BEZKONTAKTNÍ PLATEBNÍ STYK Z HLEDISKA KYBERNETICKÉ BEZPEČNOSTI V PROSTŘEDÍ ELEKTRONICKÉHO BANKOVNICTVÍ doc. RNDr. Josef Požár, CSc. Ing. Vladimír Šulc Ph.D.
Anotace Cílem článku bylo poskytnout pohled na problematiku bezpečnosti v bezhotovostním bezkontaktním platebním styku a uvést kontrolní mechanismy, které vedou k nastavení pravidel, aby finanční ztráta byla pro klienta co nejmenší.
Klíčová slova platební karta, kybernetická bezpečnost, bezkontaktní platební styk.
Abstract The aim of the article was to provide a perspective on the issue of security in contactless payment systems and indicate the control mechanisms that lead to setting up rules to make the clients financial loss aslow possible.
Key words payment card, cyber security, contactless payments.
Úvod Cílem článku je stručně vyjádřit moderní bezkontaktní platební styk z hlediska kybernetické bezpečnosti (kyberbezpečnosti) v prostředí elektronického bankovnictví a uvést některé pohledy na vybrané principy systémového a kybernetického přístupu1 k nově pojaté kybernetické bezpečnosti aplikovatelné pro praxi, zahrnující také činnost manažerů v této oblasti a také samozřejmě informační a komunikační technologie (ICT představující informační aktiva, která mají důležitou roli v informační a v budoucnu ve znalostní společnosti). Dále je v tomto článku popisováno systémové vyjádření kybernetického modelování pro reálný systém při aplikacích profesního inženýrství v manažerské práci a také k možné a předpokládané identifikaci zranitelných míst informačních aktiv při bezkontaktním platebním styku. Předpokladem celého systémového vymezení problematiky je pochopení logiky aplikací kybernetického zákona pro reálné prostředí jako kybernetického modelu a jeho dílčích podsystémů při předpokládaných kybernetických útocích a možného ovládání rizik pro krizová řešení v kyberprostoru aplikací kybernetické bezpečnosti – například kybernetické hrozby (kyberhrozby) vnímané dnes nesystémově jako finanční ztráty v elektronickém bankovnictví (e-banking), dále jako ztráty a zneužití osobních dat v elektronickém podsystému státní a veřejné správy (e-government), narušení elektronického podnikání (e-business), znemožnění rozvoje elektronických obchodů a obchodování (e-commerce, e-shop na Internetu apod.) nebo při užití kybernetického terorismu (kyberterorismu) v oblasti aktivit organizovaného zločinu nebo šíření desinformací. Důležitou součástí je také role nutných systémových integrací prostředků bezpečnosti v kyberprostoru a jejich možného zneužívání k průmyslové, vojenské a politické špionáži. Článek se řadí do oblasti praktického využívání vybraných teoretických základů informací, informatiky, aplikované matematiky, řízení, operačního výzkumu, metod kybernetiky, tvorby modelů a modelování reálných systémů, kryptografie, robotiky a základních principů umělé inteligence a také základní orientace v dynamice
1
DVOŘÁK,J. a kol. Possibilities of system integration in applied cybernetics. In Vision 2020: Sustainable Growth, Economic Development, and Global Competitiveness. 20. Valencia: IBIMA, 2014. s. 1469-1476. ISBN: 978-0-9860419-2- 1.
současných aplikací informačních technologií (IT) s ohledem na uživatelské prostředí informačních a komunikačních technologií (ICT) a informační bezpečnost (HW a SW) a užití inteligentních ICT a počítačových sítí v dynamice vývoje nových prostředků kybernetické bezpečnosti.
Výchozí předpoklady řešení problematiky V české republice stále více přichází do popředí bezhotovostní bezkontaktní platební styk. Je to především rychlé a pohodlné, protože při placení částek nižších než 500 korun se nemusí zadávat PIN. Najdou se ale i takoví klienti, kteří stále upřednostňují kontaktní platební karty, ale u mnoha bank už v současné době narazí. Bankovní statistiky ukazují, že více než polovina karetních transakcí je provedena bezkontaktními platebními kartami, ty už nyní vlastní čtyři pětiny obyvatel u nás.
