Tuzemské banky používají různé způsoby zabezpečení svého internetového bankovnictví, mezi které patří osobní klientské certifikáty, uložené v souboru nebo na čipové kartě, klientská hesla, bezpečnostní klíče či autorizační prvky v podobě SMS zpráv.
Podle expertů je zabezpečení českého internetového bankovnictví srovnatelné se zahraničím. Mezi jejich využitím peněžními ústavy podle nich však panují značné rozdíly. Nejméně bezpečné je podle expertů zabezpečení pomocí tzv. kvalifikovaných certifikátů. K tomuto názoru se přiklání i počítačový expert Petr Nápravník. "Některá technická zdokonalení mohou na první pohled vypadat jako dokonalá, ale skrývají v sobě novou slabinu. Internetové bankovnictví doplněné o čipovou kartu je možné zneužít i bez vědomí uživatele," prohlásil.
Autorizační prvky jsou bezpečnější
Způsob zabezpečení pomocí podepisování prostřednictvím osobního certifikátu v souboru používala i Komerční banka. Po nedávných událostech přidává k tomuto zabezpečení i další bezpečnostní prvek. Nyní musí klient KB při provádění aktivních operací zadávat i autorizační SMS kód. "Jde v podstatě o jednorázové heslo, které bude uživateli zasláno prostřednictvím SMS," uvedla mluvčí banky Marie Petrovová.
Mezi technická řešení, která jsou od svého počátku méně náchylná na zneužití, zařadil Nápravník například právě jednorázové heslo zasílané na mobil či autentizační kalkulátor.
Banky vyzývají klienty k ochraně osobních údajů
Banky připouštějí, že se zneužitím osobních údajů v elektronickém bankovnictví setkávají. Proto doporučují lidem, aby své údaje a přístupová hesla více chránili. Samotných narušení bankovních systému je totiž velmi málo a ve valné většině případů jde právě o nedodržování bezpečnosti ze strany klientů, shodují se zástupci bank.
Lidé by měli například uchovávat osobní certifikáty na přenosném médiu a bezpečném místě, nastavit si v elektronickém bankovnictví vhodné limity pro jednotlivé transakce nebo si nastavit zasílání mailů a SMS zpráv s informacemi o platbách provedených z účtu nebo platební karty, radí klientům peněžní ústavy.
Experti: Máme bezpečný trh
Na "nezodpovědnost" uživatelů internetového bankovnictví upozorňují i experti. "Mnoho uživatelů si neuvědomuje hrozby, které jsou s tím spojené. Většinou mají jen antivirovou ochranu, ale už ne ochranu proti špiónským programům a 'firewally', které by kontrolovaly nejen příchozí data, ale i data, která jdou z počítače ven," upozornil zástupce antivirové firmy McAfee v ČR Vladimír Brož. Heslo i certifikát lze prý odposlechnout. Pokud to má někdo na harddisku, tak je to v podstatě veřejná informace, poznamenal. Heslo i certifikát lze prý odposlechnout.
Obecně považují experti trh internetového bankovnictví za dostatečně zabezpečený. Řada bank nabízí oba popsané způsoby zabezpečení, některé jako třeba Citibank nebo Volksbank jen ten méně bezpečný způsob. Mezi nejlépe zabezpečené systémy internetového bankovnictví jsou považovány ty, které v ČR využívá HVB Bank nebo eBanka.
Anketa
Bezpečností internetového bankovnictví se zabývala i naše anketa. Vybraným tuzemským bankám jsme položili následující otázky:
1.) Jakým způsobem je zabezpečeno internetové bankovnictví Vaší banky?
2.) Můžete vyloučit, že je možné získat přístup k peněžnímu účtu Vašeho klienta bez jeho vědomí?
3.) Používá Vaše banka v rámci internetového bankovnictví autorizační prvky (ověření platnosti platby prostřednictvím internetového bankovnictví)?
4.) Jakými způsoby Vaše banka bojuje proti možnému zneužití účtů Vašich klientů?
