliv.
Z čistě logického hlediska shledáváme lepší variantu v plnohodnotném bankovnictví, který umožňuje přístup a využívání služeb odkudkoliv a kdykoliv, jelikož není vázán na konkrétní počítač.
4 Zdroj: peníze.cz [on-line], [cit. 3.2.2013], dostupný z http://www.penize.cz/prime-bankovnictvi/42614- odkud-kam-miri-cesky-internetbanking
5 Máče, Miroslav: Platební styk: klasický a elektronický. Praha Grada, 2006. 1. vyd. ISBN 80-7226-38-5, str.
172
Budeli chtít klient využívat neplnohodnotnou variantu bude vázán na konkrétní počítač, na kterým bude nainstalovaný speciální software od banky. Neplnohodnotné internetové bankovnictví je v tomto případě velmi blízké domácímu bankovnictví neboli homebankingu. Princip obou zmíněných stojí na digitální certifikaci a digitálním podpisu, který znemožňuje využití služeb z jiného místa. Naproti tomu plnohodnotná forma internetového bankovnictví je uskutečňována internetové rozhraní, které umožňuje přístup z kteréhokoliv elektronického zařízení podporující webové aplikace.
Dále by šlo podotknout, že homebanking je spíše pro firemní klientelu. Jejich webové rozhraní je podrobnější a dokáží vytvořit lepší a podrobnější přístup k účetním systémům.
Internetové bankovnictví je více pro drobnější klienty, kteří preferují jednoduchost, rychlost, přehlednost a přístup odkudkoliv.
Velmi zajímavým řešením, obzvláště pro firemní klienty, je pak kombinace výše uvedených principů. Asistentka ve firmě zadá pomocí homebankingového (nebo účetního) programu příkazy k převodu peněz bankou. Ty však nejsou ihned vykonány, ale čekají na potvrzení finančního ředitele, který je může potvrdit pomocí internetového bankovnictví odkudkoliv na světě, například ze služební cesty.6
S příchodem internetu a internetového bankovnictví se začalo využívat platformy elektronických peněz, jež potažmo nahradilo peníze skutečné. Tyto peníze jsou virtuální kopií reálných prostředků, které jsou uloženy na elektronických mediích a slouží k uskutečnění elektronických plateb zadaných klientem přes internetbanking.
Elektronické peníze lze dělit podle několika hledisek. Jedno dělení elektronických peněz může být podle jejich povahy na „token-based“ a „balance-based“:7
Token-based elektronické peníze jsou opravdovou virtuální kopií skutečných mincí. Existují v předem definovaných hodnotách, které je pro rozměnění třeba poslat do vydávající banky. Každé minci je přitom přidělena určitá jedinečná číselná (registrační) hodnota, jejíž existence má zabránit tzv. problému dvojího
6 PŘÁDKA, M., a KALA, J., Elektronické bankovnictví, s. 74
7Zdroj: mesec.cz [online];[cit. 3.2.2013], dostupný z WWW:< http://www.mesec.cz/clanky/epenize-mame- je-vsichni/
utrácení. Z toho také vyplývá, že každá „mince“ je použitelná pouze jednou.
Typickým příkladem byl eCash od firmy DigiCash.
Balance-based elektronické peníze jsou častější a mají podobu pouhého kladného nebo záporného zůstatku na elektronickém účtu. Do této kategorie jsme mohli zařadit např. český internetový platební systém I LIKE Q.
Dalším kritériem, podle kterého můžeme elektronické peníze dělit, je jejich samotná implementace:8
Card-based elektronické peníze, jak už název napovídá, jsou takové elektronické peníze, které jsou uloženy na nějakém přenosném médiu, typicky kartě
s integrovaným obvodem obsahujícím mikročip (smart karta). Tato „elektronická peněženka“ zajišťuje různé kryptografické funkce a hlavně s ní můžeme platit i v reálném světě. Jako příklad můžeme uvést předplacené karty MasterCard, VISA.
Software-based elektronické peníze jsou takové, které se spravují přes software nainstalovaný na PC či PDA, běžícím pod standardním operačním systémem.
Typické použití je pouze přes počítačové sítě, jako je Internet.
Elektronické peníze Česká národní banka definuje takto: „Elektronické peníze jsou definovány v § 4 zákona o platebním styku. (zákon č. 284/2009 Sb., ve znění pozdějších předpisů). Podle tohoto zákona se elektronickými penězi rozumí peněžní hodnota, která“ 9
a) představuje pohledávku vůči tomu, kdo ji vydal, b) je uchovávaná elektronicky,
c) je vydávaná proti přijetí peněžních prostředků za účelem provádění platebních transakcí
d) je přijímána jinými osobami než tím, kdo ji vydal.
8 Zdroj: mesec.cz [online];[cit. 3.2.2013], dostupný z WWW:< http://www.mesec.cz/clanky/epenize-mame- je-vsichni/
9 Zdroj: cnb.cz [online];[cit. 3.2.2013], dostupný z WWW:< http://www.cnb.cz/cs/obecne/slovnik/e.html
1.3 Další formy elektronického bankovnictví
Mimo zmiňované komunikační kanály patří do elektronického bankovnictví, také platební karty, phonebanking (telefonní bankovnictví) a GSM banking (bankovnictví přes mobilní data). Všechny tyto formy patří do skupiny tzv. přímého bankovnictví. Společný charakter mají v mnoha věcech – používání je podmíněno softwarem a hardwarem, nutnost založení běžného nebo jiného účtu.
