BEZPEČNOST ELEKTRONICKÉHO BANKOVNICTVÍ

Ma sa ryk ova un i verzit a Ekonomicko-správní fakulta Studijní obor: Finance

BEZPEČNOST ELEKTRONICKÉHO BANKOVNICTVÍ Security of E-banking Bakalářská práce

Vedoucí bakalářské / diplomové práce:

Autor:

prof. Ing. Jiří DVOŘÁK, DrSc.

Petr FUKA

Brno, 2013

Masarykova univerzita Ekonomicko-správní fakulta

Katedra financí Akademický rok 2012/2013

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

Autor:

Petr FUKA

Obor:

Finance

Název tématu:

BEZPEČNOST ELEKTRONICKÉHO BANKOVNICTVÍ

Anglický název:

Security of E-banking

Zásady pro vypracování

Cíl práce: Na základě získaných informačních zdrojů o bezpečnosti plateb v elektronickém bankovnictví na Internetu z virtuálních knihoven světa vytvořte model bezhotovostních plateb v e-bankingu. Vytvořte odpovídající model bezpečnosti těchto plateb a uveďte také zahraniční zkušenosti v této oblasti.

Postup práce: Systémové vymezení problému bezpečnosti plateb v elektronickém obchodování. Informační zdroje z virtuálních knihoven světa. Současný stav řešené problematiky ve světě. Analýza vybraných bank v ČR. Návrh a zdůvodnění rámcového řešení zadaného problému.

Metody řešení: Analýza informačních zdrojů, tvorba modelu a výběr optimálního možného řešení (analýz, modelování, syntéza).

Osnova: 

Úvod



Systémové vymezení problému



Informační zdroje



Cíl práce



Současný stav řešení zadané problematiky



Analýza vybraného systému



Návrh a zdůvodnění řešené problematiky



Závěr



Použité informační zdroje



Seznam grafů, tabulek, obrázků a použitých zkratek



Rejstřík



Přílohy

Rozsah grafických prací:

dle pokynů vedoucího práce

Rozsah práce bez příloh:

35 – 45 stran

Seznam odborné literatury: 

MATYÁŠ, Václav, Daniel CVRČEK, Jan KRHOVJÁK a Marek KUMPOŠT. Authorizing Card Payments with PINs. Computer, Los Alamitos: IEEE Computer Society, 2008, roč. 41, č. 2, s. 64-68. ISSN 0018-9162.



MATYÁŠ, Václav, Jan KRHOVJAK, Jiří KŮR, Václav LORENC, Peter PECHO, Zdeněk ŘÍHA, Tobiáš SMOLKA, Jan STAUDEK, Petr ŠVENDA a Jiří VOMÁČKA. Čipové karty, závěrečná zpráva pro NBÚ ČR. Brno: NBÚ ČR, 2009. 119 s. NBÚ ČR.



PŘÁDKA, Michal a Jan KALA. Elektronické bankovnictví :rady a tipy : vše o používání karet, banka po telefonu a v počítači, je to opravdu bezpečné, pohledy do zákulisí - jak to dělá banka, co nás čeká zítra?, praktické informace pro všechny případy. Vyd. 1. Praha: Computer Press, 2000. xii, 166 s. ISBN 80-7226-328-5.



CVRČEK, Daniel, Václav MATYÁŠ a Jan KRHOVJÁK. PIN (&Chip) or signature - beating or cheating? In 13th Security Protocols Workshop. Berlin, Germany: Springer Verlag, 2005. s. 69-75, 7 s. ISBN 978-3-540-77155-5. .



KRHOVJÁK, Jan, Marek KUMPOŠT a Václav MATYÁŠ. Security of Electronic Transactions - Theory and Practice. In Security and Protection of Information 2007. Brno: University of Defence, 2007. s. 75-85, 11 s. ISBN 978-80-7231-230-6.



KRHOVJÁK, Jan, Daniel CVRČEK a Václav MATYÁŠ. Útoky a kryptografie v hardwarovém provedení. DSM, Praha: Tate International, s.r.o., 2004, roč. 2004, č. 5, s. 1619. ISSN 1211-8737.

Vedoucí bakalářské práce:

prof. Ing. Jiří Dvořák, DrSc.

Datum zadání bakalářské práce:

27. 9. 2011

Termín odevzdání bakalářské práce a vložení do IS je uveden v platném harmonogramu akademického roku.

………………………………… vedoucí katedry

V Brně dne 27. 9. 2011

………………………………………… děkan

J mé no a př í jme ní aut or a:

Petr Fuka

Náze v bak a lář ské pr áce:

Bezpečnost elektronického bankovnictví

Náze v pr áce v a ng ličt ině:

Security of E-banking

Kat edr a:

financí

Vedo ucí dip lo mo vé pr áce:

prof. Ing. Jiří Dvořák, DrSc.

Ro k o bha jo by:

2013

Anotace Předmětem bakalářské práce „Bezpečnost elektronického bankovnictví“ je rozbor elektronického bankovnictví a analýza bezpečnosti komunikačních kanálů mezi klientem a bankou. První část je zaměřena na teoretické vymezení internetového bankovnictví a smartbankingu a současný stav řešené problematiky v ČR a ve světě. Následující část se zabývá analýzou přímého bankovnictví na vybraném bankovním systému a řeší bezpečnost s ohledem na typ útoku phishing. V poslední části je navržen rámcový model elektronického bankovnictví s odpovídající bezpečností a je uvedeno technické, právní a ekonomické zdůvodnění.

Annotation The subject of the thesis “Security of E-banking” is to analyze situation of e-banking and to analyze security of communication channels between bank and client. The first part deals with the theoretical description of internet banking and smart banking and current situation in the Czech Republic and in the world. The following part is focusing on analysis of direct banking of specific banking system and it is analyzing type of attacks called phishing. The last part is suggesting model of e-banking of appropriate security and technical, legal and economical explanations are introduced.

Klíčová slova Internetové bankovnictví, smartbanking, phishing, bezpečnost elektronického bankovnictví

Keywords Internet banking, smartbanking, phishing, security of e-banking

Prohlášení Prohlašuji, že jsem bakalářskou práci Bezpečnost elektronického bankovnictví vypracoval samostatně pod vedením prof. Ing. Jiřího DVOŘÁKA, DrSc. a uvedl v ní všechny použité literární a jiné odborné zdroje v souladu s právními předpisy, vnitřními předpisy Masarykovy univerzity a vnitřními akty řízení Masarykovy univerzity a Ekonomicko-správní fakulty MU. V Brně dne 17. května 2011 vl a s t n or u čn í p od p i s a u t or a

Poděkování Na tomto místě bych rád poděkoval prof. Ing. Jiřímu DVOŘÁKOVI, DrSc. za odborné rady, kterými přispěl k vypracování této bakalářské práce. Dále bych rád poděkoval Ing. Jiřímu MASTILOVI, Ing. Tomáši DOLEŽALOVI, Ing. Mojmíru PROKOPOVI a Mgr. Karlu MIKOVI za pomoc při realizaci průzkumu bezpečnosti elektronického bankovnictví. Také bych rád poděkoval svým kamarádům a rodině.

Obsah Úvod .................................................................................................................................... 11 1

2

Systémové vymezení problému ...................................................................................... 12 1.1

Komunikace mezi bankou a klientem pomocí internetu .......................................... 14

1.2

Komunikace mezi bankou a klientem pomocí mobilních zařízení ........................... 15

Informační zdroje ........................................................................................................... 17 2.1

Klasické zdroje informací ....................................................................................... 17

2.2

Virtuální knihovny ................................................................................................. 17

2.3

Zdroje vysokých škol ............................................................................................. 17

2.4

Konference a semináře ........................................................................................... 18

2.5

Metody shromažďování faktů a dat ........................................................................ 18

3

Cíl práce ........................................................................................................................ 19

4

Současný stav řešení zadané problematiky ..................................................................... 20 4.1

4.1.1

Využívání služby internetové bankovnictví ..................................................... 21

4.1.2

Využívání služby smartbanking ....................................................................... 22

4.2

5

Technologický vývoj a reakce bank ........................................................................ 20

Bezpečnosti internetového bankovnictví ................................................................. 25

4.2.1

Autentizace uživatelů ...................................................................................... 27

4.2.2

Autorizace finančních transakcí ....................................................................... 31

4.3

Bezpečnost smartbankingu ..................................................................................... 32

4.4

Bezpečnost e-bankingu v informačních zdrojích světa ............................................ 33

Analýza vybraných bank v ČR ....................................................................................... 35 5.1

Model bezhotovostních plateb KB .......................................................................... 35

5.1.1

SWOT analýza služby MojeBanka .................................................................. 37

5.1.2

SWOT analýza služby Mobilní banka 2........................................................... 40

5.2

Průzkum vnímání bezpečnosti přímého bankovnictví ............................................. 42

5.2.1

Rozhodování o výběru banky a spokojenost s internetovým bankovnictvím .... 43

5.2.2

Vnímání bezpečnosti elektronického bankovnictví .......................................... 44

5.2.3 5.3

6

Nové kanály elektronického bankovnictví .......................................................46

Model phishingových útoků ...................................................................................47

5.3.1

Zahraniční zkušenosti v oblasti phishingové kriminality ..................................48

5.3.2

Phishingové útoky na české banky ...................................................................51

Návrh a zdůvodnění řešené problematiky .......................................................................57 6.1

Návrh modelu a odpovídající bezpečnost bezhotovostních plateb ...........................57

6.1.1

Návrh bezpečnosti internetového bankovnictví ................................................57

6.1.2

Návrh bezpečnosti chytrého bankovnictví ........................................................58

6.2

Technické zdůvodnění řešené problematiky ............................................................59

6.3

Právní zdůvodnění řešené problematiky ..................................................................59

6.4

Ekonomické zdůvodnění řešené problematiky ........................................................60

Závěr ....................................................................................................................................62 Použité informační zdroje .....................................................................................................63 Monografie........................................................................................................................63 Elektronické zdroje ...........................................................................................................64 Seznam grafů ........................................................................................................................71 Seznam tabulek ....................................................................................................................71 Seznam obrázků ...................................................................................................................71 Seznam použitých zkratek ....................................................................................................72 Rejstřík .................................................................................................................................74 Přílohy..................................................................................................................................76

ÚVOD Od vzniku prvních bank ve 13. století uběhla dlouhá doba, ale největší proměnou prošel bankovní sektor v posledních sto padesáti letech. Nikoho dnes nepřekvapí, že v peněžním oběhu papírové bankovky převážily nad mincemi a stejně tak za pár let nikoho nezaskočí, že bezhotovostní platební styk převýší hotovostní. Banky se dříve výhradně omezovaly na osobní kontakt prostřednictvím svých poboček, ale od druhé poloviny 20. století lze pozorovat výraznou změnu v jejich chování. S nástupem nových distribučních kanálů, hlavně pak internetu, se banky nemohly ubránit rozsáhlým změnám. Nové informační a komunikační technologie zrychlily, zjednodušily a zlevnily provádění většiny finančních operací.