5.) Došlo ve Vaší bance k zneužití účtů Vašich klientů prostřednictvím internetového bankovnictví?
Česká spořitelna - Simona Můčková, odbor firemní komunikace ČS
1.) V současné době k základní formě zabezpečení (klientské číslo a heslo) využívají klienti ČS i doplňkové prvky především v podobě sms zpráv a e-mailů. Jako vyšší prvek zabezpečení již ČS delší dobu nabízí i klientské certifikáty (digitální podpis). Od září 2005 pak mohou klienti využívat tzv. grafické klávesnice, kterou využijí pro přihlášení do aplikace Internetbanking. Klientům doporučujeme, aby důsledně chránili klientské číslo a heslo, využívali aktivně kombinace bezpečnostních prvků služby S24, heslo často obměňovali a nikdy se nepřihlašovali do aplikace Internetbanking v nedůvěryhodném prostředí (např. internetové kavárny) a používali legální a aktualizovaný operační systém, aktuální antivirový program a personální firewall. Zároveň doporučujeme, aby klienti průběžně kontrolovali své účty.
2.) Slabým článkem může být počítač klienta, který může být zneužitý s využitím počítačových virů nebo phishingu (podvodné e-maily a podvržené webové stránky, které vypadají jako stránky banky).
Proto také klienty průběžně informujeme na stránkách služby SERVIS 24 Internetbanking o bezpečném používání služby.
3.) Bezpečnostním prvkem, který banka zavedla v červenci 2005, je tzv. autorizační SMS. Klient při zadání platby přes Internetbanking, která převyšuje jeho uživatelský limit, obdrží na mobilní telefon speciální SMS s detaily transakce a autorizačním kódem pro potvrzení operace.
4.) V současné době k základní formě zabezpečení (klientské číslo a heslo) využívají klienti ČS i doplňkové prvky především v podobě sms zpráv a e-mailů. Jako vyšší prvek zabezpečení již ČS delší dobu nabízí i klientské certifikáty (digitální podpis). Plánujeme další doplnění bezpečnostních prvků, podrobnosti sdělíme na setkání s novináři v pondělí 28.8.2006.
5.) Internet je prostředí, které se stává terčem různých podvodníků a nepoctivců. Česká spořitelna se setkává s pokusy o nabourání klientských účtů v rámci internetového bankovnictví. Díky našim bezpečnostním mechanizmům se nám však daří těmto útokům čelit. I v poslední době jsme zaznamenali několik pokusů, kdy se někdo pokusil dostat k cizím prostředkům na účtu. Nedošlo však k žádnému prolomení vnitřního systému banky, ale jde o problém zneužití údajů jednotlivých klientů. K pokusům o zneužití i k převodům prostředků došlo, díky našim bezpečnostním mechanizmům jsme však tyto operace zachytili. Prostředky jsme klientům vrátili na účty. Nedošlo k žádnému poškození klienta. Klienti se tedy nemusejí ničeho obávat, jejich peníze jsou v bezpečí. Vzhledem k tomu, že jde o trestný čin, případy jsme předali policii, se kterou úzce spolupracujeme.
Komerční banka - tisková mluvčí Romana Ondrůšková
1.) Klienti pro přístup ke svým účtům využívají vždy svůj Osobní certifikát vydaný Komerční bankou, který je vydáván v souladu se zákonem o elektronickém podpisu. Osobní certifikát zajišťuje jednoznačnou identifikaci klienta a v případě podepsání transakce i integritu a neodmítnutelnost podepsaných údajů. Je to jakýsi "přístupový klíč" k financím klienta. Každý certifikát je ještě chráněn klientským heslem. KB nabízí klientům možnost uložit si certifikát na čipovou kartu nebo do souboru. V současné době zavádíme nově dodatečnou autorizaci aktivních transakcí prostřednictvím SMS pro případ, kdy klient k autorizaci použije certifikát uložený v souboru. Komerční banka dále nově zavádí zobrazování informací o datumu a času posledního přihlášení uživatele do aplikace Mojebanka. Dále máme nastaveny nová interní pravidla pro monitorování chování klientů v internetovém bankovnictví.