Druhy elektronického bankovnictví:
Platební karty,
phonebanking,
GSM banking,
Nejstarší a „prozatím“ nejrozšířenější formou elektronické komunikace je užívání platebních karet (MasterCard, VISA, AMEX, Diners Club a JBC). Při svém začátku měly karty první znaky elektronické komunikace, které mohly pomocí platebních terminálů zadávat bankovní příkazy. Ale s vývojem technologií začaly prosakovat názory, že platební karty nepatří tak zcela mezi tyto elektronické komunikační nástroje, jelikož se s nimi dají dělat pouze triviální operace- výběr a platba.
Následuje phonebanking neboli telefonní bankovnictví. Ovládání a zadávání složitějších příkazů dochází prostřednictvím telefonu a živého operátora nebo jednodušších pokynů skrze hlasový informační systém (hlasový automat). Klient je tu chráněn stejně, jako je tomu u platebních karet. Klient je po spojení s centrem banky vyzván k ověření identifikačních znaků a hesla. Až po ověření lze provádět jednoduché operace - zjistit například zůstatek na účtu nebo provádět jiné jednoduché příkazy.
U GSM bankingu se využívá mobilních telefonů a tří různých medelů. Prvním z nich je ovládání pomocí krátkých textových zpráv (SMS), druhým modelem je instalovaná aplikace na SIM kartě mobilním telefonu (GSM Sim Toolkit) a třetím přístupem přes mobilní Internet (WAP). U GSM bankingu je potřeba mít mobilní telefon podporující GSM banking a běžný účet. GE Money dokonce nabízí zkušební (demo) verzi
mobilní banky (GSM banking) na tři největší mobilní operátory v ČR- O2, T- Mobile, Vodafone na www.gemoney.cz.10
Obrázek č. 1: Znázornění dostupných komunikačních kanálů banky.
Zdroj: Vlastní zpracování
Základní předpoklad, který se vztahuje na poskytování všech produktů elektronického bankovnictví, se vyznačuje tím, že klient musí mít u dané banky veden alespoň jeden běžný účet. Pokud bychom měli definovat veškeré podmínky (jak obchodní tak technické) poskytování elektronického bankovnictví, popsali bychom několik stránek papíru zákonnými údaji. Uveďme si proto jen ty základní podmínky, pro klienta nejpodstatnější.
Podmínky phonebankingu:
běžný účet u banky,
telefon,
Podmínky GSM bankingu:
běžný účet,
mobilní telefon, podporující aplikace SIM Toolkit případně WAP,
bankovní SIM karta libovolného operátora v České republice.
10 Zdroj: gemoney.cz [online];[cit. 3.2.2013], dostupný z WWW:<http://www.gemoney.cz/ge/cz/1/ucty/
banka-v-mobilu/mobil-banka
Banka
Mobilní telefon Pevná linka
Osobní návštěva
Pc Plateb. karta
Hlas
SMS SIM Toolkit
Telefonní bankéř
Telefonní automat
Internet
Homebanking
Podmínky homebankingu:
běžný účet,
technické vybavení (hardware a software), Podmínky platebních karet:
běžný účet,
Pro zřízení kteréhokoliv z těchto uvedených produktů elektronického bankovnictví je zapotřebí, aby klient dosahoval plnoletosti nebo měl při zřizování s sebou zákonného zástupce.
1.4 Právní úprava elektronického platebního styku
Základem pro zřízení některé z forem přímého bankovnictví resp. výše uvedených služeb je podepsání smlouvy mezi klientem a bankou o poskytování služeb přímého bankovnictví.
Smlouva musí mít písemnou formu, a tudíž vyžaduje návštěvu klienta v bance (případně pracovníka banky u klienta). Součástí smlouvy jsou zejména bezpečnostní podmínky, kterým je nutno ze strany klienta věnovat náležitou pozornost. Porušení stanovených bezpečnostních podmínek může mít za následek ohrožení bezpečné komunikace klienta s bankou. Naopak, důsledné dodržování bezpečnostních podmínek a současná technická úroveň zabezpečení činí tuto formu komunikace zcela bezpečnou. Navíc, pokud by při dodržení bankou stanovených podmínek došlo k narušení komunikace, důsledky a odpovědnost za případné škody nese v takovém případě banka.
Hlavní a stěžejní pilíř právní úpravy internetového bankovnictví je zákon č. 139/2011 Sb., o platebním styku. Tato novela měnící zákon č. 284/2009 Sb., o platebním styku je v souladu se směrnicemi Evropského parlamentu, jež vede k podpoře harmonizace zákonů v rámci platebního styku EU. Vzhledem k rozsáhlosti zákona bych uvedl zejména paragraf
§ 15 Elektronický platební prostředek a elektronické peníze:11
11Zdroj: business.cz [online];[cit. 4.2.2013], dostupný z WWW:< http://business.center.cz/business/pravo/
zakony/platebni_styk/cast3.aspx
(1) Elektronickým platebním prostředkem je:
a) prostředek vzdáleného přístupu k peněžní hodnotě, při jehož užívání se zpravidla vyžaduje identifikace držitele osobním identifikačním číslem přiděleným
vydavatelem nebo identifikace jiným způsobem, b) elektronický peněžní prostředek.
(2) Elektronickým peněžním prostředkem je platební prostředek, který uchovává peněžní hodnotu v elektronické podobě.
(3) Elektronickými penězi je peněžní hodnota, která a) představuje pohledávku za vydavatelem,
b) je uchovávaná na elektronickém peněžním prostředku
c) je vydávaná proti přijetí peněžních prostředků v hodnotě ne nižší, než je hodnota vydávaných elektronických peněz, a
d) je přijímána jako platební prostředek jinými osobami než jejich vydavatelem.
