Vbanke vám väčšinou na podobnú otázku odpovedia kladne alebo vyhýbavo. Ale ani jasne záporná odpoveď nie je úplne pravdivá. Možno to vyznieva dosť mätúco, ale pravda je ako vždy niekde uprostred. Žiadna z činností, ktorá sa točí okolo peňazí, nie je absolútne bezpečná. A týka sa to aj moderných elektronických technológií, pretože vždy budú tí zlí a tí dobrí. Klient má smolu, že sa dostane medzi tieto dva mlynské kamene. Našťastie bezpečnosť bankových operácií prostredníctvom elektronických ciest rastie zo dňa na deň. Každý by mal byť opatrný, ale paranoja sa nevypláca.
Komplikované začiatky:
Približne pred rokom dve české banky oficiálne priznali, že niekto napadol účty ich klientov prostredníctvom internet bankingu. Na Slovensku sa podobný prípad oficiálne nestal. Informácie z rôznych zdrojov hovoria, že podobné, v niektorých prípadoch aj úspešné pokusy sa stali aj slovenským bankám. Rok je však dlhý čas. Banky odvtedy zistili, kde sú asi najväčšie slabiny elektronického bankovníctva. A začali odstraňovať relatívne veľké bezpečnostné diery. Sféra elektronického bankovníctva, kam patrí internet banking, phone banking, mobil banking, GSM banking, e-mail banking a e-obchod, sa vyvíja veľkou rýchlosťou. Preto je snahou bánk byť stále o krok pred tými, čo chcú bezpečnostné systémy zneužívať. Nie vždy sa im to darí. Pri zodpovednom prístupe oboch zúčastnených strán je však riziko minimálne.
Informovanosť základom:
Banky by mali svojich klientov informovať dôkladne a priamo, bez vyhýbavých odpovedí. Ako prvé by mali klientom ukázať bezpečnostné pravidlá a vysvetliť im najväčšie hrozby, ktoré z tohto druhu bankovníctva vyplývajú. Žiaľ, niektoré bankové domy to nerobia. Dokonca niekedy nevedia ani presne odpovedať na zvedavé a oprávnené otázky klientov. Nuž a práve informovanosť klientov bánk je základný predpoklad na bezpečné bankové operácie. Lebo technologickú stránku, ktorú banka zastrešuje, už nemôže klient nijako ovplyvniť. Pritom najviac útokov na bankové účty prostredníctvom internet bankingu urobia hackeri vďaka nezodpovednému prístupu neinformovaných klientov.
Bezpečnostné opatrenia:
Klient banky, ktorý využíva elektronické bankovníctvo, má väčšinou na výber dve formy správania. Buď zostane pasívnym účastníkom, keď môže napríkladvďaka internet bankingu alebo mobil bankingu sledovať uskutočnené transakcie na svojom účte. Alebo sa rozhodne pre aktívnu formu. Zabezpečenie existuje aj pri pasívnych operáciách, je však adekvátne riziku, ktoré pri tejto forme hrozí. Oveľa zložitejšie to je pri aktívnej forme. Klient reálne pracuje s peniazmi na svojich účtoch, presúva ich, posiela na iné účty alebo platí rôzne inkasá. Preto aj úroveň zabezpečenia musí byť oveľa vyššia. „Dnes sa používa pri prihlasovaní väčšinou minimálne dvojfaktorová autentifikácia založená na dvoch prvkoch. Na tom, čo viete, a na tom, čo máte,“ vysvetľuje formu zabezpečenia Peter Šteruský zo spoločnosti TEMPEST a. s., ktorá pracuje aj na bezpečnosti informačných systémov a elektronických komunikačných kanálov využívaných v bankách. Ak teda nemáte k dispozícii kombináciu takýchto dvoch prvkov, do systému sa prihlásiť nemôžete. Tým, čo viete, býva najčastejšie vaše identifikačné číslo alebo prihlasovacie meno a PIN, a to, čo máte, záleží na banke a miere zabezpečenia, ktorá je úmerná rizikám. Často dávajú banky svojim klientom takzvané grid karty, teda plastové kartičky vo veľkosti platobnej karty. Je na nich tabuľka rozdelená do viacerých riadkov a stĺpcov. V každej bunke je číselný kód. Zadávate ho po výzve systému. Slúži na identifikáciu, resp. autentifikáciu a tiež aj autorizáciu klienta. Grid karty sú najlacnejšie, ale aj najslabšie bezpečnostné riešenie. Oveľa bezpečnejšie sú generátory jednorazových hesiel – tokeny. Malé zariadenia, ktoré po zadaní