2.) Stávající zabezpečení transakcí prostřednictvím osobních certifikátů uložených na čipové kartě, nebo osobních certifikátů v souboru v kombinaci s autorizačním SMS kódem, představují velmi vysokou úroveň zabezpečení
Pro další posílení bezpečnosti při využívání počítače klienta pro komunikaci s bankou je nutné rovněž dbát na dodržování bezpečnostních pravidel, o kterých banka klienta informuje v "Desateru bezpečnosti". Tato pravidla obdrží každý nový klient Internetového bankovnictví KB a jsou i volně dostupná na našich Internetových stránkách.
Při dodržování výše uvedených pravidel je pravděpodobnost zneužití Internetového bankovnictví KB téměř nulová.
3.) Autorizace plateb probíhá na bázi podepisování veškerých aktivních operací osobním certifikátem klienta. KB vydává certifikáty v souladu s platným Zákonem o elektronickém podpisu. Od 26.8.2006 nově zavádíme dodatečnou autorizaci uživatele pomocí SMS autorizačních kódů pro uživatele s osobním certifikát v souboru.
4.) Zavedením dodatečné SMS autorizace pro klienty s osobním certifikátem v souboru je rozhodně významným krokem ke zvýšení bezpečnosti, KB také standardně již několik let umožňuje uložení certifikátu na čipovou kartu.
5.) Ano, zaregistrovali jsme deset takových případů. Komerční banka má v současné době 330 000 klientů Přímého bankovnictví, kteří ročně provedou 7 milionů platebních transakcí v objemu 400 miliard Kč
ČSOB - Kateřina Bednářová, Manažer externí komunikace a tisková mluvčí
1.) Při přihlášení do elektronického bankovnictví ČSOB zadává buď identifikační číslo a PIN nebo se přihlašuje prostřednictvím certifikátu na čipové kartě. U firemních uživatelů služby ČSOB BusinessBanking 24 je v obou případech požadováno také zadání čísla majitele instalace.
Pokud klient nemá žádný autorizační nástroj (elektronický podpis nebo SMS klíč), může provádět pouze pasivních operací (zjištění zůstatku, prohlížení pohybů na účtu, náhled na příkazy čekající na zpracování...). Veškeré aktivní operace musí být autorizovány.
2.) Systém elektronického bankovnictví ČSOB považujeme za velmi bezpečný a dostatečně ochráněný proti útokům zvenku. Pokud se do případné defraudace zapojí zaměstnanec banky mající příslušné znalosti a přístupy, tak se to sice povede, ale pachatel nebo spoluviník je většinou brzy odhalen. Všechny činnosti a operace v bankovních systémech se monitorují a tak ve velmi krátké době dojde nejen k odhalení podvodu, ale dá se i jednoznačně určit, kdo se na něm podílel.
3.) Ano, autorizována je každá jednotlivá platba bez ohledu na její výši. Autorizace probíhá buď unikátním SMS klíčem a nebo elektronickým podpisem generovaným na čipové kartě. ČSOB jako první velká banka zavedla autorizaci SMS klíčem již v říjnu 2003, teprve s odstupem následovaly některé další české banky.
4.) Zabezpečení elektronického bankovnictví věnuje ČSOB velkou pozornost a neustále investuje do zlepšení kontrolních mechanismů a zkvalitnění služeb. Konkrétní příklady ochrany elektronického bankovnictví jsou udeveny v předchozích odpovědích. Nedílnou součástí je také zodpovědný přístup klientů k ochraně jejich účtu či platební karty. Proto klienty vždy informujeme o pravidlech bezpečného využívání jednotlivých bankovních produktů.
5.) V historii elektronického bankovnictví ČSOB žádný takový případ nebyl.
HVB Bank - tisková mluvčí banky Petra Kopecká
1.) Naše internetové bankovnictví disponuje tím, co považujeme za prakticky nejvyšší možný bezpečnostní standard a jinou možnost autentizace, třeba se sníženým bezpečnostním standardem, na rozdíl od konkurence neumožňujeme.