Zadávání PIN i při bezkontaktním placení Přesto, že při placení menších částek není zapotřebí platbu potvrdit svým PINem, může se stát, že platbu bez zadání bezpečnostního hesla nelze provést. Banky totiž mají pro případy zneužití nastaveny kontrolní mechanismy, kdy čas od času musíte i při bezhotovostní platbě do 500 korun zadat PIN. V současné době jsou i takoví klienti, kteří o bezkontaktní karty nemají zájem a PIN kód chtějí zadávat i při menších platbách. Ovšem většina tuzemských bank už klientům vydává pouze bezkontaktní platební karty z důvodu malého zájmu o kontaktní karty. V současné době jen některé banky (například ČSOB, Era, GE Money Bank, mBank nebo Raiffeisenbank) vydají klientům kontaktní kartu jen v případě, že nemá zájem o bezkontaktní kartu. Banky standardně klientovi po expiraci jeho původní platební karty vydají bezkontaktní, pokud má ale zájem o kartu kontaktní, na vyžádání mu jí vydají - nabízí kontaktní variantu u kreditních karet (kartu MasterCard Fix) a u debetních karet (kartu Maestro). Některé banky i přesto, že v nabídce mají jen bezkontaktní karty, vycházejí klientům vstříc a umožňují jim vypnutí bezkontaktní funkce. S tímto je možné se setkat například u České spořitelny, mBank, UniCredit Bank nebo Zuno.
Vypnutí bezkontaktní funkce probíhá při výrobě karty - tedy v případě její automatické výměny, nebo žádosti o vydání nové či náhradní karty. Možnost vypnutí bezkontaktnosti u platební karty je zdarma a klient o ní může požádat buď v pobočce, nebo na informační lince. Klient má na výběr - buď si vybrat čistě kontaktní kartu, nebo si u bezkontaktní karty nechat tuto funkci vypnout. Liší se to podle karetní asociace a typu karty. Obecně u Visa debetních karet nabízí možnost volby kontaktní či bezkontaktní, u MasterCard je možnost funkci vypnout. U některých debetních karet umožňují bezkontaktní platby deaktivovat, stačí zavolat na infolinku bankovního sektoru.
Ochrana klientů Bezkontaktní karty v České republice zdomácněly. Jejich obliba roste i díky rychlosti transakcí, kdy při platbě částky menší než 500 korun se nemusí zadávat PIN. Na druhou stranu se však někteří klienti obávají zneužití karty, pokud ji ztratí nebo jim ji někdo odcizí. Proto mají v současné době banky nastavený bezpečnostní systém, kdy je čas od času nutné zadat při placení malé i částky PIN. Ztrátu platební karty nemusí každý z nás hned zaregistrovat, a tak se může snadno stát, že karta bude ještě před zablokováním zneužita. Banky mají nastavená interní pravidla hlídající, aby v těchto případech byla finanční ztráta pro klienta co nejmenší. Sledují například počet za sebou jdoucích karetních transakcí finančních částek do 500 korun či objem uskutečněných transakcí a podobně. Z bezpečnostních důvodů však podrobnosti ohledně pravidel a nastavených limitů nesdělují. Pokud zjistí, že se kartou platí vícekrát, než je běžné, nebo zaznamenávají více transakcí rychle za sebou, platební terminál si může vyžádat zadání PIN kódu. V podstatě to funguje tak, že se vyhodnocuje několik parametrů, jako je výše částky, geografické místo platby, typ obchodníka a podobně. Bezkontaktní karta obvykle umožní několik plateb pomocí jejího přiložení k platebnímu terminálu bez zadání PIN kódu, ale jednou za čas vyžaduje ověření, proto vyzve klienta k jeho zadání, a to třeba i při platbě finanční částky nižší než 500 korun. Z bezpečnostních důvodů je nastavený čítač na sumu objemů po sobě jdoucích bezkontaktních transakcí bez zadání PINu. Po dosažení maximální hodnoty tohoto čítače je nutné, aby klient
