Aj keď internetová gramotnosť Slovákov zaostáva v porovnaní s okolitými krajinami, údaje bánk potvrdzujú, že internetbanking sa stáva medzi klientmi aj u nás stále populárnejší. Objemy peňazí, ktoré sa presúvajú cez tento elektronický kanál rastú. V minulosti sa stalo niekoľko prípadov vykradnutia účtov cez internetbanking. Mnoho klientov z tohto dôvodu nedôveruje takejto komunikácii s bankou. Ako je to s bezpečnosťou používania internetbankingu sme sa porozprávali s Michalom Habardom, produktovým manažérom z oddelenia elektronického bankovníctva SLSP.

Pri zadávaní úkonov spojených s bankovým účtom v pobočke banky musí klient preukázať svoju totožnosť a podpísať príkazy podľa podpisového vzoru. Citlivé dokumenty mu banka odovzdáva osobne alebo pošle poštou v zalepenej obálke. Ako je to však s overovaním totožnosti klienta a ako s ním banka komunikuje ak používa internetbanking?

Banka overuje totožnosť

klienta pomocou bezpečnostných predmetov. Tým najtriviálnejším overením je prihlásenie klienta jeho menom a heslom. Heslo býva často statické, rovnaké pri každom prihlásení, pokiaľ si ho klient nezmení. Vyššia úroveň overenia totožnosti je jednorazové heslo, ktoré je pri každom prihlásení klienta iné. Pre generovanie takéhoto hesla sa zvyčajne používa špeciálne zariadenie, takzvaný token. V Slovenskej sporiteľni používame elektronický osobný kľúč.

Na prenos údajov pri internetbankingu sa používa verejná sieť. Ako je v tomto prípade zabezpečená ochrana a integrita prenášaných údajov?

Základnú ochranu poskytuje šifrovanie komunikácie medzi klientom a bankou. Najčastejšie sa používa protokol SSL. To, že je spojenie zabezpečené týmto protokolom signalizuje symbol zamknutého zámku v spodnom riadku internetového prehliadača. Umiestnenie zámku závisí od typu a verzie prehliadača.

Druhým indikátorom je zmena začiatku adresy z HTTP: na HTTPS:. To je to najzákladnejšie zabezpečenie, ktoré spĺňajú všetky stránky s dôležitým obsahom, ktorý je potrebné chrániť pred možným "odsledovaním" internetovými pirátmi.

Vyššia úroveň zabezpečenia je ochrana integrity správy, ktorú klient do banky zasiela - napríklad príkaz na úhradu. Integrita správy znamená, že vytvorená a odoslaná správa sa dostane od klienta do banky v nezmenenej podobe, t.j. že to, čo banka prijala, je skutočne to, čo klient odoslal. Integritu správy je možné zaručiť niekoľkými spôsobmi. Okrem elektronického podpisu banky využívajú špeciálne nástroje, ktoré podobne ako v Slovenskej sporiteľni už spomínaný elektronický osobný kľúč, zabezpečia integritu správy veľmi jednoduchým, ale neprelomiteľným spôsobom.

Zabezpečenie úhrady pomocou elektronického osobného kľúča je pre banku dostatočná záruka, že úhrada pochádza naozaj od klienta a nie od niekoho iného, kto sa za klienta iba vydáva. Elektronický osobný kľúč zabezpečuje nielen integritu, ale aj nepopierateľnosť správy.

Ako klient vie, že komunikuje s bankou a ako si túto skutočnosť môže overiť?

Základným prvkom zabezpečenia je protokol SSL. Okrem šifrovania komunikácie má ešte jednu užitočnú funkciu - klient si ním môže overiť, či sa naozaj pripojil na server banky, alebo jeho spojenie bolo presmerované bez jeho vedomia na niekoho

iného. Ak má však klient počítač nakazený počítačovým vírusom, alebo trójskym koňom, nemusí byť overenie servera pomocou SSL protokolu úplne bezproblémové. Aj na to však existuje liek - elektronický osobný kľúč vie pomôcť aj pri overení totožnosti servera banky pri pripojení klienta cez internetbanking.

Čo môže klient urobiť pre zabezpečenie svojho počítača?