Pro autentifikaci klientů nevyužíváme certifikáty od žádné certifikační autority, ale zabezpečení prostřednictvím přenosného bezpečnostního klíče, který je zcela oddělen od počítače tzn. klient nemusí instalovat nic do svého počítače.
Tento bezpečnostní klíč=token (ve formě "kalkulačky") generuje po zadání klientem zvoleného PIN v každém časovém okamžiku jedinečný bezpečnostní kód, který klient používá při vstupu a potvrzování aktivních transakcí v aplikaci Online Banking. Tento kód platí pouze velmi krátký čas (v řádu sekund) a lze jej použít pouze jednou. Možnost zneužití je tedy prakticky vyloučena.
Je však nutné, aby klienti maximálně dodržovali veškerá bezpečnostní opatření, tj. neposkytovali PINY a hesla jiným osobám, chránili si své osobní údaje a v případě, že dojde ke ztrátě tokenu nebo telefonu kontaktovali naši banku.
2.) Ano, pokud budou dodrženy všechny zásady zabezpečení ze strany klienta, především, že nikomu nesdělí PINY a hesla.
3.) Ano, token kód.
4.) Bezpečnostní systém internetového bankovnictví Online Banking je využíván jako standard v rámci HVB Group a je certifikován mezinárodními bezpečnostními agenturami. Zatím není znám jediný případ zneužití této technologie a to ani v mezinárodním měřítku.
Kromě technického zabezpečení fungují v HVB i přísné interní postupy. Jedním z nich je například tzv. Princip 4 očí, což v reálu znamená, že při zadávání dat do systému, která se týkají klientských účtů a úkonů spojených se správou účtu jeden pracovník banky data zadává a druhý je pak kontroluje.
5.) Vzhledem k tomu, že HVB Bank používá k přístupu přes kanály přímého bankovnictví nejvyšší možný bezpečnostní standard, nezaznamenali jsme zatím žádný takový případ.
Reifesenbank - vedoucí PR týmu Tomáš Kofroň
1.) U internetového bankovnictví používáme standardní zabezpečení formou SSL protokolu v kombinaci se serverovým certifikátem, uživatelem volitelné uživatelské jméno a heslo, podpisový certifikát chráněný uživatelem volitelným bezpečnostním heslem, autorizační SMS, možnost variabilního nastavení rozsahu práv k jednotlivým účtům včetně možnosti omezení maximální denní částky platebních příkazů. Veškeré bezpečnostní prvky poskytujeme a obnovujeme zdarma.
Aktivní transakci (tedy především platby a trvalé příkazy) je dle volby klienta možné podepsat buď pomocí podpisového certifikátu, jehož každé použití je navíc potřeba potvrdit bezpečnostním heslem (obdoba PINu), nebo pomocí SMS kódu. SMS kód je osmimístné jednorázové číselné heslo, které je zasláno na uživatelův mobilní telefon a které uživatel přepíše do aplikace Internetového bankovnictví. SMS kód je vázán na konkrétní transakci a jeho platnost je časově omezená. Použití certifikátu i zaslání SMS kódu je zdarma.
2.) Doposud jsme žádný podobný případ nezaznamenali a snažíme se co nejvíce podobné možnosti zamezit.
3.) Ano, klient používá buď podpisový certifikát nebo potvrzení transakce prostřednictvím SMS kódu.
4.) Postupně rozšiřujeme ochranu přímého bankovnictví. Kromě neustále se zvyšující ochrany internetového bankovnictví klademe důraz i na osvětu mezi klienty. Snažíme se klientům poskytnout maximální možné informací tak, aby někdo případně nezneužil jejich důvěry a nezískal přístup k jejich účtu. Klientům tedy doporučujeme, jak chránit jejich počítač, na kterých místech lze internetové bankovnictví bezpečně používat apod.