při použití karty zadal PIN, poté jsou opět umožněny další platby bezkontaktně bez zadání PIN kódu. Z důvodů bezpečnosti je u banky Zuno nastaven limit pro za sebou jdoucí bezkontaktní karetní transakce. Po vyčerpání tohoto limitu je potřeba při placení zadat PIN kód nebo vybrat hotovost z bankomatu. V UniCredit Bank nastavují limit podle toho, jak klient běžně svou kartu využívá. Pokud je zjištěno, že se kartou platí vícekrát, než je běžné, nebo se zaznamená více transakcí rychle jdoucí za sebou, platební terminál si může vyžádat od klienta zadání PIN kódu. Jakmile klient zjistí ztrátu či odcizení své bezkontaktní karty, je potřeba ji ihned zablokovat. V případě, že by kartou někdo stihl ještě před zablokováním zaplatit, mají banky podle zákona o platebním styku možnost požadovat spoluúčast klienta až do výše 150 eur (zhruba čtyři tisíce korun) za neautorizované transakce. Přístup bank k požadované spoluúčasti je různý, jednotlivé případy posuzují často individuálně. Některé (například ČSOB a Era, Equa bank, mBank či UniCredit Bank) spoluúčast vyžadují. Další banky (například Air Bank, Cetelem, Expobank či Fio banka) spoluúčast u transakcí, které nebyly potvrzeny zadáním bezpečnostního kódu, nepožadují. U bezkontaktního placení bez zadání PIN kódu spoluúčast nevyžaduje Air Bank, ale spoluúčast klienta se vyžaduje v případě, že byla transakce verifikována PIN kódem, u bankovní instituce Cetelem. V případě odcizení a prokazatelném zneužití karty, pokud k němu dojede při bezkontaktní platbě bez zadání PIN, nevyžaduje spoluúčast Expobank CZ. Reklamaci uznávají a spoluúčast nepožadují, pokud skutečně došlo ke zneužití bez zadání PINu a klient dodržel pravidla bezpečného nakládání s kartou, u Fio banky. Spoluúčasti se dá vyhnout i tím, že se karta pojistí proti ztrátě či krádeži.
Monitoring podezřelých transakcí Banky mají nastaveny mechanismy, pomocí nichž monitorují transakce kartou a pohyb na účtu. V případě, že mají podezření na zneužití karty, klienta ihned
upozorní, popřípadě kartu rovnou zablokují. Banky vlastní systém automatického hlídání podezřelých transakci, do kterého spadají všechny transakce kartami. Při podezření kontaktují klienta, pokud jsou si jisti zneužitím, kartu preventivně zablokují. Pokud dojde k nestandardnímu chování, spojí se s klientem, aby si ověřili, zda operace opravdu dělá on, nebo zda došlo ke ztrátě či zcizení karty a kartu zablokují. Vydavatel platebních karet má povinnost sledovat autorizace z pohledu četnosti, výše a typu transakcí. U bezkontaktních karet je nastaveno pravidlo, že pokud jsou jednou kartou provedeny opakovaně bezkontaktní platby do částky 500 korun během krátkého časového úseku, systém automaticky vygeneruje upozornění, operátor kontaktuje telefonicky klienta a ověřuje, zda se nejedná o zneužití. Jiné pravidlo je postaveno na geografickém rozlišení. Pokud obdrží autorizační dotazy, které indikují, že karta byla v rozmezí několika minut přítomna při platbách v České republice a v zahraničí (například Česká republika a USA), opět je vygenerována notifikace. Bankovní sektory mají seznam rizikových obchodních míst, kde se monitoruje četnost použití platebních karet.
Praktické řešení dílčích problémů Nové bankomaty nepotřebují karty, vystačí si s mobilem Velkým bankám došla trpělivost s podvodníky, kteří na jejich bankomaty montují nejrůznější skimmovací zařízení. Prostřednictvím nich dokážou zkopírovat platební kartu včetně všech bezpečnostních prvků a vyčerpat finanční prostředky lidem z účtů. V USA se tak začínají nově rozmáhat bankomaty, jež karty vůbec nepotřebují, a peníze se vybírají pomocí mobilního telefonu (obr. 1).
Obr.1 Platební terminál Zdroj: Novinky.cz 18. února 2016 Jak upozornil Národní bezpečnostní tým CSIRT, který je provozován sdružením CZ.NIC, nahrazení karty mobilním telefonem je vcelku logickým bezpečnostním krokem. Banky tím reagují na vysoké ztráty způsobené tzv. skimmingem, tedy odcizením autentizačních údajů platebních karet. Nové bankomaty se vyznačují tím, že nemají štěrbinu pro vložení platební karty, ale disponují čtečkami pro mobilní technologie umožňující autentizaci pomocí aplikace v chytrém telefonu (obr. 2).
Obr.2 Bez kartové bankomaty od banky Chase Zdroj: Novinky.cz 18. února 2016 Nové bankomaty podle serveru Tech Times dovolují používat nové platební metody, jako je například Apple Pay či Samsung Pay. V USA se pro jejich instalaci rozhodlo již několik finančních institucí, jako jsou například Bank of America, Wells Fargo či Chase. Jen během ledna a února 2016 bylo nainstalováno několik stovek nových bankomatů. Během nadcházejících 18 měsíců jich chtějí banky po USA rozmístit na 80 000.