Nebezpečie hroziace od internetových pirátov nie je zanedbateľné, ale nie sme bezbranní. Mimoriadne dôležité je udržiavať svoj počítač bez vírusov, trójskych koní alebo iných záškodníckych programov. Znie to jednoducho, ale nie je to vždy triviálne. Obzvlášť, keď počítač používa viac ľudí a počas pripojenia na internet nie všetci postupujú obozretne.

Preto je nevyhnutné mať na počítači nainštalovaný antivírusový a antispyware program, ktoré sú automaticky aktualizované. Ďalšou dôležitou vecou je automatická aktualizácia operačného systému a internetového prehliadača bezpečnostnými záplatami.

Ďalším užitočným programom je osobný firewall. Ten pri dobrom nastavení ochráni váš počítač pripojený na internet pred útokmi internetových pirátov. Po inštalácii zablokuje podozrivú komunikáciu smerom z internetu do vášho počítača aj opačným smerom.

Občas je nutné spojiť sa s bankou aj z neznámeho počítača, napríklad z internetovej kaviarne. Na čo si dávať pozor v tomto prípade?

Počítač v internetovej kaviarni je na pripojenie do internetbankingu tá najhoršia alternatíva. Rizikové je najmä zadávanie príkazov "podpísaných" bezpečnostným predmetom bez možnosti zaručenia integrity správy. Naopak v prípade, že človek je nútený využiť na pripojenie počítač s diskutabilným zabezpečením, je možné použiť nástroj so zabezpečením integrity, napríklad elektronický osobný kľúč, pri ktorom nehrozí modifikácia správy, alebo iný spôsob zneužitia diskrétnych údajov.

Internetoví piráti vymýšľajú stále nové postupy ako sa zmocniť peňazí klientov v bankách cez elektronické kanály. Aké sú ich najpoužívanejšie metódy, na čo si dať pozor a ako ich prípadne aj odhaliť?

V súčasnosti sa najčastejšie objavujú pokusy vymámiť od dôverčivých klientov podvodným spôsobom ich diskrétne údaje - napríklad prihlasovacie meno a heslo, prípadne pozície z GRID karty, číslo platobnej karty a pod. Sú to tzv. phishingové a pharmingové útoky. Rozdiel medzi týmito útokmi je iba v rafinovanosti a zákernosti, cieľ majú rovnaký - podvodným spôsobom získať a následne zneužiť citlivé údaje klientov. Zväčša vytvoria klientovi ilúziu, že je pripojený na stránku banky a požadujú od neho v mene banky napríklad zadanie viacerých pozícií GRID karty za účelom dodatočného overenia bezpečnostných informácií. Tomuto nebezpečiu sa môžeme vyhnúť splnením niekoľkých dôležitých zásad.

Predovšetkým by si mal zabezpečiť počítač proti zneužitiu,

neposielať identifikačné informácie emailom,neklikať na neznáme či podozrivé odkazy v emailoc a pred pripojením zadať vždy adresu priamo do prehliadača.

Pri otváraní príloh emailov by mal byť klient opatrný a v žiadnom prípade neotvárať prílohy od neznámych osôb. Treba si uvedomiť, že banka od Vás nikdy nebude požadovať zaslanie prihlasovacích údajov mailom, či zadanie viac ako jednej pozície z GRID karty a podobne. Podrobné informácie súvisiace s týmito útokmi poskytujú banky

klientom aj prostredníctvom internetových stránok.

Môže sa klient spoľahnúť, že pri používaní internetbankingu vo vašej banke o svoje peniaze nepríde?

Zabezpečenie systému Slovenskej sporiteľne spĺňa najvyššie bezpečnostné štandardy. K neoprávneným transakciám z účtu klienta môže dôjsť iba v prípade, že klientovo správanie na internete nie je obozretné, nedodržiava základné bezpečnostné pravidlá, a že zverí svoje bezpečnostné predmety do rúk nepovolaným osobám.

Ak klient prezradí svoje prihlasovacie údaje a údaje na zabezpečenie transakcií nepovolanej osobe, tá má jedinečnú možnosť vydávať sa za klienta aj pri komunikácii s bankou. Ak však bude dodržiavať základné zásady bezpečnej komunikácie na internete, dokáže eliminovať riziko zneužitia jeho účtu.

Vladimír Ješko