Zákon o platebním styku obsahuje úpravu poskytování platebních služeb, vydávání elektronických peněz a provozování platebních služeb a upravuje jak tuzemský, tak i přeshraniční platební styk. O ochranu dat se stará, také trestní, správní a civilní legislativa upravující právní povinnosti subjektu související s nakládáním, získáváním, zpracováváním, ukládáním dat a informací
2. Zabezpečení internetové komunikace
Nová technologická řešení v oblasti komunikačních technologií zvyšují vývoj nabídky bankovních služeb. V dnešní době je to zejména nabídka služeb prostřednictvím elektronických distribučních kanálů jak podnikové, tak i retailové klientele. Tento vývoj má však za následek i růst rizik ohrožující komunikační procesy obou stran. Internet je anonymní globální sít přístupná pro všechny a proto je nutno dbát na bezpečnostní opatření, autentizační prvky, ochranu dat a osobních údajů proti zneužití třetí stranou.
Termínem Bezpečnost informačních systémů se rozumí kolektivní postupy a mechanismy, jejichž citlivé a cenné informace a služby jsou chráněny před zveřejněním, poškozením nebo kolapsem neoprávněnou činností nebo činností nedůvěryhodné osoby a neplánované události.
Největší bezpečností slabina internetu je právě její dostupnost a anonymita, která s sebou nese jistou morální neukázněnost. „Proč to neudělat, když mně nikdo nevidí“. V prvé řadě máme tedy jednoduchost a anonymitu s jakou se lze pohybovat po internetu a v té druhé zase obrovské množství zařízení zapojená do sítě internet, jež představuje největší lákadlo pro zločinné zneužití.
Než se začneme zabývat možnostmi zabezpečení internetové komunikace, tak si řekneme jak vypadá komunikační řetězec. Mezi bankou a klientem proudí informace pomocí sítě internet a součástí tohoto toku může být i nakažený software. Ten může být po spuštění na uživatelském zařízení (PC, PDA, mobilní telefon, tablety) získat přístup k osobním informacím a provádět další nežádoucí příkazy ve vašem počítači. Ochrana dat by měla být na obou stranách řetězce chráněna nejen počítačovými programy, ale i správným dodržováním pravidel obezřetného chování na PC.
„Typickým způsobem proniknutí škodlivého softwaru do počítače může být tzv. crack.
Jedná se o úpravu programu, kdy jsou prolomena ochranná autorská práva. Škodlivý software se rovněž může do počítače dostat prostřednictvím internetu s využitím neopravené bezpečnostní chyby operačního systému nebo aplikačního softwaru.
Při cíleném útoku je možná „nákaza“ počítače s využitím technik sociálního inženýrství,
jako je například vhodně „náhodně“ odložené médium se softwarem, o který má uživatel zájem apod.“ 12
Aby bylo docíleno bezpečnějších služeb elektronického bankovnictví je nutné každý článek řetězce hlídat, analyzovat a případná rizika vyhledat, identifikovat a přijat konkrétní opatření vedoucí k eliminaci a nejlépe ke zničení možných hrozeb.
Za nejbezpečnější část řetězce je považován IT systém banky, který podléhá přísnému dohledu a testování pod vedením bezpečnostních odborníků banky. Aby bylo docíleno větší důvěryhodnosti je testování softwaru přiděleno i nezávislým bezpečnostním institucím. Na dohled a regulaci dohlíží ČNB. Bezpečnostní opatření myslí i na chyby a úmysly administrátora a řeší jej např: právní odpovědnost podniku, organizačními opatřeními („zásada čtyř očí“), specializovanými hardwarovými prvky (HSM) a využitím elektronického podpisu zpracovávaných dat (např. platebních příkazů) pro pozdější prokazování zodpovědnosti.13
Rizikovější část řetězce je klientské zařízení a chování samotného uživatele. Toto zařízení není ve většině případů pod správou profesionálních administrátorů a tak se mnohdy stává, že ochrana proti vniknutí není dostatečná. Základním prvkem uživatele je výběr připojení k internetu, které musí pocházet od důvěryhodného a zkušeného poskytovatele. Počítač využívaný ke službě internetového bankovnictví by měl mít oficiální verzi antivirového programu , být pravidelně aktualizován a mít správné nastavení firewallu. To samé platí pro využívaný operační systém. Dále by se měl uživatel vyhnout návštěvám neznámých internetových adres, otevírání neznámých emailů, nerozesílat osobní údaje, stahovat soubory od neznámých autorů, apod.
2.1 Možnosti zabezpečení přístupu na IB
Bezpečnost internetového bankovnictví zahrnuje tři aspekty – identifikaci banky, identifikaci klienta a zabezpečení přenosu dat. Identita banky je ověřována certifikátem, který vydává nezávislá instituce (nejčastěji VeriSign nebo I.CA). Klient tak má jistotu,
12 Zdroj: systemonline.cz [online];[cit. 8.2.2013], dostupný z WWW:< http://www.systemonline.cz/it- security/bezpecnost-elektronicke-komunikace.htm
13 Zdroj: systemonline.cz [online];[cit. 8.2.2013], dostupný z WWW:<http://www.systemonline.cz/it- security/bezpecnost-elektronicke-komunikace.htm
že stránky, jejichž prostřednictvím komunikuje s bankou, patří skutečně jí. Přenos dat je ve všech bankách řešen šifrováním na vysoké úrovni a lze jej považovat za dostatečně bezpečný.
Poslední část zabezpečení – identifikace klienta banky. Nejčastěji se můžeme setkat se zabezpečením pomocí uživatelského jména a hesla nebo certifikátem uloženým v souboru.
Kromě tohoto zabezpečení existují ještě formy bezpečnější- certifikát na čipové kartě, autentizační kalkulátor. Pokud má banka bezpečnější varianty přístupu a nabízí je (např.
autentizační kalkulátor), jsou často brány jako nadstandardní a banka si za ně nechává platit.