S novými technologiemi však přicházejí pro klienta nová rizika. Proto se ve své práci zaměřuji na problematiku internetového a mobilního bankovnictví a navrhuji vhodný model bezpečnosti elektronického bankovnictví. Z bezpečnosti elektronických dat se stal globální problém, který se čím dál tím víc týká všech lidí po celém světě. Aktuálně zaznamenáváme velké množství útoků a s každým z nich vzrůstá obava běžných uživatelů elektronických prostředků. Tato nejistota pramení z toho, že obyčejní lidé problematice bezpečnosti dat nerozumí a to se promítá do nejistoty; spojené s používání nových technologii. Mnoho klientů bank by se rádo elektronickým prostředkům vyhnulo, to je však v dnešním informačním věku velice složité.1 Proto jedinou možností je, si tyto nové trendy, které zasahují do konzervativního bankovního odvětví, důkladně prostudovat a seznámit se s otázkami jejich bezpečnosti. Toto bylo hlavní motivací k tomu, že jsem si za téma bakalářské práce vybral bezpečnost elektronického bankovnictví.

1

DOUCEK, Petr; Luděk NOVÁK a Vlasta Svatá. Řízení bezpečnosti informací. 1. vyd. Praha: Professional Publishing, 2008, 239 s. ISBN 9788086946887. S. 11.

11

1 SYSTÉMOVÉ VYMEZENÍ PROBLÉMU „Nové možnosti komunikace a prezentace byly prvním, co Internet přinesl, ale jeho průkopníci se záhy poté začali zamýšlet nad tím, jak nalézt další komerční možnosti jeho využití. Jednou z prvních, která byla (někdy v letech 1994-95) vyzkoušena v praxi a která se stala velkým fenoménem Internetu, byla tzv. elektronická komerce - prodej zboží po Internetu.“2 Elektronické podnikání (e-business), je obtížné empiricky definovat, protože se jedná o velmi obecný pojem, který je spojován s použitím elektronických řešení za účelem získání efektivity. Do této množiny nejsou zahrnuty jen internetové obchody, jak je uvedeno v citovaném textu, ale patří sem celá řada dalších činností a služeb. Jsou to například systémy pro správu dat, intranet 3, extranet4 atd. Další skupiny činností jsou uvedeny v obrázku č. 1. Tato problematika je složitá také díky nutnosti pochopit aspekty daných technologických řešení, kterých se elektronické podnikání týká.

Obrázek č. 1: Vybrané skupiny e-business Pramen: vlastní

2

DLOUHÝ, Ondřej. E-commerce. Praha: DIMAR, 2001. 134 s. S. 9. Privátní počítačová síť, která používá stejné technologie. Vyskytuje se na školách v podnicích… 4 Zabezpečená soukromá počítačová síť, používající aplikaci k zabezpečení a privátnímu poskytování informací v rámci sítě 3

12

Elektronické obchodování (e-commerce) patří do množiny e-businessu. Skládá se např. z elektronického marketingu nebo prodeje a nákupu zboží a služeb přes internet. Tato práce se zaměřuje na elektronické bankovnictví (e-banking), které je součástí služeb poskytovaných v rámci e-commerce. Do množiny e-banking patří pouze služby spojené s elektronickým obchodováním, není sem zahrnuto samotné obchodování ve formě nákupu či prodeje. Jedná se o efektivní nástroj správy účtů.5 Podle zprávy FEDu z roku 2000 bylo nezbytné, aby banky vytvořily nové on-line kanály komunikace, jinak by se díky elektronické komerci stalo z internetu jedno velké digitální tržiště. 6 Na grafu č. 1 je uveden obrat e-commerce v České republice do roku 2011.

Obrat v mld. Kč.

Rok

Graf č. 1: Vývoj celkového obratu české e-commerce od roku 2001 (v miliardách Kč) Pramen: [11] http://www.apek.cz/grafy-a-statisticka-data/964/apek-vyvoj-obratu-e-komerce2001-2011/ Aby e-banking fungoval a aby tyto služby mohly být efektivně využívány, existuje několik elektronických kanálů, které slouží ke komunikaci mezi uživateli elektronických obchodů. Ve své bakalářské práci se zaměřuji na komunikaci mezi bankou a klientem. Mimo osobní návštěvu jsou všechny komunikační kanály mezi bankou a klientem, které jsou zobrazené na obrázku č. 2, považovány za elektronickou formu bankovnictví (velmi diskutabilní je

5

ROSMAN, Pavel a Ladislav BUŘITA. Informatika pro ekonomy a manažery. Vyd. 1. Zlín: Univerzita Tomáše Bati ve Zlíně, 2009, 249 s. ISBN 9788073188511. S. 116. 6 WENNINGER, John. The Emerging Role of Banks in E-Commerce [online]. 2007 [cit. 21. 8. 2012]. Dostupné z: http://ftp.ny.frb.org/research/current_issues/ci6-3.pdf

13

považovat platební kartu a šek za elektronický kanál bankovnictví 7). Dalším pojmem, který souvisí s elektronickým bankovnictvím, je tzv. přímé bankovnictví, komunikace banky a klienta bez osobní návštěvy. Mezi hlavní distribuční kanály přímého bankovnictví patří telefon (hlavně mobilní telefony) a internet, na které se ve své práci zaměřím. Za zmínku také stojí kanál homebanking. Jedná se o speciální aplikaci, kterou má klient nainstalovanou na svém PC a ta za použití internetu komunikuje s bankovní institucí. Tato služba má obrovskou výhodu v tom, že často spolupracuje s nejrůznějšími účetními programy a klient tak dokáže efektivně zpracovat velké množství dat. Homebanking a jeho modifikace využívají především větší korporace.

Obrázek č. 2: Komunikační kanály mezi bankou a klientem Pramen: vlastní podle [7] PŘÁDKA 2000 op. cit., s. 11

1.1 Komunikace mezi bankou a klientem pomocí internetu Existují dva rozdílné modely bank využívající elektronické bankovnictví. Čistě elektronické banky, které nemají kamenné pobočky (nebo jen ve velmi omezeném množství) a tradiční banky, které poskytují elektronické bankovnictví, aby doplnily svůj retailový sortiment služeb. V případě čistě elektronické banky jsou k veškeré komunikaci mezi klientem a finanční institucí bývají používány moderní elektronické kanály, kdy klient standardně banku nenavštěvuje osobně.

7

PŘÁDKA, Michal a Jan KALA. Elektronické bankovnictví: rady a tipy. Vyd. 1. Praha: Computer Press, 2000, xii, 166 s. ISBN 8072263285. S. 11.

14

Internetové bankovnictví je v současné době nejrozšířenější formou elektronického bankovnictví. Operace prováděné pomocí internetového prohlížeče můžeme členit na pasivní a aktivní. Mezi hlavní zástupce pasivních operací patří ověřování informací spojených s účty a informační komunikace s bankou. Aktivní operace zastupuje především zadávání platebních transakcí. Internetové bankovnictví se stalo oblíbenou formou komunikace s příchodem počítačů a internetu do většiny domácností v ČR. Domácností vybavených počítačem je podle Českého statistického úřadu 2,8 mil. a z toho většina z nich má stálé připojení na internet.8 Člověk díky internetovému bankovnictví není nijak vázán na určité místo a může svůj účet ovládat skoro vždy, když má přístup k internetu. Za zjevnou nevýhodu můžeme považovat, že internetové bankovnictví je poměrně snadno napadnutelné, kdy může docházet k úniku soukromých dat či krádeži finančních prostředků.9

1.2 Komunikace mezi bankou a klientem pomocí mobilních zařízení S rozvojem moderních informačních technologií stále více lidí projevuje zájem komunikovat s bankou i na místech, kde nemají u sebe počítače. Banky proto plošně začínají poskytovat různé druhy mobilního bankovnictví (zobrazeno na obrázku č. 3), na které mají klienti přístup ze svých telefonů, chytrých telefonů (smartphonů) nebo tabletů.

Obrázek č. 3: Mobilní kanály e-bankingu Pramen: vlastní podle [8] ROSMAN 2009 op. cit., s. 119 8

MAŠKOVÁ, Martina. K internetu jsou připojeny tři čtvrtiny českých domácností. Zprávy.rozhlas.cz [online]. 2012 [cit. 2. 3. 2013]. Dostupné z: http://www.rozhlas.cz/zpravy/technika/_zprava/k-internetu-jsou-pripojenytri-ctvrtiny-ceskych-domacnosti--1145303 9 ROSMAN, Pavel a Ladislav BUŘITA. Informatika pro ekonomy a manažery. Vyd. 1. Zlín: Univerzita Tomáše Bati ve Zlíně, 2009, 249 s. ISBN 9788073188511. S. 119.

15

Je důležité rozlišovat mezi jednotlivými druhy mobilního bankovnictví. Klasické telefonní bankovnictví vzniklo kolem roku 1989 a jednalo se o první formu elektronického bankovnictví.10 Klient zavolá na speciální číslo z pevné linky nebo mobilního telefonu a zde je spojen s operátorem. Tento druh komunikace se sice stal velmi oblíbeným, banky však začínají od telefonního bankovnictví upouštět, protože poskytování této služby zdarma je pro finanční instituci velmi nákladné. Přestože banky telefonní bankovnictví často zpoplatňují, stále se jedná o jednu z nejrozšířenějších forem elektronického bankovnictví. GSM11 bankovnictví, WAP bankovnictví a Java bankovnictví jsou staršími typy bankovnictví, které se dnes již dále nerozvíjí. Jedná se o bezplatné kanály e-bankingu, které sice poskytovaly řadu služeb, často však v omezené míře. Díky své složitosti a značné těžkopádnosti nebyly tyto kanály mezi uživateli nikdy moc rozšířené. Tyto druhy komunikace byly nahrazeny s rozvojem mobilních telefonů. V posledních dvou letech se začala rozvíjet nová služba, tzv. smartbanking neboli mobilní bankovnictví, prováděné pomocí chytrých telefonů a tabletů. Tento relativně nový kanál elektronického bankovnictví banky velmi podporují a díky rychle se zvětšujícímu počtu chytrých telefonů se začíná dostávat do povědomí lidí. Protože se jedná o velmi aktuální téma, věnuji se v dalších kapitolách bakalářské práce hlavně problematice smartbankingu. Rozsah práce mi nedovoluje se důkladně zaměřit na všechny komunikační kanály elektronického bankovnictví.

10

PŘÁDKA, Michal a Jan KALA. Elektronické bankovnictví: rady a tipy. Vyd. 1. Praha: Computer Press, 2000, xii, 166 s. ISBN 8072263285. S. 40. 11 Global System for Mobile Communication

16

2 INFORMAČNÍ ZDROJE Protože bezpečnost elektronického bankovnictví je globální a dynamická problematika, využil jsem aktuální zdroje světových virtuálních knihoven, virtuálních knihoven České republiky a informace ze zpravodajských serverů. Jelikož české bankovní instituce k publikovaným informacím standardně neposkytují data ohledně bezpečnosti elektronického bankovnictví a rizikům s tím spojeným, rozhodl jsem se, že použiji dotazníkový sběr dat pro vlastní průzkum.