PIN kódu vygenerujú reťazec znakov, jednorazové heslo na prihlásenie sa do systému. Prístroj využíva matematický algoritmus, ktorý zabezpečí jedinečnosť takto vygenerovaného hesla, pretože je odvodené od tajného kľúča bezpečne uloženého v tomto zariadení. Súčasne sa pri generovaní matematickým algoritmom okrem tohto tajného kľúča používajú aj ďalšie premenné, napríklad čas, počet prihlásení a údaje z predchádzajúceho úspešného prihlásenia. Jeden z ďalších spôsobov zabezpečenia aktívnych operácií v oblasti internet bankingu nevyžaduje ani grid karty, ani tokeny. Banka vtedy využíva ďalší nezávislý komunikačný kanál na zvýšenie bezpečnosti operácií. Výmena autentifikačných a autorizačných údajov môže prebehnúť napríklad prostredníctvom mobilného telefónu – ktorý v tomto prípade nahrádza token, teda to, čo klient má. Ďalšou možnosťou na zabezpečenie bankových operácií, na korektnú identifikáciu majiteľa účtu a autentifikáciu, teda na potvrdenie, že som ten, za koho sa vydávam, napríklad prihlasovacie heslo a autorizáciu, čiže overenie môjho oprávnenia na vykonanie operácie, je využitie systému dvojice kľúčov. Je to v rámci takzvanej infraštruktúry verejných kľúčov, známych tiež ako PKI, z anglického Public Key Infrastructure.
Sofistifikovaní útočníci:
Spôsobov, ako získať dôverné informácie od nepozorných, a predovšetkým neinformovaných klientov, je veľa. „Cyber kriminalita je veľmi atraktívna najmä vo sfére bankovníctva a všetky bezpečnostné technológie v tejto sfére sú vždy odpoveďou na reálne riziká, ktoré tam existujú. Absolútny, stopercentný spôsob, ako chrániť bankové operácie, však neexistuje,“ dopĺňa Peter Šteruský z TEMPESTu. Preto by práve klienti bánk mali plniť úlohu akejsi záchrannej brzdy v prípade, ak zlyhá ochrana. Hlavnou zásadou by mala byť práca v zdravom prostredí. Hovoríme najmä o počítačoch, z ktorých sa klienti pripájajú do internet bankingu. Dnes je už veľa softvérov, ktoré sa vedia nabúrať do akéhokoľvek počítača, sledovať ho a získavať dôverné informácie, napríklad bezpečnostné kódy. Preto by mal mať každý počítač aktuálny osobný firewall a aktuálny antivírusový program. Ak si klient aj dáva pozor, z akého prostredia uskutočňuje bankové operácie, hrozia mu ďalšie riziká. Hovoríme najmä o sociálnom inžinierstve, pharmingu a phishingu. Sociálne inžinierstvo je rafinovaný spôsob získavania dôverných informácií pomocou manipulácie. Tí, čo využívajú túto metódu, zneužívajú dôverčivosť ľudí vydávaním sa za známe a existujúce spoločnosti či bankové inštitúcie. Veľmi nebezpečnou a donedávna aj jednoducho realizovateľnou metódou bol pharming. Hlavné riziko pri tejto metóde spočíva už v samotnom prístupe na správnu stránku banky. Hackeri využívajúci tento spôsob vedia vytvoriť na prvý pohľad identickú stránku so stránkou banky, kde zákazníci realizujú internetové bankovníctvo. Banky riešia tento problém šifrovanou komunikáciou. Prostredníctvom protokolu SSL zabezpečujú komunikačný kanál tak, aby nikto nemohol vstúpiť počas vytvorenia spojenia medzi klienta a jeho banku a tváriť sa, že je banka, a ešte pritom buď pasívne sledovať informácie, alebo ich dokonca meniť. V prípade českých bánk však vedeli hackeri tento ochranný prvok nabúrať. Preto je dôležité, aby boli klienti bánk informovaní o aktuálnych protokoloch, o spoločnostiach, ktoré sú tieto protokoly a certifikáty oprávnené vydávať. Samotní klienti si platnosť certifikátu môžu overiť tak, že po vstupe na stránku internet bankingu kliknú na ikonu malej zámky na spodnej lište. Tam sa zobrazí názov organizácie, ktorá certifikát vydala, a dátum, do ktorého certifikát platí. Ak však banky potrebné informácie neposkytujú, klienti by ich mali od banky žiadať. Alebo dokonca zvážiť, či práve tá ich banka dbá na bezpečnosť cudzích peňazí v dostatočnej miere.