Shrnutí bezpečnostních procesů:
Identifikace – proces určení identity subjektu/objektu.
o Identitu udává uživatel
o Identifikující systém se snaží určit identitu uživatele v předem dané databázi uživatelských záznamů (př. otisky prstů, identifikační kódy, hlasový záznam, aj.)
Autentizace uživatele - proces ověření identity uživatele (verifikace)
Autorizace transakce – proces ověření operací
2.1.1 Autentizace uživatele
Obecně lze autentizaci popsat jako proces, ve kterém systém ověřuje identitu uživatele. K autentizaci nejčastěji dochází při přihlašování do systému internetového bankovnictví.
Uživatel zadá určitý údaj, kterým se identifikuje (obvykle se jedná o uživatelské jméno) a údaj, kterým se ověřuje (obvykle se jedná o heslo). Systém dle zadaného identifikátoru nalezne uživatele ve své databázi. Po nalezení uživatele dojde k porovnání autentizačního údaje zadaného uživatelem a toho, který má systém uložen ve své databázi. Pokud se oba údaje shodují, je uživatel ověřen a může přistoupit ke svému účtu. V případě, že se údaje jen nepatrně liší, bude autentitzace uživatele přerušena a přístup do internetového bankovnictví bude zamítnut.
Obrázek č. 2: Ukázka přihlašovacího jména a hesla RB14
Zdroj: https://ibs.rb.cz/IB/ControllerServlet
Uživatelské jméno a heslo: Nejjednodušší a nejvyužívanější způsob autentizace uživatele. Jméno a heslo je v případě možnosti zvolené libovolně nebo je to řada vygenerovaných znaků bankou. Z důvodů větší bezpečnosti se doporučuje kombinace písmen a čísel. Nevýhodou je snadné zneužití (virové programy pro odcizování dat a hesel, keylooger). Stačí pouze jméno a heslo a přístup na účet je volný.
Jednorázové heslo: Specifickým bodem tohoto přihlášení je pomocí vygenerovaného hesla bankou. Klient má k dispozici řadu hesel, které postupně používá u jednotlivých přihlášení. Každé z vygenerovaných hesel, lze použít pro přihlášení jen jednou a opakované použití bude neplatné. Zajišťuje bezpečnější ochranu, ale snižuje komfort, jelikož se hesla musí aktualizovat a to většinou návštěvou pobočky.
Osobní identifikační číslo (PIN): Přihášení doprovází zadání tzv. PIN (Personal Identification Nimbe) kódu o délce 4-8 číslic.Výhodou se uvádí možnost nastavení
14 Zdroj: ibs.rb.cz [online];[cit. 8.2.2013], dostupný z WWW:< https://ibs.rb.cz/IB/ControllerServlet
pokusů zadání PIN. Pokud se zadá PIN kód špatně několikrát po sobě, účet se zablokuje. K odblokování dojde pouze v případě zadání odblokovacího kódu PUK (Personal Unlock Key) nebo návštěvou pobočky.
Obrázek č. 3: Osobní identifikační číslo internetového bankovnictví ING15
Zdroj: https://www.ingbank.cz/ib/welcome.do
SMS jednorázové heslo: K autentizaci klienta dojde zasláním SMS kódu klientovi na předem zaregistrované telefonní číslo. Skrze tento kód se uživatel přihlásí maximálně jednou. Opětovné přihlášení nebude povoleno.
Osobní certifikát: Osobní certifikát je jakýsi "digitální průkaz totožnosti". Lze ho přirovnat k osobním dokladům, jako je pas nebo občanský průkaz. Certifikát je bankou vygenerovanou elektronicky podepsanou datovou strukturou a slouží pro identifikaci a autentizaci osoby v elektronické komunikaci. Jeho náležitosti definuje zákon č. 227/2000 Sb. o elektronickém podpisu. 16 Uživatel si certifikát může uložit
15 Zdroj: ingbank.cz [online];[cit. 8.2.2013], dostupný z WWW:< https://www.ingbank.cz/ib/welcome.do
16 Zdroj:eagri.cz [online];[cit. 9.2.2013], dostupný z WWW:< https://eagri.cz/ssl/nossoapp/EPO/web/Static/
epo_certifikat.aspx
na pevný disk svého počítače, na přenosné médiu (USB flash disk, CD, disketa) nebo čipovou kartu. Spolu s osobním elektronickým klíčem slouží k elektronickému podpisu. Certifikát je časově omezen a pro nový se musí na pobočku banky. Ke zvýšení bezpečnosti se nedoporučuje ukládat osobní certifikát na pevný disky počítačů. V případě napadení počítačové stanice např.: malware (škodlivý software špehující PC a odcizuje jiná data, často se na něj váží ještě jiné spywary. Také stahuje různé věci jako backdoory, trojani, viry a krade hesla) je certifikát snadno kopírovatelný.
Čipové karty: Je to osobní certifikát uložený na čipové kartě, který lze přečíst pouze pomocí datové čtečky. Je určena pro klienty, kteří chtějí mít větší bezpečí uloženého certifikátu. Výhoda spočívá v souboru (samotný elektronický certifikát), který nelze žádným způsobem zkopírovat. Pokud dojde ke ztrátě nebo odcizení čipové karty, není způsob jak jí zneužít. Karta je mimo jiné chráněná PIN kódem.
Nevýhodou je nutnost mít čtečku karet a nainstalovaný software pro vzdálený přístup.