2.1 Klasické zdroje informací V kapitole Použité informační zdroje a podkapitole Monografie uvádím názvy všech použitých tištěných knih vztahujících se k tématu bezpečnosti elektronického bankovnictví. Dále v této kapitole uvádím názvy časopisů, novin a sborníků z konferencí z celého světa.

2.2 Virtuální knihovny V kapitole Použité informační zdroje a podkapitole Elektronické zdroje uvádím seznam zdrojů ze světových a domácích virtuálních knihoven. Jedná se o vědecké, výzkumné, firemní a školní servery poskytující informace ve formě článků, vědeckých publikací, zpráv z výzkumů, esejí, pojednání, virtuálních sborníků z konferencí a vědeckých prací publikovaných na internetu.

2.3 Zdroje vysokých škol V kapitole Použité informační zdroje a podkapitole Elektronické zdroje dále uvádím seznam odborných a stejně zaměřených bakalářských, diplomových a dizertačních prací vytvořených na různých školách po celém světě.

17

2.4 Konference a semináře V kapitole Použité informační zdroje uvádím seznam současných a připravovaných konferencí zabývajících se tématem bezpečnosti elektronického bankovnictví konané v ČR a po celém světě. Dále zde uvádím konané firemní akce, veletrhy, výstavy a jejich doprovodné programy.

2.5 Metody shromažďování faktů a dat V kapitole Přílohy uvádím použitá dotazníková šetření, diskusní scénáře a vyhodnocení dotazníkových šetření. Dále jsou v kapitole uvedeny sborníky dat internetu, firemní průzkumy a ostatní analýzy.

18

3 CÍL PRÁCE Na základě získaných informačních zdrojů o bezpečnosti plateb v elektronickém bankovnictví na Internetu z virtuálních knihoven světa vytvořte model bezhotovostních plateb v e-bankingu. Vytvořte odpovídající model bezpečnosti těchto plateb a uveďte také zahraniční zkušenosti v této oblasti.

19

4 SOUČASNÝ STAV ŘEŠENÍ ZADANÉ PROBLEMATIKY „Svět se jednoduše změnil a již nikdy nebude takový jako před sto, padesáti, dokonce ani deseti lety. Změny se nevyhýbají žádnému oboru lidské činnosti, ani tak konzervativní oblasti, kterou vždy bylo a v mnoha ohledech stále je bankovnictví. Klasické bankovní služby už přestávají mnoha klientům stačit, neboť jsou nepružné, pomalé a obírají člověka o drahocenný čas.“12

4.1 Technologický vývoj a reakce bank Bankovnictví představuje velmi konzervativní odvětví. V posledních letech se však i toto odvětví nedokáže ubránit přívalu nových technologií, které zapříčiňují takovou malou revoluci přímého bankovnictví. Minulý rok se začalo mluvit o bezkontaktních platbách, kdy lze mobilní telefon použít jako náhražku platební karty. V obchodech tak můžeme vidět, jak zákazník přiloží mobilní telefon k platebnímu terminálu a má zaplaceno. Existují dva možné typy této formy plateb. Jedná se Near field communication13, pomocí NFC nálepek, kdy je do nálepky zabudován malý čip. Čip obsahuje informace o držitelově platební kartě a o jeho PIN14 kódu. Nejedná se o plnohodnotné mobilní bankovnictví, protože klient si svou nálepku může umístit kamkoliv. Tuto službu zatím poskytuje pouze Citibank a GE Money bank.15 Druhý typ plateb je podobný prvnímu s tím rozdílem, že NFC nálepka je přímo zabudována do SIM karty mobilního telefonu. K 14. 3. 2013 tuto službu zatím nabízí pouze operátor O2 ve spolupráci s Komerční bankou a GE Money bank. Tento způsob NFC platby disponuje velkou výhodou, kdy podrobnosti o platbě se zobrazují na displeji telefonů, proto má zákazník větší možnost kontroly celého procesu platby. Oba tyto typy plateb pomocí NFC technologie probíhají do 500 Kč bez zadání PIN kódu, pro částky vyšší je pak kód vyžádán na displeji platebního terminálu nebo mobilního telefonu.

12

PŘÁDKA, Michal a Jan KALA. Elektronické bankovnictví: rady a tipy. Vyd. 1. Praha: Computer Press, 2000, xii, 166 s. ISBN 8072263285. S. 1. 13 Komunikace na blízkou vzdálenost (maximálně 5 cm) 14 Heslo (personal identification number), které po určitém počtu špatných zadání zablokuje celý proces autentizaci nebo autorizace 15 K 14. 3. 2013

20

4.1.1 Využívání služby internetové bankovnictví Internet, jako prostředek přímého bankovnictví, je stále kanálem číslo jedna na poli přímého elektronického bankovnictví. Od vzniku internetu (rok 1969) uplynulo mnoho let. Do České republiky se dostal kolem roku 1992, ale v prvních letech neměl moc velké využití mezi širokou veřejností. Bylo to zejména proto, že jen malá část obyvatelstva v ČR vlastnila osobní počítač. Postupně počet domácností vybavených počítačem rostl a podle ČSÚ v roce 2010 bylo již 56 % domácností připojeno k internetu.16 O rok později pak uvádí ve své zprávě Informační technologie ve společnosti 2012, že 65 % domácností vlastní počítač, k internetu je připojeno 61 % domácností a internetové bankovnictví využívá 27 % Čechů. 17 Dynamika elektronického bankovnictví je nejlépe vidět na grafu č. 2, který vyobrazuje využívání internetového bankovnictví v letech 2005 - 2010.

Česká republika Počet uživatelů vyjádřený v % 66,5 %

62,8 %

Finsko

EU27 průměr

71,5 %

71,9 %

76,4 %

56,3 %

5,2 % 2005

25,3 %

20,8 %

19,4 % 9,7 %

2006

11,5 %

2007

14,5 %

2008

36,0 %

32,5 %

29,0 % 18,5 %

2009

22,5 %

2010

Rok

Graf č. 2: Srovnání uživatelů ve věku 16-74 využívajících internetové bankovnictví ČR, Finsko, EU27 Pramen: vlastní podle [21] https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&sour...

16

ROSMAN, Pavel; BUŘITA, Ladislav. Informatika pro ekonomy a manažery. Zlín: Univerzita Tomáše Bati ve Zlíně, 2012, 249 s. ISBN 978-80-7454-228-2, s.124 17 ČSÚ: Informační technologie ve společnosti. ČSÚ [online]. 2013[cit. 2. 3. 2013]. Dostupné z: https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0CDMQFjAA&url=http %3A%2F%2Fwww.czso.cz%2Fcsu%2Fredakce.nsf%2Fi%2Fcinnosti_provadene_pomoci_internetu%2F%24Fil e%2F5_cinnosti_provadene_pomoci_internetu.xls&ei=XWeJUZvAEOq24ASMr4GgDg&usg=AFQjCNHpBj7T qe-cxt_O-6-g3QW-cYKtJQ&sig2=_IrepzSGybUfEru51VjYmw&bvm=bv.46226182,d.bGE

21

Internetové bankovnictví je přímým nástrojem komunikace elektronického systému banky s počítačem klienta pomocí internetu, kdy se vše uskutečňuje prostřednictvím zabezpečených webových serverů. Klient nemusí instalovat žádnou speciální aplikaci (jako v případě homebankingu) a automaticky se přihlašuje do systému banky. Výhodami internetového bankovnictví jsou jeho pohodlnost, snadnost ovládání, úspora času a možnost ovládat své účty odkudkoliv. Firmy i soukromí podnikatelé navíc využívají různé softwarové programy, které automaticky spolupracují s internetovým bankovnictvím, a to jim velmi usnadňuje například vedení účetních knih. Všechny informace, které jsou posílány mezi klientem a bankou, mají soukromý charakter, a proto jsou vystaveny velmi častým útokům. Hrozí nebezpečí krádeže osobních informací nebo peněz, proto celý proces komunikace doprovází a identifikace klienta, kdy si banka ověřuje, s kým komunikuje a jestli se opravdu jedná o danou osobou. Nejslabším článkem však stále je samotný uživatel, který bývá často nedůsledný v oblasti ochrany svých osobních údajů a citlivých dat. Ne vždy je však pochybení na straně klienta. „Hackeři v pondělí napadli web UniCredit Bank. Útok ale zřejmě nesouvisel se sérií napadení českých webů z minulých dní, byl proveden jiným způsobem. Na rozdíl od předchozích útoků hackeři web nezahltili. Údajně jim k akci pomohlo slabé heslo administrátora stránek, které znělo "Banka123".“18

4.1.2 Využívání služby smartbanking „…existují v podstatě tři možnosti jak se banky k tzv. Smartbankingu staví. Buď mají speciální aplikaci, nebo alespoň optimalizované internetové bankovnictví pro přístup z mobilu. Třetí cesta znamená nic z výše uvedeného, přičemž u některých bank je možné se přes prohlížeč v mobilu přihlásit ke klasickému internetovému bankovnictví.“19 Největší rozvoj tzv. chytrého bankovnictví neboli smartbankingu se odehrál bezesporu v roce 2012. Tabulka č. 1 ukazuje, kdy byla tato služba spuštěna jednotlivými českými finančními

18

Lidovky.cz: Hackeři zaútočili na UniCredit Bank. Heslo admina: Banka123. Lidovky.cz [online]. 2013 [cit. 14. 3. 2013]. Dostupné z: http://byznys.lidovky.cz/hackeri-zautocili-na-unicredit-bank-pomohlo-jim-heslo-adminabanka123-1pr-/moje-penize.aspx?c=A130311_205448_ln_domov_pef 19 POSPÍŠIL, Aleš. Smartbanking: Jaké aplikace banky nabízí. Bankovnipoplatky.com [online]. 2011 [cit. 16. 3. 2013]. Dostupné z: http://www.bankovnipoplatky.com/smartbanking-jake-aplikace-banky-nabizi-15604.html

22

institucemi. Tento typ bankovnictví není novinkou, dříve však aplikace umožňovaly pouze omezenou paletu služeb. Banky dovolovaly klientům pouze pasivní operace a díky nedokonalosti samotných mobilních telefonů se jevil tento kanál jako těžkopádný a zbytečný. Tabulka č. 1: Spuštění smartbankingu a jeho funkce a české banky