Bezpečnější a pohodlnější transakce Podle bezpečnostních expertů představují nové bez kartové bankomaty rychlejší a bezpečnější transakce. Zároveň jsou pro uživatele pohodlnější, protože při výběru nemusejí myslet na to, jestli mají zrovna u sebe kartu. Naopak mobil nosí většina lidí neustále u sebe.
Obr.3 Bez kartové bankomaty od Bank of America Zdroj: Novinky. cz 20. února 2016
Doposud bylo s chytrými telefony možné platit pouze v obchodních řetězcích. Vybírat skutečné peníze z bankomatů je ale možné až nyní (obr. 3). Patrně i proto zahraniční média popisují novou technologii jako jednu z nejlepších inovací bankovních služeb v letošním roce. Tomu nasvědčují i reakce uživatelů, kteří měli možnost již nové bankomaty vyzkoušet. Je ale patrně jen otázkou času, než kybernetické podsvětí přijde na nový způsob, jak obelstít i tento systém. 2
Dílčí závěr V budoucnosti lze očekávat bouřlivý vývoj nejen v oblasti využití platebních karet, ale také v marketingové oblasti. Zvláště v nových systémových přístupech při tvorbě výhodných aliančních vztahů v kybernetickém prostoru nové ekonomiky. Tento trend bude ještě umocněn technologickým vývojem (již současnou technologickou revolucí ve všech oblastech civilizovaného světa). Společnosti vydávající různé karty budou moci využívat nejen současných možností čipové technologie, která je schopna
2 Novinky.cz: Nové bankomaty nepotřebují karty, vystačí si s mobilem [online]. 2016 [cit. 2016-02-26]. Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/395920-nove-bankomaty-nepotrebuji-karty-vystaci-si-s-mobilem.html
v sobě vést různé marketingové a věrnostní programy a v blízké budoucnosti tyto programy i měnit a adaptovat se na nové podmínky kybernetických útoků 3 a dále rozvíjet prostředí inteligentních robotických systémů pro bezhotovostní platby.
Závěr Cílem tohoto příspěvku bylo stručně vyjádřit vývojové trendy v elektronickém bankovnictví
a
také
pohled
na
problematiku
kybernetické
bezpečnosti
bezhotovostního bezkontaktního platebního styku a ukázat přehled možných základních bezpečnostních systémů a postupů, které vedou k monitoringu jednotlivých transakcí a pohybu na účtu především pro oblast informačních a komunikačních technologií, systémů manažerského řízení 4 a dát základní námět na nový směr budování elektronického a optoelektronického pozadí inteligentního a učícího se kyberprostoru znalostní společnosti.
3
DVOŘÁK,J. a kol. Trends in Integration of the Electronic Banking. In European Financial Systems 2013. Nové Město nad Metují: Tiskárna KNOPP, s.r. o, 2013. s. 87-90. ISBN: 978-80-210-6294- 8. 104742. 4
DVOŘÁK,J. a kol. Options of modern tools in cyberspaces management of e-banking. In European Financial Systems 2014. Vyd. 1. Brno: Masarykova univerzita, 2014. ISBN 978-80-210-7153-7, s. 159-165. 12.6.2014, Lednice
Literatura 1. DVOŘÁK, J. a kol. Possibilities of system integration in applied cybernetics. In Vision
2020:
Sustainable
Growth,
Economic
Development,
and
Global
Competitiveness. 20. Valencia: IBIMA, 2014. s. 1469-1476. ISBN: 978-0-98604192- 1. 2. DVOŘÁK, J. a kol. Trends in Integration of the Electronic Banking. In European Financial Systems 2013. Nové Město nad Metují: Tiskárna KNOPP, s.r. o, 2013. s. 87-90. ISBN: 978-80-210-6294- 8. 104742. 3. DVOŘÁK, J. a kol. Options of modern tools in cyberspaces management of ebanking. In European Financial Systems 2014. Vyd. 1. Brno: Masarykova univerzita, 2014. ISBN 978-80-210-7153-7, s. 159-165. 12.6.2014, Lednice.
Použité internetové odkazy: 4. Novinky.cz: Nové bankomaty nepotřebují karty, vystačí si s mobilem [online]. 2016 [cit. 2016-02-26]. Dostupné z: http://www.novinky.cz/internet-a-pc/bezpecnost/395920-nove-bankomatynepotrebuji-karty-vystaci-si-s-mobilem.html