Obrázek č. 4: Čtečka čipových karet17
Zdroj: http://www.globalsources.com/gsol/I/Smart-card/p/sm/1036928027.htm
17 Zdroj: globalsources.com [online];[cit. 9.2.2013], dostupný z WWW:< http://www.globalsources.com/
gsol/I/Smart-card/p/sm/1036928027.htm
Pokud je již uživatel do systému jednou přihlášen, může s účtem libovolně manipulovat a provádět libovolné pasivní operace. Pro aktivní finanční transakce je v některých případech vyžadována opětovná autorizace. Někdy je toto opětovné potvrzení vyžadováno jen tehdy, pokud transakce přesáhne určitou (předem stanovenou) hodnotu či denní limit. V tomto případě může být autorizace jednodušší, např. jednorázovým heslem zaslaným pomocí SMS.
2.1.2 Autorizace příkazů
Po úspěšném provedení autentizace uživatel získá přístup ke svému účtu. Jeho možnosti jsou však omezeny pouze na tzv. pasivní operace. Může sledovat stav svého účtu, historii plateb nebo kontrolovat různá nastavení. Naproti tomu aktivní operace jsou ty, které přímo manipulují s finančními prostředky na klientském účtu. Jedná se například o příkaz k úhradě, povolení inkasa nebo zaslání platby do zahraničí. Při použití některé z aktivních operací bývá uživatel požádán o její autorizaci. Při autorizaci příkazů se užívá stejných mechanizmů, jako při autentizaci klienta.
Může být použit soukromý klíč a příslušný podpisový certifikát opět umístěný na počítači, nebo čipové kartě. Banka může také generovat jednorázové autorizační kódy s časově omezenou platností a zasílat je klientovi jiným komunikačním kanálem, např. SMS zprávou. Klient také může od banky jednorázově dostat sadu (např. 100) jednorázových autorizačních kódů, které postupně zadává při požadavku na autorizaci / autentizaci. Tyto jednorázové kódy bývají označovány jako TAN (Transaction Authentication Number) a lze je získat několika způsoby: přímo na pobočce, poštou, nebo formou (šifrované) SMS.18
Jednorázové SMS heslo: Metoda, při které se ověřuje zadaný platební příkaz SMS kódem. Pokud uživatel odešle platební příkaz , bude požádán o vložení kódu pro ověření platby (autorizaci platby). Po přijetí příkazu je kód vygenerován bankovním počítačovým systémem a odeslán prostřednictvím SMS na mobil klienta. Po obdržení kódu se jím klient autorizuje a příkaz je proveden. SMS kód je z důvodů bezpečnosti časově omezen a lze ho použít pro ověření jen jedinkrát.
18 Zdroj: ics.muni.cz [online];[cit. 15.2.2013], dostupný z WWW:< http://www.ics.muni.cz/bulletin/articles/
561.html
Výhodou je obdržení SMS kódu na jakékoliv mobilní číslo, snadná a rychlá manipulace. Nevýhodou je, že si banky můžou za SMS účtovat poplatek nebo cenu zanesou jinam, nutnost mít u sebe mobilní telefon a nacházet se v lokalitě se signálem příslušného operátora.
Obrázek č. 5: Ukázka potvrzení platby SMS kódem Airbank19
Zdroj: http://www.airbank.cz/cs/
Osobní certifikát a čipová karta: Osobní certifikát k autorizaci platby je postaven na samém principu, co v případě autentizace klienta. Po odeslání příslušných aktivních pokynů bance, je uživatel vyzván k ověření příkazu autorizací certifikátem. Osobní certifikát se nachází buď na pevném disku, USB disku nebo čipové kartě. Více o tomto způsobu v kapitole 2.1 Autentizace uživatele.
Autorizační kalkulátor: Prozatím nejlépe chránícím prvkem internetového bankovnictví se zdá být použití autorizačního kalkulátoru. Funguje podobně jako ověřování SMS kódem. Při zadání elektronického bankovního příkazu, kalkulátor
19 Zdroj: airbank.cz [online];[cit. 15.2.2013], dostupný z WWW:< http://www.airbank.cz/cs/
vypočte unikátní číselný kód, který se zadá spolu s dalšími údaji do webového formuláře a odešle. Spočívá to v komunikaci obou zařízení a šifrovaného jazyka, který používají ke komunikaci. Bankovní systém pošle šifrovanou zprávu vašemu kalkulátoru, ten přeloží zprávu a zobrazí na displeji. Zpráva je následně poslána uživatelem zpět do bankovního systému. V případě, že odpověď souhlasí je transakce povolena. V opačném případě je zakázána.
Výhodou autorizačního kalkulátoru je její bezpečnost. “Generovaná hesla mívají obvykle návaznost na operace, které jsou pomocí klíče generovány a uživatel je tak nucen do kalkulátoru uvádět informace jako je číslo účtu, částka se kterou je manipulováno a podobně. Z tohoto důvodu je velmi obtížné podvrhnout uživateli falešné formuláře k potvrzení, protože pokud nejsou na obou stranách zadány stejné údaje, klíče jsou neplatné. Jedná se o jednu z nejbezpečnějších metod autorizace uživatele.“ 20 Samotný kalkulátor je chráněn PIN kódem, který je nutný zadat před použitím. Kalkulátor je též zbaven hrozby tzv. odposlechu hesla. Používá se k tomu „obyčejný keylogger (program ke snímání stisku kláves).“21. Nevýhodu může být pak cena tohoto zabezpečení a fakt, že není stále při ruce.
Vedle již zmíněných možností zabezpečení uživatele internetového bankovnictví jsou nabízeny ještě další prvky ochrany klienta, které napomáhají ke zvýšení zabezpečení účtu proti neoprávněnému použití a měly by se tak stát nedílnou součástí každého účtů. Je to zejména nastavení limitů peněžních transakcích zadané přes internetové bankovnictví.
Limity lze nastavit denní, týdenní, měsíční nebo limit na jednu transakci. Tímto by mělo být zajištěno, že nebude jedinou transakcí přesunut velký objem peněžních prostředků.