Banka

Spuštění služby

Hledání bankomatu

Informační zprávy

Stav a historie účtu

Zadání platby

Česká spořitelna

2/2012

Ano - jen vlastní

Ne

Ano

Ano

ČSOB

1/2012

Ano - vlastní i cizí

Ano

Ano

Ano

Komerční banka

11/2012

Ano - vlastní i cizí

Ano

Ano

Ano

UniCredit Bank

10/2011

Ano - jen vlastní

Ne

Ano

Ano

Raiffeisenbank

11/2012

Ano - vlastní i cizí

Ano

Ano

Ano

GE Money Bank

12/2011

Ano - jen vlastní

Ne

Ano

Ano

Era

1/2012

Ano - vlastní i cizí

Ano

Ano

Ano

Fio banka

5/2011

Ano - jen vlastní

Ano

Ano

Ano

Citibank

10/2011

Ano - jen vlastní

Ne

Ano

Ano

mBank

10/2011

Ano - jen vlastní

Ano

Ano

Ano

ZUNO Bank

11/2012

Ano - vlastní i cizí

Ano

Ano

Ano

Equa bank

10/2011

Ne

Ano

Ano

Ano

ING Bank

12/2012

Ano - jen vlastní

Ano

Ano

Ano

Pramen: vlastní podle [16] http://www.finparada.cz/1159-.aspx Tento typ komunikace se začal rozvíjet s příchodem smartphonů20. V současnosti jsou telefony natolik dobře konstruovány, že práce s nimi bývá velmi intuitivní. Díky velkému displeji telefonů a jednoduchosti operačních systémů se smartbanking stává stejně dobře ovladatelnou službou, jakou je v dnešní době internetové bankovnictví. Zájem o smartbanking roste přímo úměrně se zájmem o chytré telefony. Většina české populace vlastní „obyčejné“ mobilní telefony, tento stav se však bude v následujících letech postupně měnit. Dnes také nikoho nepřekvapí, že mobilní telefony jsou daleko využívanější, než pevné linky. Jak

20

Chytrý telefon, který umožňuje instalaci programů díky přítomnosti operačního systému (jako Symbian OS, Windows Phone, iOS, Android…)

23

ukazuje výzkum společnosti OMG Research z října 2012 prováděný mezi českými uživateli ve věku 18 - 60 let, smartphone vlastnilo 42 % respondentů.21 Funkčnost služby smartbanking je limitována nutností připojení mobilního telefonu k internetu. Pokud není v blízkosti Wifi připojení, je klient odkázán na mobilní připojení k internetu. Počet mobilních přípojek je zobrazen na grafu č. 3. Smartbanking se dá využít také na tabletech, které používají stejné operační systémy jako chytré telefony. Tabletů je však v české populaci velmi malé množství. Na grafu č. 3 je zobrazen počet uživatelů využívajících službu chytrého bankovnictví v ČR. Díky technickým omezením není smartbanking zatím využíván ve velké míře, podle většiny expertů se však tento stav bude rychle měnit.

Počet klientů

Banka

Graf č. 3: Počet klientu využívající smartbanking k dubnu 2012 Pramen: [17] http://www.bankovnipoplatky.com/smartbanking-v-ceskych-bankach-v-roce2012-17181.html

21

PROCHÁZKOVÁ, Pavla. Co vše lidé dělají s telefony u sledování jiných médií. Mediaguru [online]. 2012 [cit. 17. 3. 2013]. Dostupné z: http://www.mediaguru.cz/2012/11/co-vse-lide-delaji-s-telefony-u-sledovani-jinychmedii/#.UXaisqJQaSo

24

Země

Standardní*

Dedicated**

Švédsko Finsko Lucembursko Dánsko Irsko Polsko Spojené království Francie Itálie Česká republika Nizozemsko Rakousko Řecko Slovensko Španělsko Estonsko Slovinsko Portugalsko Německo Belgie Maďarsko 0

10

20

30

40

50

60

70

80

% Mobilních telefonů

Graf č. 4: Mobilní internetové přípojky červen 2011 (*přístup poskytovaný v rámci standardní hlasové a datové služby; **přístup poskytovaný nezávisle na hlasových službách) Pramen: vlastní podle [22] https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source...

4.2 Bezpečnosti internetového bankovnictví „…Při tomto kontaktu se posílá mnoho informací, které jsou předmětem bankovního a firemního tajemství a které se nesmí cestou od klienta do zpracování žádným způsobem změněny, a ani nesmí být umožněno rozluštění obsahu při případném pasivním odposlechu nebo kopírování.“22 Aby nedocházelo k prolomení důvěry mezi klientem a bankou, musí model elektronického bankovnictví vykazovat co nejvyšší stupeň zabezpečení. Nejpřísnější bezpečnostní požadavky jsou kladeny na rozpoznání elektronické identity klienta a autorizaci finančních transakcí.

22

MÁČE, Miroslav. Platební styk: klasický a elektronický. 1. vyd. Praha: Grada, 2006, 220 s. ISBN 8024717255. S. 164.

25

Přenos dat je šifrován, a tudíž na této úrovni k potenciálnímu nebezpečí nedochází.23 Uživatel internetového bankovnictví by měl znát základní bezpečnostní pravidla a je důležité, aby si uvědomoval závažnost případného nedodržení bezpečnostních instrukcí banky. Častou chybou je nerozeznání falešných internetových serverů, které se vydávají za oficiální službu internetového bankovnictví dané banky. Všechny finanční instituce v současnosti používají zašifrované neboli bezpečné přihlašování. Tyto stránky se dají snadno rozeznat, začínají předponou „https://“ místo „http://“ a mají na konci nebo začátku příkazového řádku prohlížeče ikonu zámku vyznačenou zeleně. Jak lze vidět na obrázku č. 4., po kliknutí na ikonu se zobrazí informace o bezpečnostním certifikátu.

Obrázek č. 4: Informace o bezpečnostním certifikátu Komerční banky, a.s. Pramen: [38] https://www.mojebanka.cz/InternetBanking/ Banky většinou poskytují další obecné rady na svých internetových stránkách, jako například stanovení limitu plateb, nainstalování a aktualizování bezpečnostního antivirového programu, stanovení bezpečných přihlašovacích údajů a jejich ochraňování. Klient by se měl přihlašovat v soukromí a pokud možno z vlastního počítače. Na tomto počítači by měl dodržovat výše zmíněná pravidla a neměl by navštěvovat neznámé stránky, stahovat software z neznámých

23

NYKODÝMOVÁ, Helena. Jak je to s bezpečností internetového bankovnictví? Lupa.cz [online]. 2006 [cit. 18. 3. 2013]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/jak-je-to-s-bezpecnosti-internetovehobankovnictvi/

26

zdrojů a otevírat nedůvěryhodné e-maily. 24 Každá banka poskytuje bezpečnostní doporučení s drobnými rozdíly a každý klient by se s nimi měl seznámit.

4.2.1 Autentizace uživatelů Proces autentizace uživatelů (nebo také proces verifikace) v praxi funguje tak, že uživatel internetového bankovnictví zadá údaje o své identitě (většinou přihlašovací jméno) a následně tuto informaci ověří zadáním určitého bezpečnostního prvku. Tento proces se odlišuje od procesu identifikace klienta, kdy dochází k automatickému vyhledání uživatele ve verifikační databázi banky, aby následně byla potvrzena jeho identita na základě přihlašovacích údajů. Po tomto postupu následuje autorizace uživatele, kdy je uživateli uděleno oprávnění na základě osobních údajů o tom, jak může a nemůže používat systém internetového bankovnictví. 25 „V principu existují tři základní metody autentizace uživatelů lišící se typem prostředků, které jsou pro autorizaci použity. Metody tedy mohou být založeny buď na něčem, co uživatel zná (nějaká tajná informace, např. PIN, heslo, či přístupová fráze), na něčem, co daný uživatel má (nějaký předmět/token jako např. platební karta), nebo na něčem, čím daný uživatel je (nějaké biometrická informace jako např. otisk prstu).“26 

Model autentizace Jméno a heslo

Tento typ autentizace je nejstarší a nejrozšířenější. Jedná se o velmi pohodlný a rychlý verifikační proces, kdy klient zadá své uživatelské jméno (jméno může být v různých formách, např. v číselné podobě) a heslo (většinou ve formě alfanumerického kódu). Problémem toho modelu bývá jeho nedostatečná bezpečnost. Uživatelé často používají stejné přihlašovací údaje, jako mají na jiných internetových serverech a díky tomu jsou poměrně snadno zjistitelné. Proto se většinou používá model Jméno a heslo pouze pro autentizaci a následnému používaní výhradně pasivních operací. Pokud by například chtěl uživatel zadat platbu, byl by vyzván k zadání další ověřovací informace.

24

Komerční banka: Desatero bezpečnosti [online]. Komerční banka [cit. 20. 3. 2012] Dostupné z: http://www.mojebanka.cz/cs/desatero-bezpecnosti.shtml 25 MATYÁŠ, Vašek. Autentizace uživatelů a autorizace elektronických transakcí: příručka manažera = User authentication and electronic transaction authorization : manager's handbook. Praha: TATE International, 2007, 318 s. ISBN 9788086813141. S. 11. 26 MATYÁŠ, Vašek a Jan KRHOVJÁK. Autorizace elektronických transakcí a autentizace dat i uživatelů. 1. vyd. Brno: Masarykova univerzita, 2008, 125 s. ISBN 9788021045569. S. 10.

27

I ostražitý klient, který zvolí těžce rozpoznatelný a dostatečně dlouhý alfanumerický kód, nemá bezpečnost stoprocentně zajištěnu. Toto heslo se dá lehce zjistit pomocí spywaru27 jménem keylogger 28. Pokud by aktivní operace byly chráněny pouze touto variantou zabezpečení, útočník by ani přístupové údaje nemusel znát. Jméno a heslo nezabrání podvodným praktikám typu MITM29 a MITB30 (man in the browser). Tento model navíc neřeší případné phishingové útoky, kdy útočník využívá metodu sociálního inženýrství 31 k vylákání citlivých údajů. Podobných útoků na takto málo zabezpečený systém internetového bankovnictví je celá řada. Podrobněji se na vybraný systém útoků zaměřím kapitole 5 Analýza vybraného systému. 

Model autentizace OPT

Základem tohoto modelu OTP (one time pasword) spočívá ve vygenerování jednorázového hesla, které slouží pouze pro jedno přihlášení. Při dalším pokusu o autentizaci se použije nové. Jednorázové heslo klient dostane pomocí SMS zprávy nebo se generuje externím hardwarem připojeným k jeho počítači tzv. OTP generátorem. Výhoda jednorázového hesla spočívá ve vysoké bezpečnosti verifikace, která je zapříčiněna vytvořením nezávislého kanálu mezi uživatelem a bankou. Klient opíše jedinečné a časem omezené OTP do internetového formuláře nebo do externího hardwaru a tím zabrání útokům typu MITM a MITB. Tento proces autentizace však doprovází vysoké náklady a problém s komfortností pro uživatele. Hardware generující jednorázová hesla se proto používá velmi omezeně (u korporátní nebo VIP klientely) a posílání SMS zpráv s OTP kódem se vyžaduje až pro autorizaci aktivních finančních operací nebo pro nestandardní autentizace, jako například pro připojení z cizího počítače nebo z cizí země. 