5.) Od roku 2001, kdy služby internetového bankovnictví nabízíme, jsme nezaznamenali žádný případ zneužití účtu tímto kanálem.
Živnostenská banka - Ivo Polišenský, PR Manager
1.) NetBanka Živnostenské banky je nabízena ve dvou variantách zabezpečení. První varianta, NetBanka s digitálními certifikáty, s nadstandardním způsobem zabezpečení využívá technologii digitálních certifikátů. Ve spojení s uložením certifikátů v alternativním úložišti představuje toto řešení v současné době špičkovou ochranu aplikace internetového bankovnictví. Pro užívání této verze je nutné získat od Živnostenské banky dva certifikáty - "SSL certifikát" pro ověření přístupu, resp. totožnosti uživatele a "podpisový certifikát" pro potvrzení (digitální podpis) odesílaných transakcí do banky.
Druhá verze, NetBanka s jednorázovými hesly, se vyznačuje velice snadným způsobem aktivace a práce s aplikací při zachování standardního způsobu zabezpečení. Pro přihlášení slouží, stejně jako u první verze, uživatelské jméno a vstupní heslo. Potvrzení odesílaných transakcí do banky probíhá prostřednictvím jednorázových hesel, která si můžete také nechat zaslat SMS zprávou na váš mobilní telefon. U obou variant je komunikace mezi počítačem uživatele a bankou šifrována.
2.) Živnostenská banka využívá taková technická řešení internetového bankovnictví a má nastaveny takové interní procesy kontroly a zabezpečení internetového bankovnictví, aby riziko neoprávněného zneužití aplikací internetového bankovnictví co nejvíce minimalizovala.
3.) Ano.
4.) Pravidelnou a podrobnou kontrolou bezpečnosti technického řešení, auditem interních procesů souvisejících s provozem internetového bankovnictví, průběžným zdokonalováním systémů přímého bankovnictví podle nejnovějších trendů technického řešení internetových aplikací. Klienty také na našich webových stránkách i při osobních návštěvách na pobočce podrobně instruujeme o zásadách bezpečného provozu internetového bankovnictví.
5.) Ne.
GE Money Bank - tisková mluvčí Eva Chaloupková
1.) GE Money Bank nabízí Internet Banku se třemi variantami zabezpečení - kromě hesla nabízíme klientům mobilní klíč nebo certifikát a navíc službu SMS servis.
Pro zabezpečení se používají hesla, která obsahují povinně minimálně osm znaků, velká a malá písmena a číslice. Doporučujeme klientům hesla pravidelně měnit (doporučená perioda je jednou měsíčně). K bezpečnosti klienta přispívá fakt, že v rámci přístupu přes heslo je omezen denní limit pro výběr na maximálně 10 000 Kč, ale klient si tento limit může libovolně snížit.
2.) GE Money používá vysoce zabezpečené kanály přímého bankovnictví. Instruujeme naše klienty, jak mají tyto kanály bezpečně využívat. Měli by chránit a měnit přístupová hesla, využívat zabezpečený hardware, opratřený kvalitním bezpečnostním software. Měli by se řídit instrukcemi banky a osobní údaje nezasílat nezabezpečenými internetovými kanály (např. e-mail).
3.) GE Money Bank nabízí klientům od listopadu 2005 způsob přihlášení prostřednictvím mobilního klíče. Mobilní klíč je jednorázové osmičíselné heslo nutné pro přihlášení do internetového bankovnictví. Klient ho obdrží zdarma prostřednictvím SMS zprávy na svůj mobilní telefon, a to do deseti vteřin po odeslání požadavku. Mobilní klíč zvyšuje bezpečnost přihlášení, úspěšné přihlášení lze uskutečnit až po doplnění získaného hesla. Platnost mobilního klíče je přitom omezena na dobu pěti minut od vygenerování v bance, každé heslo se dá použít pouze pro jedno přihlášení.
4.) viz odpověď 2.)
5.) GE Money Bank doposud nezaznamenala případ poškození klienta zneužitím internetového bankovnictví.