Další z forem ochrany je možnost si nechat zasílat informace o stavech účtů, provedených platbách apod. SMS zprávou na mobilní telefon nebo elektronickou poštou na emailovou adresou. V případě neočekávaného pohybu se jednoduše zavolá do banky a účet se nechá zablokovat.
20 Zdroj: root.cz [online];[cit. 25.2.2013], dostupný z WWW:< http://www.root.cz/clanky/autorizace-v- internetovem-bankovnictvi/
21 Zdroj: linuxsoft.cz [online];[cit. 25.2.2013], dostupný z WWW:< http://www.linuxsoft.cz/pl/article.php ?id_article=202
Vzhledem k rostoucímu množství uložených citlivých dat na počítačích, které jsou připojeny k internetu vznikla nedávno instituce, která se zabývá kybernetickou bezpečností v ČR. Vláda České republiky dne 19. října 2011 přijala usnesení č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast.22 Usnesením vzniklo Národní centrum kybernetické společnosti. Úlohou centra je koordinace spolupráce na národní i mezinárodní úrovni při předcházení kybernetickým útokům i při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům.23 V České republice se podobně jako v ostatních euroatlantických zemích v současné době intenzivně pracuje na specifické právní úpravě národní kybernetické bezpečnosti. Tato úprava bude zahrnovat především nové povinnosti provozovatelů služeb elektronických komunikací aplikovat do jejich sítí certifikované bezpečnostní technologie. 24.
Tabulka č. 3: Přehled autentizačního zabezpečení bank v ČR25 Autentizace vstupu na účet Jméno a
heslo Certifikát Čipová karta SMS kódy Kalkulátor
Česká spořitelna ano ano ano
ČSOB ano ano ano ano
GE Money Bank ano ano
UniCredit Bank ano ano ano
Komerční banka ano ano
Poštovní spořitelna ano ano ano ano
Raiffeisenbank ano
Volksbank / Sberbank ano
WSPK ano ano
Zdroj: http://www.root.cz/clanky/autentizace-v-internetovem-bankovnictvi/
22 Zdroj: govcert.cz [online];[cit. 26.2.2013], dostupný z WWW:< http://www.govcert.cz/cs/
23 Zdroj: govcert.cz [online];[cit. 26.2.2013], dostupný z WWW:< http://www.govcert.cz/cs/
24 Zdroj: cybersecurity.cz [online];[cit. 27.2.2013], dostupný z WWW:< http://www.cybersecurity.cz/law.
html
25 Zdroj: root.cz [online];[cit. 26.2.2013], dostupný z WWW:< http://www.root.cz/clanky/autorizace-v- internetovem-bankovnictvi/
Tabulka č. 4: Přehled autorizačního zabezpečení bank v ČR26 Autorizace jednotlivých transakcí
Certifikát Čipová karta SMS kódy Kalkulátor
Česká spořitelna ano ano ano
ČSOB ano ano ano
GE Money Bank ano
UniCredit Bank ano ano
Komerční banka ano ano ano
Poštovní spořitelna ano ano ano
Raiffeisenbank ano ano
Volksbank / Sberbank ano
WSPK ano ano
Zdroj: http://www.root.cz/clanky/autorizace-v-internetovem-bankovnictvi/
2.2 Bezpečnostní hrozby
Teď, když jsem si v předchozí kapitole popsali jednotlivé formy zabezpečení si můžeme ukázat hrozby z venčí, kterým čelí.
2.2.1 Malware
Nejčastěji se útoky vyskytují ve formě malwarů. Hlavní úlohou malwaru je odstranění nebo odcizení elektronických dat. Dalo by se říci, že je to každý software, jehož posláním je poškození počítače/ uživatele. Tento typ škodlivého softwaru dokáže vniknou do hostitelského počítače, kopírovat citlivé údaje, mazat data a dokonce dokáže vytvořit tunel, pro vzdálené ovládání bez vědomí majitele. Malwarem se dá nakazit hned několika způsoby. Stáhnutím softwaru s obsahem malwaru, navštívením www stránek nakažené malwarem, kliknutí na připravené okno, tabulku, reklamu a následně zpustíte stahování malwaru, otevřením přílohy emailu, atd.. Ukážeme si několik nejrozšířenějších typů malwerů působících na internetu:
Viry: Škodlivý počítačový software, naprogramovaný tak, aby se sám dokázal šířit, spouštět a působit. Spuštěním infikovaného souboru se virus aktivuje a vlastním
26 Zdroj: root.cz [online];[cit. 26.2.2013], dostupný z WWW:< http://www.root.cz/clanky/autorizace-v- internetovem-bankovnictvi/
rozšiřováním pomocí infikování ostatních spustitelných souborů ovlivňuje chod a vlastnosti počítače. Počítačové viry mají ještě tu vlastnost, že mohou stahovat další nakažlivý software (keyloggery, trojské koně, viz níže).
Červi: Škodlivý počítačový program , který se sám reprodukuje a odesílá své kopie do dalších počítačů. Rozdíl mezi virem a červem je ve způsobu šíření nákazy. Viry se reprodukují prostřednictvím nákazy dalších spustitelných souborů. Červ se soubory nepotřebuje. Sám se zkopíruje a pomocí sítě odešle do dalších počítačů.
Pro internetové bankovnictví může být nebezpečný to, že dokáží opět stáhnout a nainstalovat jiný škodlivý software.