Model autentizace Certifikát a heslo

Tento verifikační model se vyznačuje vyšší bezpečností díky využití asymetrické kryptografie. Model postavený na této technice se nazývá elektronický podpis. Tato technika zajišťuje, že je ověřena pravost klienta, který data odesílá. Základ této kryptografické metody

27

Program, který odesílá data z počítače bez vědomí uživatele Program, který snímá stisky jednotlivých kláves 29 Útok provedený vstupem do komunikace mezi klientem a bankou, například pomocí přesměrování uživatele na podvodný server 30 Útoky provedené přímo z počítače klienta bez jeho vědomí, často provedené pomocí virů a trojských koňů 31 Podvodná manupulace lidí za účelem získáním tajných přístupových údajů do informačního systému 28

28

spočívá v technice párového klíče, kdy soukromý klíč k zašifrování dat vlastní klient. Tento klíč má uložen na disku počítače, flash disku, či speciální čipové kartě. Přístup k tomuto klíči je chráněn PIN kódem, kdy se vytvoří tzv. otisk, ten je zašifrován soukromým klíčem a odeslán. K rozšifrování dat dochází pomocí veřejného klíče, kdy oba párové klíče mají na sebe jedinečnou matematickou návaznost a proto má příjemce (banka) jistotu, že se skutečně jedná o daného uživatele služby internetového bankovnictví.32 Model autentizace Certifikát a heslo poskytuje vyšší bezpečnost oproti modelu Jméno a heslo. K jeho zneužití může dojít pouze v případě, když útočník získá plnou kontrolu nad klientovým počítačem, kdy musí získat soukromý klíč a PIN kód. Tento útok je mnohem náročnější, než když útočníkovi stačí k přístupu do internetového bankovnictví získat pouze heslo uživatele. 33 Aby byly transakce dostatečně bezpečné, jsou většinou potvrzovány v autorizačním procesu pomocí OTP hesel. 

Model autentizace s použitím tokenu

Tato verifikační metoda se vyznačuje tím, že uživatel vlastní externí zařízení, token. V předchozích modelech jsem se zmínil o OTP generátoru a certifikátu uloženém na speciální čipové kartě nebo flash disku. Díky vytvoření druhého, a to fyzického kanálu komunikace, se zvýší bezpečnost sdílení informací, protože data jsou velmi těžce kopírovatelná. Když klient ztratí fyzický token nebo když je mu ukraden, tento problém lehce rozpozná a může tak vzniklou situaci okamžitě řešit s finanční institucí. Tokeny jsou chráněny PIN kódy, a proto bývají útoky formou fyzického odcizení značně složité. Po zadání určitého počtu špatných PIN kódů se zařízení automaticky zablokuje. 34 Je třeba se seznámit s řadou omezení toho modelu. Problém může nastat v případě nekompatibility tokenu a počítače. Tato zařízení bývají velmi nákladná, klient si musí za token zaplatit. Dále je třeba si uvědomit, že problém může nastat, pokud dojde k poškození tokenu. Tato porucha nemusí být viditelná okem a je zjištěna až při samotné autentizaci. 35

32

TRUSCHKA, Jakub. Asymetrická kryptografie v praxi. Systemonline.cz [online]. [cit. 22. 3. 2013] ISSN 1802-615X. Dostupné z: http://www.systemonline.cz/it-security/asymetricka-kryptografie-v-praxi.htm 33 MATYÁŠ, Vašek a Jan KRHOVJÁK. Autorizace elektronických transakcí a autentizace dat i uživatelů. 1. vyd. Brno: Masarykova univerzita, 2008, 125 s. ISBN 9788021045569. S. 26. 34 JELÍNEK, Martin. Autentizační tokeny v praxi. Systemonline.cz [online]. [cit. 22. 3. 2013] ISSN 1802-615X. Dostupné z: http://www.systemonline.cz/it-security/autentizacni-tokeny-v-praxi.htm 35 MATYÁŠ, Vašek a Jan KRHOVJÁK. Autorizace elektronických transakcí a autentizace dat i uživatelů. 1. vyd. Brno: Masarykova univerzita, 2008, 125 s. ISBN 9788021045569. S. 10.

29

Použití externích zařízení se vyznačuje značným nepohodlím, přesto má své místo v korporátní sféře ve formě čipových karet a OPT generátorů, kdy je kladen velký důraz na bezpečnost dat. V retailovém bankovnictví se tokeny pro autentizaci používají pouze velmi zřídka, nejčastěji mají podobu certifikátu uloženého na USB discích. 

Model autentizace s použitím biometrických znaků

„Jednou z cest, která obecně vede ke zvýšení bezpečnosti autentizace, je možnost využít vícefaktorové autentizace, kdy je posílena bezpečnost vyžadováním dalších biometrických, popřípadě jiných identifikačních údajů. Tím ovšem může být částečně ztracena jedna ze základních výhod biometrických identifikace a to, že k vlastní identifikaci není zapotřebí žádná znalost ani vlastnictví nějakého předmětu.“36 Tento verifikační model vychází z předpokladu, že každý člověk má určité vlastnosti, které jsou pro něj jedinečné. K autentizaci osoby dochází měřením těchto fyziologických vlastností, které navíc musí být v průběhu času neměnné. V dnešní době se používá celá řada biometrických metod. Nejznámějšími metodami pro identifikaci osob je ověření pomocí otisku prstu, naskenování obličejových rysů nebo tvaru a barvy duhovky. Tento způsob autentizace bankovních operací je v ČR zatím pouze teoretický. V laboratořích rozpoznávání lidí pomocí fyziologických vlastností vykazuje velmi dobré výsledky, bohužel v praxi se setkáváme s celou řadou komplikací. Aby tento model mohl být použit pro jakékoliv bankovní autentizace, musel by se vyřešit problém s vysokou chybovostí (např. problém s otisky prstů znečištěných rukou) a vysokými počátečními náklady. Bohužel české banky na tento typ autentizace ještě nejsou technicky vybaveny na rozdíl od bank světových.

36

BENEŠ, Radek. Autentizační metody založené na biometrických informacích [online]. Brno: Vysoké učení technické v Brně, 2010 [cit. 28. 3. 2013] ISSN 1214-9675. Dostupné z: http://access.feld.cvut.cz/view.php?cisloclanku=2010110002

30

Tabulka č. 2: Autentizační modely a banky v ČR Jméno a

SMS OTP

heslo

kód

Certifikát

Čipová

OTP

karta

Kalkulátor

Citibank Česká spořitelna

Ano Ano

ČSOB

Ano

Ano

Ano

Ano

Equa bank

Ano

Ano

GE Money Bank

Ano

Ano

Ano

Komerční banka

Ano

mBank

Ano

Raiffeisenbank

Ano

UniCredit Bank

Ano

Ano Ano

Ano

Volksbank Zuno

Ano

Ano Ano

Pramen:vlastní podle [41] http://www.root.cz/clanky/autorizace-v-internetovem-bankovnictvi/

4.2.2 Autorizace finančních transakcí Po procesu verifikace a identifikace uživatele při samotném vstupu do internetového bankovnictví přichází na řadu autorizace aktivních operací. Pro tento proces se používají stejné metody jako pro autentizace uživatele a často jsou tyto modely kombinovány. České banky obecně poskytují nízkou formu zabezpečení ve fázi autentizace uživatele, to se pak snaží napravit při autorizaci plateb. Nejběžněji se používají metody soukromých klíčů, elektronických podpisů a OTP kódy s omezenou platností zasílané prostřednictvím jiného komunikačního kanálu. Kromě klasických bezpečnostních opatření jsou operace časově omezeny. Pokud klient překročí stanovený limit nebo systém zaznamená jeho dlouhou nečinnost, transakce je zrušena, uživatel je automaticky odhlášen a musí se znovu podrobit procesu verifikace. Nejčastěji používaným modelem autorizace plateb je ověření pomocí opětovné autentizace a zadání jednorázového OTP hesla. U bank, které používají k verifikaci Jméno a heslo, se to 31

stalo podmínkou. Finanční instituce se snaží omezit množství zasílání jednorázových kódů, protože se jedná o velmi nákladnou formu zabezpečení. Například je potřeba potvrdit pouze první platbu v rámci jedné verifikace a pak pro autorizaci platby zadat pouze PIN kód. Nebo u některých bank si uživatel zasílání hesel může vypnout úplně. Pokud je OTP heslo zadáno už při procesu autentizace, nebývá vyžadováno pro následnou autorizaci plateb. ING banka, Citibank a Voksbank jsou jediné banky, které nepodporují zasílání SMS zpráv s jednorázovými kódy ani při verifikaci uživatele ani při autorizaci plateb. Citibank i Voksbank generují OTP hesla pomocí kalkulátoru a ING banka spoléhá na zadání PIN kódu, hesla a klientského čísla. Navíc si klient může nastavit, že bezhotovostní platební prostředky budou zasílány pouze na předdefinované účty. 37

4.3 Bezpečnost smartbankingu Požití mobilu jako kanálu přímého bankovnictví si získává místo uživatele velmi pomalu. Lidé se bojí, že se jedná o nástroj, který je snadno napadnutelný profesionálními útočníky. Podle odborníků neexistuje důvod se obávat, že se jedná o vyšší nebezpečí, než v případě internetového bankovnictví. Celosvětově počet útoků na tento kanál roste, nebude však nikdy rozšířen tak, jako útok vedený na internetové bankovnictví, a to z důvodu své technické náročnosti. Prakticky se mobilem můžeme ke svému účtu připojit dvěma způsoby. Můžeme si otevřít webový prohlížeč a navštívit internetovou stránku. Tyto stránky vypadají většinou odlišně od klasického internetového bankovnictví, pracují však na stejném principu a také jsou vystaveny velmi podobným útokům. Od tohoto způsobu komunikace se banky v poslední době odklánějí. Je méně bezpečný než v případě použití speciální aplikace. Hlavním problémem je, že se neposílá OTP heslo pro verifikaci či autorizaci. V rámci jednoho kanálu by se jednalo o zbytečný krok, která je navíc relativně složitý na provedení s odkazem na limity v prostředí

chytrých telefonů.

Druhým

způsobem

je

komunikace

pomocí

specializované aplikace, tzv. smartbanking. Tato aplikace je upravena na míru operačního systému, na kterém mobilní zařízení pracuje a musí se stáhnout z příslušného serveru a

37

HOVORKA, Jiří. Banky zvyšují zabezpečení internetu. Aktualne.cz [online]. 2012 [cit. 28. 3. 2013]. Dostupné z: http://aktualne.centrum.cz/finance/penize/clanek.phtml?id=731692

32

následně nainstalovat. Díky aplikace dochází ke složitému šifrování dat pomocí dlouhých klíčů. Pokud uživatel aplikaci stáhne z bezpečného zdroje a správně nainstaluje, je pro útočníka velmi složité odcizit klientovi peníze. Nainstalování aplikace většinou klient musí nejprve schválit v internetovém bankovnictví nebo na pobočce banky, kde také získá přístupové kódy. „Zatímco například u Citibank nebo mBank stačí do smartbankingu použít stejné přístupové údaje jako do internetbankingu, je u dalších bank nutné zaregistrovat v internetbankingu, že chcete smartbanking používat. Banka Vám při té příležitosti pošle aktivační kód v podobě SMS na Váš mobilní telefon. Tento aktivační kód zadáte s dalšími identifikačními údaji do smartbankingu při prvním přístupu. Při dalších přístupech už pak většinou zadáváte jen dva údaje, tj. jméno nebo klientské číslo a pak heslo nebo PIN.“38 Útoky vedené na bankovní mobilní aplikace jsou možné, pokud je mobilní zařízení fyziky ukradeno. Proto přihlášení do služby chrání PIN kód, kdy v případě, kdy je několikrát špatně zadán, se aplikace automaticky zablokuje. Klient by si měl kód chránit a nepoužívat universální nebo krátký PIN. Autorizace platby musí být kódem většinou znova potvrzena. Tato dodatečná ochrana byla zavedena proto, aby se zabránilo případům krádeže finančních prostředků, pokud by byl telefon odcizen v době, kdy by byla spuštěná mobilní aplikace.