Trojské koně: Tzv. „Trojan“ je zákeřný malware, který se nepozorovaně nainstaluje do PC a umožňuje útočníkovi vzdáleně monitorovat a ovládat váš počítač. Trojan je většinou součástí nějakého souboru, aplikace nebo přílohy v e- mailu a tváří se, jako důvěryhodný od spolehlivého zdroje. Po otevření se rozjede proces monitorování prováděných operací, krádeže hesel, PIN kódů, čísla kreditních karet nebo naprosté ovládnutí počítače napadeného. (Viděl jsem v praxi aplikaci na vzdálenou správou systémů a pokud má někdo obdobnou zkušenost s těmito programy (např. TeamViewer, Repote Administrator), pak si dokáže hravě představit, co by „hacker“ mohl pomocí trojského koně napáchat.)
Keylogger: Neviditelný monitorovací software, klávesový záznamník, špionážní software, nástroj který registruje každou aktivitu na vašem počítači do zašifrovaných záznamů. Keylogger Software umožní tajně sledovat veškeré aktivity všech uživatelů a automaticky odešle záznamy na váš e-mail/FTP/LAN. 27 Tím kybernetický útočník získá přístupové údaje k účtům, PIN kódům a dalším citlivým informacím. Keylogger vám umožní zaznamenat veškeré úhozy kláves včetně specifických jazykových znaků, mluvené i psané konverzace(obě strany), hesla, e- maily, obsah schránky, záznam mikrofonu, screenshoty, internetovou aktivitu.
Keyloggery a Trojské koně se nerozšiřují a nenapadají další programy, jako v případě virů a červů.
27 Zdroj: relytec.com [online];[cit. 28.2.2013], dostupný z WWW:< http://www.relytec.com/keylogger_cz/
keylogger.htm
Prevence proti malware hrozbě: Proti hrozbám typu malware se lze chránit několika způsoby. Tou primární prevencí jsou sami uživatelé. Respektive jejich počínání při procházení internetových stránek a aplikací. Další a podstatnější ochranou jsou softwarové zabezpečovací programy – firewally, antivirové a antimalwarové programy.
Firewall: Firewall by se dal přeložit jako „bezpečnostní brána“. Je to softwarové zařízení oddělující prostor mezi dvěma sítěmi (v našem případě mezi domácí a internetem) a zároveň umožňuje průchod dat jedním nebo druhým směrem podle předem definovaných pravidel. Brání tak zejména před neoprávněnými průniky do sítě a odesílání dat ze sítě bez vědomí a souhlasu uživatele.
„Princip je takový, že na firewallu se definují pravidla, podle kterých může probíhat komunikace, resp. povolí se služby, které jsou nutné pro provoz a ostatní jsou zakázány. K efektivním nástrojům, které využívají, můžeme zařadit ověřování uživatele nebo IP adresy, kontrolu došlých e-mailů s veřejnými seznamy odesílatelů spamu, prověřování existence domény odesílatele, kontrolu průměrného počtu odeslaných e-mailů za hodinu. Firewally vás budou informovat o dění v síti(internetu), které podrobně monitorují. Budou vás informovat i o legálních procesech, vzniklých použitím některé vaší aplikace a dovolí vám tuto činnost uložit jako povolenou, či zakázanou.“ 28 Pro uživatele internetu je instalace brány forewall prvním krokem k efektivnější ochraně počítače a obsažených dat. Ochrana počítače v místě jejího připojení k internetu, tedy přímo na hranici sítě, pomůže odvrátit většinu hlavních útoků, které přicházejí zvenčí. Ze zkušenosti však víme, že mnohé dnešní velmi promyšlené a výkonné systémy, které používají hackeři a další útočníci, mohou proniknout i přes firewally, a proto je důležitá právě sekundární ochrana jednotlivých počítačů – viz. antivirový software a antispyware programy.
Antivirové programy: Firewally chrání síťovou komunikaci a antivirové programy zas „skenují“ soubory a hledají společné znaky virů shodné s antivirovou databází. Antivir kontroluje soubory, se kterými operační systém pracuje, zda neobsahují nějaký vir z databáze. Pokud je nákaza nalezena a identifikována
28 Zdroj: antivirovecentrum.cz [online];[cit. 28.2.2013], dostupný z WWW:< http://www.antivirovecentrum .cz/firewally.aspx
dokáže antiviru nabídnout několik řešení- napadený soubor buď vyléčí, uloží do karantény nebo infikovaný soubor smaže. Je nutno podotknout, že s přibývajícím počtem nových virů, by měla být databáze pravidelně aktualizována o nové přírůstky nákaz a tím být stále v aktuální pohotovosti před novou hrozbou. Nově nabízené antivirové programy umějí najít kromě virů i další druhy škodlivého softwaru- červy, trojské koně a jiné mal/ spyware programy. (AVG Antiviru, ESET, Avast atd…)
Anti-malware programy: Nejsou tak úzce specializovány, jako většina antivirových programů. Ochranu dokážou nabídnout proti větší škále nakažlivého softwaru. Umí blokovat zobrazování cílených reklam, přenos seznamu navštívených stránek, nechtěný zprávy a také detekovat větší hrozby – trojský kůň, červy, viry apod. Anti-malware fungují na principu skenování probíhajících procesů systému a stejně jako antivirové programy vyhledávají infikovaná místa, identifikují pomocí databázové knihovny a navrhnou řešení- vyléčit, uložit do karantény nebo smazat. (Malwarebytes, Emisoft)
2.2.2 Sociální inženýrství
Je to lstivá technika nenásilného získání určité informace s využitím podvodných emailů a telefonátů. Sociotechnik se snaží svým počínáním vytvořit klamnou iluzi o důvěryhodném sdělení a získat pro své účely potřebné údaje.
„Sociální inženýrství je způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace. Termín je běžně používán ve významu podvodu nebo podvodného jednání za účelem získání utajených informací organizace nebo přístup do informačního systému firmy.“29
Princip sociálního inženýrství (sociotechniky) je jednoduchý, proč by složitě získával hesla obcházením bezpečnostních prvků systému, když se na něj lze jednoduše zeptat. Uvedeme si názorný příklad: „Sociotechnik zavolá obchodníkovi nadnárodní společnosti a před staví se jako pracovník IT oddělení. Pod záminkou kontroly od
29 Zdroj: cs.wikipedia.org [online];[cit. 1.2.2013], dostupný z WWW: <http://cs.wikipedia.org/wiki/Sociální_
inženýrství/bezpečnost
něj získá jeho uživatelské jméno, které mu obchodník rád sdělí, protože je přece chráněno heslem ato znápouze on. Sociotechnik poté zavolá na IT oddělení dané společnosti, představí se jako zástupce obchodního oddělení a požádá o reset hesla u svého účtu.
Jelikož pracovníkovi IT oddělení sdělí své (před chvílí zjištěné) uživatelské jméno, tak je mu reset hesla proveden a sděleno heslo nové. Pracovník IT oddělení totiž předpokládá, že uživatelské jméno zná pouze pracovník, kterému bylo přiděleno.“30
Sociotechnikové používají i jiných praktik. Představ me si opět volajícího IT technika, žadající jménem firmy XY o změnění nastavení softwaru (např. vypnutí firewallu) nebo spuštění programu v příchozím emailu. To může mít za následek ztrátu kontroly na svým počítačem.
Phishing: U phishingu se k získání údajů a hesel používají podvodné emaily finančních institucí. Přijatý email má výbornou grafickou podobu a na první podled vypadá jako by byl skutečně odeslán bankou. Email obsahuje odkaz na podvodné stránky banky, kde jsou požadovány např.:číslo účtu, hesla k účtům a kreditním kartám. Ukážeme si několik případů phishingových emailů ze serveru HOAX31: ČSOB nemůže zpracovat vaši platbu, aktualizace kreditní karty VISA, aktualizuj poštovní schránku apod…
Prevence proti sociálnímu inženýrství: Výhodou sociálního inženýrství je skutečnost, že neútočí přímo na systém. Ten proto nemůže detekovat podezřelou aktivitu a vyhodnotit ji jako útok. Nejedná se tedy o technický problém a nelze použít žádných bezpečnostních aplikací. Každý sociotechnický útok je svým charakterem přizpůsobený danému účelu a je proto i těžké zpracovat nějaký obecný plán protiopatření. Jedinou obranou je ostražitost, nedůvěřivost a opatrnost. Snaha si zpětně ověřovat fakta na pobočce banky. Většina bank totiž nepožaduje ani nesděluje důležité informace po emailu nebo telefonu. Dále se lze chránit prozkoumáním odkazovacích linků, nepouštěním souborů v emailu, ve firemním prostředí dodržováním firemních směrnic pro nakládání a poskytování dat.
30Zdroj: theses.cz [online];[cit. 1.3.2013], dostupný z WWW:< http://theses.cz/id/lt9nef/Dip_prce-FINAL.
31Zdroj: hoax.cz [online];[cit. 1.3.2013], dostupný z WWW:< http://www.hoax.cz/phishing/co-je-to- phishing
2.2.3 Chyby operačního systému (OS):
Předchozí případy útoků doplňuje hrozba, kterou můžeme sice předvídat, ale v žádném případě ji nijak ovlivnit. Jedná se o bezpečnostní chyby operačních systémů (Microsoft- Windows, Aplle- Mac OS, Linux atd…), souborů a internetových prohlížečů (Internet Explorer, Gogole Chrom, Mozila Firefox, Opera, Safari). Chyby se nacházejí ve všech výše zmíněných programech už od vývoje a jsou to mezery v programovacím kódu programu. Pokud pachatel skulinku nalezne, může skrz ni pustit nákazu do počítače bez vědomí uživatele. Pro tyto případy IT vývojáři aplikací nabízí záplaty tzv. aktualizace.
Ty opraví nedostatky v zabezpečení a vůbec celého softwaru.
Prevence proti chybám operačního systému: Jedinou a nejúčinnější obranou proti chybám operačního systému je instalace nových verzí pravidelnou aktualizací. Pro tyto případy mají všechny zmiňované OS aplikaci vyhledávající nejnovější aktualizace a v případě nalezení jej nahlásí uživateli. Jedná se například o Windows update od Microsoft, správce aktualizačních balíků u Linuxu.32 U internetových prohlížečů se o to starají automatické aktualizace, které sami stáhnout nejnovější verzi. Ty kromě záplat mohou obsahovat také vylepšení grafického rozhraní prohlížeče, větší rychlost zobrazení obsahu stránky, nové aplikace a mnoho dalšího. Prevence bude tedy účinnější, pokud bude počítač nebo jiné používané zařízení k internetovému bankovnictví pravidelně aktualizováno a připojeno na síť internet.
Na pravidelnou aktualizaci a ochranu by se nemělo zapomínat ani v případě používání mobilních telefonů k internetovému bankovnictví. Mobilní operační systém (Android, iOS, Windows Mobile, Symbian aj.) je obdoba počítačovému a podléhá stejným hrozbám.
Každým rokem prudce stoupá počet nebezpečného malwaru pro mobilní operační systém. Tím nejvíce ohroženým je Android od společnosti Google. Může za to určitě její popularita a rozšířenost mezi uživateli mobilního zařízení.
„Bezpečnostní hrozby na mobilních operačních systémech - iOS 0,7%, Android 79%.“
32 Zdroj: průvodce-linuxem.cz [online];[cit. 1.3.2013], dostupný z WWW:< http://www.pruvodce-linuxem .cz/instalace-softwaru