4.4 Bezpečnost e-bankingu v informačních zdrojích světa Z rozhovoru s odborníkem na ekonomiku a bezpečnost informačních systémů Prof. Ing. Vladimírem Smejkalem, CSc. vyplývá, že zahraniční banky nevyužívají jiné bezpečnostní prvky než české finanční domy. 39 Stejně jako v ČR probíhá proces autentizace uživatele pomocí něčeho, co člověk zná, vlastní nebo čím člověk je. V této kapitole se zaměřím na autentizaci pomocí použití biometrických znaků, která představuje možnou budoucnost verifikačních metod.

38

BUBÁK, Zdeněk. Velké srovnání smartbankingu. Jak můžete ovládat svůj účet z mobilu? Finparada.cz [online]. 2013 [cit. 28. 3. 2013]. Dostupné z: http://www.finparada.cz/1111-Velke-srovnani-smartbankingu.aspx 39 Finexpert.cz: O bezpečnosti přímého bankovnictví s prof. Smejkalem. E15.cz [online]. 2008 [cit. 20. 3. 2012]. Dostupné z: http://finexpert.e15.cz/o-bezpecnosti-primeho-bankovnictvi-s-prof-smejkalem

33

Tradiční bezpečnostní prvky, jako jsou hesla, bývají ve světě zneužívány ve velké míře, a proto bankovní domy hledají nová řešení, jak posílit bezpečnost elektronického bankovnictví. Bankéři ve světě pochopili, že využívání biometrických metod v procesu autentizace uživatele je velmi pohodlné a bezpečné zároveň. Tento bezpečnostní prvek zavádějí především asijské banky. Na grafu č. 5 je zobrazeno rozmístění 121 světových finančních institucí, které využívají biometrii jako bezpečnostní prvek.

1% 6%

9% Evropa Amerika Asie

32%

Afrika 52%

Australie

Graf č. 5: Procentní vyjádření rozmístění bank využívající biometrii podle světadílů (n=120) Pramen: vlastní podle [33] http://www.textroad.com/pdf/JBASR/J.%... V příloze č. 1 je zobrazen seznam všech bank, které v roce 2012 využívali biometrii k zabezpečení jednotlivých komunikačních kanálů. Biometrické bezpečnostní prvky jsou využívány ve 45 procentech k zabezpečení bankomatů, na přímé bankovnictví připadá pouze 17 procent (10 % internetové bankovnictví, 7 % telefonní bankovnictví). 40 V tabulce je také uvedeno, jaký typ biometrického zabezpečení se využívá pro tyto typy operací. Použití většiny biometrických technologií v oblasti bezpečnosti internetového bankovnictví vyžaduje, aby počítače zákazníků byly vybaveny biometrickými snímači. Protože mnoho počítačů a notebooků má připojené kamery a mikrofony, není nutné přidávat další zařízení pro biometrickou verifikaci pomocí rozpoznání hlasu nebo tváře pro internetové bankovnictví. To, že by se tyto bezpečnostní prvky mohly implementovat bez nákladů ze strany uživatele, je podle mého názoru velkou motivací k tomu, aby čeští bankéři začali na modelu autentizace pomocí biometrie intenzivně pracovat. 40

HOSSEINI, Seyyede Samine a Dr. Shahriar MOHAMMADI. Review Banking on Biometric in the World’s Banks and Introducing a Biometric Model for Iran’s Banking Systém. Iran: Tehran University, Khaje Nasir University, 2012 [cit. 6. 5. 2013]. ISSN 2090-4304. Dostupné z: http://www.textroad.com/pdf/JBASR/J.%20Basic.%20Appl.%20Sci.%20Res.,%202(9)9152-9160,%202012.pdf

34

5 ANALÝZA VYBRANÝCH BANK V ČR „Internetové bankovnictví je dobrým příkladem online služby, která v česku zdomácněla. Nárůst penetrace internetu a jeho relativní dostupnost, personalizace elektronických zařízení a jejich mobilita se spolu s vysokou mírou bezpečnosti zasloužily o to, že lidé stále častěji využívají elektronické bankovnictví. Což je výhodné pro klienty, ale i pro samotné banky,“41 V této kapitole se zaměřím na to, jak funguje model elektronického bankovnictví a jeho bezpečnost v praxi. Jako příklad bych uvedl produkty přímého bankovnictví Komerční banky. Tuto banku jsem si vybral, protože poskytuje nejvyšší formu zabezpečení elektronického bankovnictví a protože se jedná o nejrozšířenější banku mezi mladými lidmi, kteří využívají nejrůznější kanály přímého bankovnictví nejčastěji. Následně představím výsledky průzkumu zaměřeného na vnímání bezpečnosti elektronického bankovnictví prováděného mezi studenty vysokých škol, který jsem prováděl ve spolupráci s marketingovým oddělením KB.

5.1 Model bezhotovostních plateb KB Komerční

banka

poskytuje

celou

řadu

služeb

přímého

bankovnictví.

Hlavními

komunikačními kanály jsou MojeBanka (internetové bankovnictví) a Mobilní banka 2 (smartbaking), které analyzuji v následujících podkapitolách. Dalšími zajímavými službami jsou Expresní linka a Expresní linka plus, Přímý kanál nebo Multicash. MojeBanka představuje internetové bankovnictví KB, které poskytuje klasickou škálu pasivních a aktivních operací, které jsou vypsány v příloze č. 2. Internetové bankovnictví KB se dělí na produkty MojeBanka, MojeBanka Business a ProfiBanka. MojeBank Business je určena malým firemním klientům a umožňuje stahování účetních dat a elektronickou zástavu pohledávek. Naopak postrádá takové funkce, jako přehled produktů dceřiných společností KB nebo sjednávání spotřebitelských úvěrů a kreditních karet. Služba ProfiBanka, poskytována korporátním klientům (obsahuje službu Přímý kanál), spojuje internetové bankovnictví s nainstalovanou aplikací na klientově PC, která zajišťuje vyšší bezpečnost a možnost pohodlně zpracovávat velké množství transakcí. Tento produkt rovněž nabízí možnost

41

Novinky.cz: Češi v síti a internetové bankovnictví. Novinky.cz [online]. 2011[cit. 3. 4. 2012] Dostupné z: http://www.novinky.cz/internet-a-pc/245053-cesi-v-siti-a-internetove-bankovnictvi.html

35

efektivně řídit cash-flow, protože klient má okamžitý přehled o zůstatcích na účtech. Další výhody ProfiBanky jsou uvedeny v příloze č. 3.42 Služba MojeBanka je poskytována zdarma, za službu MojeBanka Business klient zaplatí 170 Kč a za ProfiBanku 290 Kč měsíčně. Za kombinaci produktů MojeBanka Business a Přímý kanál zaplatí uživatel 290 Kč. Mobilní banka 2 je klasickou službou chytrého bankovnictví. Prostřednictvím mobilní aplikace klient může získávat informace spojené s jeho účty, komunikovat s bankou nebo zadávat platby. Mobilní banka 2 nahradila službu Mobilní banka, která neumožňovala klientovi zadávání transakcí a dnes je nabízena pouze jako součást a doplnění služby Expresní linka. Aby uživatel této služby mohl aplikaci aktivně využívat, musí mít mobilní telefon nebo tablet připojený k internetu pomocí Wifi, 3G nebo jiné sítě. Všechny operace, které je možné využívat pomocí smarbankingu KB, jsou uvedeny v příloze č. 4. Službu Mobilní banka 2 finanční instituce nabízí zcela bezplatně. Expresní linka je přestavitel klasického telefonního bankovnictví, Expresní linka plus pak představuje kombinaci telefonního a internetového bankovnictví, kdy klient většinu operací provádí na svém počítači přes internetový prohlížeč. K přihlášení zadá uživatel své identifikační číslo a následně dva znaky ze svého čtyřmístného kódu PIN. Otevře se mu webové rozhraní, kdy může používat veškeré pasivní operace. Pro zadání platby musí zavolat na infolinku. Tyto služby jsou určeny hlavně pro retailové klienty banky. Jako velkou výhodu této služby vidím hlavně ve skutečnosti, že uživatel má možnost řešit případné komplikace přímo s bankéřem a může se například domluvit na osobní schůzce v kamenné pobočce. Expresní linka plus je poskytována zdarma a za službu Expresní linka klient zaplatí 39 Kč měsíčně. Telefonát na expresní linku je samozřejmě zpoplatněn, taxa odpovídá běžné sazbě volání na pevnou linku. Přímý kanál představuje službu, která je nástavbou k internetovému bankovnictví. Tato funkce je určena pro klienty, kteří pracují s velkým množstvím příchozích a odchozích plateb. Jedná se především o podniky, které potřebují mít tyto transakce zaznamenané v účetních systémech. Služba spolupracuje s celou řadou účetních programů, kdy umožňuje odesílání platebních příkazů přímo z prostředí těchto programů. Jedná se o kombinaci internetového bankovnictví a nainstalované aplikace na počítači, jako je tomu v případě klasické služby 42

Komerční banka: Profibanka [online]. Komerční banka [cit. 5. 4. 2012] Dostupné z: http://www.kb.cz/cs/firmy/firmy-s-obratem-pod-60-milionu/profibanka.shtml

36

homebanking. Za službu si KB účtuje poplatek 290 Kč měsíčně a 75 Kč za každou další zmocněnou osobu využívající tento produkt. Služba je zabezpečena metodou asymetrické kryptografie (elektronický podpis) stejně, jako v případě internetového bankovnictví. 43 Multicash je mezinárodně uznávanou službou elektronického bankovnictví, kdy klient může obsluhovat více účtů. Tyto účty může mít vedeny u více bank v ČR nebo v zahraničí. „Aplikace umožňuje zadávat, autorizovat nebo jen sledovat převody a zůstatky Vašich účtů přímo Vám nebo jiným firmám k tomu zmocněným.“44 Multicash využívají firemní klienti banky a zejména velké nadnárodní korporace. Služba poskytuje celou řadu výhod, kdy například velmi zlehčuje správu účtu v jiných měnách a rozšiřuje možnosti kontroly dceřiných společností. Klient komunikuje s bankou pomocí speciálního Multicash serveru KB pomocí nainstalovaného softwaru. Bezpečnost systému je zajištěna pomocí elektronických podpisových vzorů, šifrování dat. Další možností zvýšení kontroly a bezpečnosti umožňuje nastavení externího auditu plateb, kdy jsou platby vždy autorizovány zvolenou vyšší instancí, například mateřskou společností.45 Komerční banka tuto službu zřizuje za jednorázový poplatek 10 000 Kč, a pokud klient využívá Multicash u jiné banky, je mu jeho KB účet připojen za poplatek 2 500 Kč. Pokud chce klient zřídit službu mimo ČR, je s ním poplatek dohodnut individuálně. Vedení této služby stojí 500 Kč měsíčně a všechny služby, které klient pomocí této služby dále využívá, jsou zpoplatněny vysokými poplatky.

5.1.1 SWOT analýza služby MojeBanka SWOT (zkratka slov strengths, weaknesses, opportunities, threats) analýza je subjektivní technika využívána pro pochopení silné a slabé stránky služby nebo produktu. Analýza se také používá pro identifikaci otevírajících se možností a hrozeb, které s produktem souvisejí. Dělí se na interní část (silné a slabé stránky) a na externí část (možnosti, hrozby). Interní část se týká přímo organizace a popisuje, v čem je daná služba nebo produkt dobrá nebo špatná. Externí část se týká spíše okolního prostředí, které může organizace ovlivnit jen z části.

43

Komerční banka: Přímý kanál [online]. Komerční banka [cit. 5. 4. 2012] Dostupné z: http://www.profibanka.cz/cs/sluzby/primy-kanal/index.shtml 44 GE Money: MultiCash[online]. GE Money Bank [cit. 5. 4. 2012] Dostupné z: https://www.gemoney.cz/ge/cz/2/prime-bankovnictvi/multicash 45 Management data Praha: MultiCash Classic[online]. Management data Praha [cit. 5. 4. 2012] Dostupné z: http://www.mdpraha.cz/products/multicash/classic/index.html

37

Externí oblast popisuje také, jaká jsou nová řešení interních problémů a na jaké hrozby si organizace musí dát pozor.46 Jednotlivé části SWOT analýzy služby MojeBanka jsou přehledně shrnuty v tabulce č. 3 pod označení S - silné stránky, W - Slabé stránky, O - příležitosti, T - hrozby. 

Silné stránky

Za hlavní silné stránky internetového bankovnictví MojeBanka považuji vysokou bezpečnost spojenou s verifikací pomocí elektronického podpisu (S1) a podpořenou zasíláním OTP hesla při autentizaci z cizího počítače nebo cizí země (S2). Proces autorizace plateb pomocí OTP kódu zaslaného SMS zprávou zajišťuje další vrstvu zabezpečení proti případnému nelegálnímu převedení finančních prostředků (S3). Pomocí internetového bankovnictví se klient může přihlásit v jakoukoliv hodinu, není omezen otevírací dobou jako v případě návštěvy pobočky, což s sebou přináší časovou úsporu (S4). Služba je poskytována zdarma a přináší uživateli i bance finanční úsporu (S5). Klient pomocí internetového bankovnictví může ovládat celou řadu služeb a díky tomu se tento kanál elektronického bankovnictví ve funkčnosti vyrovnává osobní návštěvě banky. Tato služba je mnohem pohodlnější a předchází častému čekání na pobočkách finanční instituce (S6). 

Slabé stránky

Za největší nevýhodu služby MojeBanka považuji skutečnost, že se klient nemůže přihlásit odkudkoliv (W1). K autentifikaci je zapotřebí mít vždy s sebou certifikát nahraný na CD, na flash disku nebo čipové kartě, což přináší značnou dávku nepohodlí (W2). Certifikát často vyžaduje aktuální verzi zásuvného modulu Java47 a přináší problém s přihlašováním z různých internetových prohlížečů (W3). Další nevýhodou je, že služba MojeBanka nepřináší okamžité aktuální pohyby a zůstatky na účtech (W4). 

Příležitosti

Odstranění nebo zmírnění některých slabých stránek by mohlo přinést vyšší spokojenost uživatelů služby MojeBanka (O1) a s dobrou marketingovou propagací těchto změn přivést nové klienty do Komerční banky (O2). Zajímavou možností by bylo nahrání certifikátu na

46

Mind Tools: SWOT Analysis. Mind Tools [online]. 2013 [cit. 10. 4. 2012]. Dostupné z: http://www.mindtools.com/pages/article/newTMC_05.htm 47 Platforma naprogramovaná v jazyce Java komunikující s internetovým prohlížečem vyžádaná při autentizace

38

externí internetové úložiště dat (cloud), jehož bezpečnost by byla zajišťována bankou nebo specializovanou firmou zaměřenou na zabezpečení elektronických dat (O3). Zavádění nových bezpečnostních prvků by nemuselo zůstat pouze u poskytování služby cloud, ale mohlo by se orientovat i na nové metody autentizace se zaměřením na biometrické technologie. Tento posun by mohl bance přinést další klienty, zejména z řad mladých lidí (O4). 

Hrozby

Vysoký standart bezpečnosti v podobě certifikátu ve fázi verifikace zabraňuje krádežím identity, která vede k úniku citlivých informací. Tento problém by mohl nastat v případě, kdyby byl certifikát ukraden a s pomocí keyloggeru nebo jiné nezákonné metody by bylo zjištěno heslo k přístupu do služby MojeBanka (T1). Další hrozbou je odcizení finančních prostředků z účtu klienta (T2). Nejnebezpečnější technikou odcizení je v současnosti phishing, kterému se věnuji v kapitole 6.3. Kdyby se KB nepodařilo zabránit těmto útokům, mohlo by docházet k negativnímu vnímání spolehlivosti finanční instituce. Banka by tak mohla přijít o dobrou pověst (T3) a následně by mohlo docházet ke ztrátě klientů (T4). Tabulka č. 3: SWOT analýza internetového bankovnictví KB

Interní část

S1 S2 S3

Externí část

S4 S5 S6 O1 O2 O3 O4

Strenghts Vysoká bezpečnost při verifikaci Autentizace z cizího počítače nebo cizí země Vysoká bezpečnost při autorizaci Časová úspora Finanční úspora Komfortnost Opportunities Spokojenost uživatelů Získání nových klientů Uložení certifikátu na externí internetové úložiště Autentizace pomocí biometrie

Pramen: vlastní podle provedeného průzkumu

39

W4

Weaknesses Nemožnost se přihlásit odkudkoliv Nekomfortnost spojená s certifikátem Aktualizace zásuvného modulu Java Neaktuálnost transakcí

T1 T2

Threaths Krádež identity Krádež finančních prostředků

T3

Ztráta dobré pověsti

T4

Ztráta klientů

W1 W2 W3

5.1.2 SWOT analýza služby Mobilní banka 2 Jednotlivé části SWOT analýzy služby Mobilní banka 2 jsou přehledně shrnuty v tabulce č. 4. 

Silné stránky

Nejsilnější stránkou služby Mobilní banka 2 je možnost se připojit odkudkoliv, kde má klient připojení k internetu ze svého mobilního telefonu (S1). K síti se klient společnosti Vodafone může připojit na 96 procentech České republiky, na T-Mobile a Telefóniku O2 připadá více než 98 procentní pokrytí.48 Klient využívající službu smartbanking se přihlašuje do aplikace pomocí zadání svého rodného čísla a hesla. Tato autentizace je doplněna o bezpečnostní prvky v podobě absolvování procesu autorizace aplikace pomocí služby MojeBanka (S2), kde může klient nastavit řadu bezpečnostních prvků, jako limity plateb (S3) nebo požadavek posílat platby pouze na předdefinované účty (S4). Stejně jako v případě internetového bankovnictví šetří smartbanking čas (S5) a protože není potřeba posílat jednorázová hesla a aplikace je poskytována zdarma, šetří také finanční prostředky banky a klienta (S6). Pomocí smarbankingu je v současnosti možné provádět nejvyužívanější aktivní a pasivní operace a proto se služba začíná funkčně vyrovnávat internetovému bankovnictví a osobní návštěvě pobočky, což zajišťuje zvýšení komfortnosti (S7). Službu lze kromě mobilních telefonů využít na celé řadě zařízení jako je tablet nebo dokonce MP3 přehrávač (S7). 

Slabé stránky

Díky malým displejům mobilních telefonů, kde navíc bývá většinou zobrazena také klávesnice, může řadě uživatelů připadat služba nepřehledná a nepohodlná (W1). V rámci služby smarbanking je nesmyslné posílat OTP hesla a proto klienti mohou službu považovat jako málo bezpečnou (W2). Tento problém by mohl vyřešit elektronický podpis, který v dnešní době není možné u mobilních zařízení používat (W3). Protože se Mobilní banka 2 musí aktivovat pomocí internetového bankovnictví, může docházet k problému, že klient tento produkt nemá aktivovaný nebo může uživateli celý proces autorizace připadat složitý a nepohodlný (W4).

48

MACICH, Jiří ml. Lesk a bída českých 3G sítí: Zjistili jsme, jak mají operátoři pokryt. Lupa.cz [online]. 2006 [cit. 11. 4. 2013]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/lesk-a-bida-ceskych-3g-siti-zjistilijsme-jak-maji-operatori-pokryto/

40



Příležitosti

Problém se zasíláním OTP hesel s nemožností použít certifikát a s vnímáním služby jako málo bezpečné, by mohlo vyřešit zavedení externího internetového úložiště cloud (O1), jak je navrženo v příležitostech internetového bankovnictví. Protože mobilní zařízení mají čím dál více propracovanější multimediální funkce (např. fotoaparáty) a protože se dále vylepšují displeje, nabízí se do budoucna možnost využit biometrické technologie v podobě skenování otisku prstu nebo zorničky (O2). Tyto technické vymoženosti by mohly přivést do KB nové klienty, zejména mladší generace (O3) a zvýšit spokojenost se službami poskytovanými Komerční bankou (O4). 

Hrozby

Hrozba krádeže identity nebo finančních prostředků hrozí v případě, že by bylo mobilní zařízení odcizeno (W1). Největší problém by mohl nastat, kdyby bylo zařízení ukradeno v době, kdy by byl uživatel přihlášen do aplikace Mobilní banka 2. Toto však není jedinou možností, jak odcizit citlivé údaje nebo peněžní prostředky. Bezpečnostní firma NQ Mobile upozorňuje na to, že v roce 2012 se objevilo dvojnásobné množství malwaru49, které se specializují na napadení mobilních telefonů (W2). Tento nebezpečný software útočníci často vytvářejí za použití oficiální aplikace, aby malware vypadal co nejvěrohodněji. Dalším častým útokem bývá obdoba počítačového phishingu tzv. smishing, kdy je místo falešného e-mailu použita SMS zpráva (W3).50 Pokud by v budoucnu banka nedokázala zabránit těmto typům útoků, mohla by stejně jako v případě hrozeb internetového bankovnictví přijít o dobrou pověst (W4) a klienty (W5).

49

Program, který je určený ke vniknutí nebo poškození počítačového nebo mobilního systému BURGESS, Rick a Pavel KREUZIGER. Infekce Androidu se v roce 2012 ztrojnásobily. PCWorld [online]. 2013[cit. 11. 4. 2012]. Dostupné z: http://pcworld.cz/novinky/Infekce-Androidu-se-v-roce-2012ztrojnasobily-45884 50

41

Tabulka č. 4: SWOT analýza smartbankingu KB Strenghts S1

Interní část

Možnost se přihlásit odkukoliv

W1

Nepřehlednost spojené s malým displejem

S3

Autorizace služby pomocí internetového bankovnictví Limity plateb

S4

Předdefinované účty

S5

Časová úspora

S6

Finanční úspora

S7

Komfortnost

S8

Variabilita požitelných zařízení

O1

T1

Odcizení mobilního zařízení

O2

Opportunities Uložení certifikátu na externí internetové úložiště Biometrie

T2

Zvětšování počtu malwaru

O3

Získání nových klientů

T3

Smishing

O4

Spokojenost uživatelů

T4

Ztráta dobré pověsti

T5

Ztráta klientů

S2

Externí část

Weaknesses

W2 Vnímání nízké bezpečnosti W3 Nemožnost využít certifikát W4 Problémy s autorizací služby

Threaths

Pramen: vlastní podle provedeného průzkumu

5.2 Průzkum vnímání bezpečnosti přímého bankovnictví Na podzim roku 2012 jsem provedl průzkum s oficiálním názvem Zabezpečení internetového bankovnictví, který se týkal bezpečnosti internetového a mobilního bankovnictví. Hlavním cílem průzkumu bylo zjistit, jak vnímají studenti problematiku bezpečnosti elektronického bankovnictví. Dále jsem se snažil identifikovat zájem o nové kanály elektronického bankovnictví a zjistit, zda má bezpečnost vliv při rozhodování o výběru banky. První fáze sběru dat, kvantitativního dotazování, probíhala pomocí osobního dotazování, aby mohla

být

dokonale

pochopena

složitá

problematika

bezpečnosti

elektronického

bankovnictví. Dotazník byl sestaven ze sedmnácti otázek (viz příloha č. 5) a byl proveden na vzorku 53 vysokoškolských studentů. Díky tomu, že jsem se s respondenty setkával osobně, získal jsem vždy plně zodpovězený dotazník, mohl jsem zařadit doplňující otázky a

42

v případně nutnosti vysvětlit nejasné části dotazníku. Detailní číselné vyhodnocení kvantitativního průzkumu je zobrazeno v příloze č. 6. Po vyhodnocení kvantitativní části jsem se rozhodl zařadit kvalitativní fázi dotazování. V listopadu 2012 jsem se sešel se sedmi studenty z nejrůznějších vysokoškolských oborů a snažil jsem se objektivně vyjasnit nejasné otázky z první fáze průzkumu metodou focus group. Pro tuto část dotazování jsem sestavil diskusní scénář (viz příloha č. 7) s předpokládanou délkou trvání 80 až 105 minut. Tyto poznatky jsem pak doplnil o poznámky z doplňujících otázek položených v kvantitativní části průzkumu.

5.2.1 Rozhodování o výběru banky a spokojenost s internetovým bankovnictvím Mezi dotazovanými studenty 92,6 % respondentů uvedlo, že používá internetové bankovnictví. 80 % dotazovaných uvedlo jako svou hlavní banku jednu ze tří největších bank v ČR (KB, ČSOB, Česká spořitelna), kdy pro 80 % respondentů je tato banka primární a jedinou. Na grafu č. 6 je zobrazeno zastoupení českých finančních institucí mezi studenty.

Grafstudentů č. 5: v % Počet 0,4

0,3

0,2

0,1

0 Komerční banka

Česká spořitelna

ČSOB

GE Money Bank

Graf č. 6: Zastoupení jednotlivých bank mezi studenty Pramen: vlastní podle provedeného průzkumu 43

Raiffeisenbank

mBank

Banka

Nejčastěji zmiňovaným faktorem pro výběr banky byla výše poplatků, dostupnost bankomatů a poboček. Na otázku, proč si studenti myslí, že jsou tak často zastoupeny velké banky, když jsou na trhu banky s nulovými poplatky, se mi nepodařilo získat jedinou odpověď, která by se týkala bezpečnosti elektronického bankovnictví. Dále se respondenti zmiňovali o „historickém“ faktoru, kdy si vybrali stejnou banku, kterou mají jejich rodiče. Studenti uvedli, že jejich rozhodnutí o výběru banky nemá nic společného s modelem zabezpečení elektronického

bankovnictví,

protože

jim

odcizení

peněz

z účtu

připadá

velmi

nepravděpodobné. Dále se myslí, že kdyby jim byly peníze odcizeny, tak by je nejspíše už nikdy nezískali zpět a že odpovědnost za své prostředky je na jejich straně. Připadá jim, že peníze jim budou vyplaceny se stejnou pravděpodobností u jakékoliv banky v ČR.

5.2.2 Vnímání bezpečnosti elektronického bankovnictví V otázce č. 5, zaměřené na spokojenost s internetovým bankovnictvím jsem se dotazoval na snadnou dostupnost aplikace pro uživatele internetu (možnost se kdykoliv a odkudkoliv připojit viz graf č. 7), čímž jsem se pokusil zjistit, jak jsou uživatele KB spokojeni s modelem autentizace Certifikát a heslo. Počet studentů v %

KB

Všechny banky

35% 30% 25%

20% 15% 10% 5% 0% 1

2

3

4

5

6

7

8 9 10 Škála 1(min.) - 10(max.)

Graf č. 7: Možnost se kdykoliv a odkudkoliv připojit na škále 1(min.) - 10(max.) Pramen: vlastní podle provedeného průzkumu

44

Spokojenost s dostupností aplikace u KB je oproti celkovému průměru na nižších hodnotách. Vyhovující dostupnost byla chápána jako možnost přihlásit se odkudkoliv, a to 24 hodin denně, 7 dní v týdnu, 365 dní v roce. Klienti KB si v této části stěžovali na nemožnost se přihlásit z jakéhokoliv počítače (např. ve škole). Většinou jsou však s certifikátem spokojeni a tento bezpečnostní prvek vítají, protože ho vnímají jako velmi bezpečný. Obecně uživatelům připadá internetové bankovnictví jako bezpečná služba. Na grafu č. 8 jsou zobrazena preferovaná zabezpečení rozdělená na jednotlivé operace. Jako „velice spokojeni“ (8-10) ohodnotili respondenti (96%) současné řešení zabezpečení elektronického bankovnictví, ať už se jednalo o internetové nebo mobilní bankovnictví. Z průzkumu vyšlo najevo, že respondenti bance věří v tom, jak má bezpečnost nastavenu a že se nezajímají ani o bezpečnostní prvky ani o druhy nebo anatomii útoků. Na otázku ohledně případného outsourcingu bezpečnosti, která by byl zajišťován externí firmou, jsou názory rozporuplné. Zastánci řešení „bezpečnost výhradně bankou“ se bojí o bezpečnost osobních informací a o to, že externí firma nebude dostatečně důsledná v otázkách týkajících se ochrany osobních údajů. Všichni se ale shodují na tom, že externí firma by technickou část zabezpečení zvládla lépe než samotná banka. Model certifikát Certifikát + heslo a heslo

Model+ heslo SMS + sms Jméno OTP

Model+jméno Jméno heslo a heslo

Operace Aktivní operace neomezené

Aktivní operace na předdefinované účty

Pasivní operace

Přihlášení

0,0%

15,0%

30,0%

45,0%

60,0%

75,0%

90,0%

Počet studentů v %

Graf č. 8: Preferovaná zabezpečení a operace elektronického bankovnictví Pramen: vlastní podle provedeného průzkumu

45

Dále jsem se v průzkumu zaměřil na bezpečnostní prvky, díky kterým by banka mohla ušetřit finanční prostředky za posílání SMS zpráv s OTP heslem. Pro KB by bylo velmi vhodným řešením umístit certifikát na externím úložišti za použití cloudu. Jako vhodné řešení tuto možnost uvedlo 44,4%. 55,6% respondentů odmítá úložiště cloud. Uživatelé mimo KB nechápou význam certifikátu. Sice vidí v certifikátu jakýsi bezpečnostní prvek, ale připadá jim celkem zbytečný (pro internetové i mobilní bankovnictví). Díky tomu většinou neuměli dotazovaní posoudit přínosnost cloudu. Uživatelé KB tento bezpečnostní prvek sice vítají, ale plně nechápou jeho technickou proveditelnost.

5.2.3 Nové kanály elektronického bankovnictví Studenti uvedli, že vnímají jako důležité, aby banka poskytovala přístup ke svému účtu pomocí nových a moderních kanálů. Zařízení Vystačím si s PC

E-book

Tablet

Smartphone

Mobilní telefon

0%

5%

10%

15%

20%

25%

30%

Počet studentů v%

Graf č. 9: Preferované kanály e-banking v % Pramen: vlastní podle provedeného průzkumu Na grafu č. 9 jde jasně vidět, že studenti mají zájem o službu smartbanking. Většina respondentů zastává názor, že chytré mobilní bankovnictví je preferováno pouze pro možnost pasivních operací. Respondenti, kteří nepoužívají mobilní bankovnictví, se přiklání k názoru, že by ho používali pouze k pasivním operacím. Respondenti, kteří mobilní bankovnictví používají, však využívají mobilní platformu k platbám. Limitům mobilních telefonů (malý displej, problém s OTP) studenti nepřikládají velký význam. Uživatelé preferující pasivní 46

operace se staví k OTP neutrálně, příznivci aktivních operací by OTP uvítali i na mobilních zařízeních. Po vysvětlení problematiky OTP zasílaného na mobilní přístroj v rámci jednoho zařízení se pohled na tento model změnil. Na otázku, „proč si myslíte, že model OTP zasílaného pomocí SMS zpráv je preferován na mobilních zařízeních“, odpovídají, že si neuvědomili, že tento typ zabezpečení u mobilních platforem nemá smysl. Mobilní bankovnictví jim nadále nepřipadalo jako bezpečný kanál pro provádění aktivních operací. Uživatelé, kteří používají aktivní operace na mobilních telefonech, nevidí žádná bezpečnostní rizika. OTP jim nyní připadalo jako trochu zbytečné, ale přesto vhodné. Na závěr jsem studenty vyzval, aby uvedli ideální model zabezpečení pro mobilní bankovnictví. Respondenti se přiklání k názoru, že by si vystačili pouze s pasivními operacemi a přihlašováním pomocí Jméno a heslo. Setkal jsem se však s velmi pozitivní odezvou na biometrické zabezpečovací prvky jako otisk prstu nebo skenování zorniček. Bezpečnostní prvek „nastavení předdefinovaných účtů v internetovém bankovnictví“ je nepřesvědčil k aktivním operacím prováděným pomocí mobilního bankovnictví a navíc jim připadá omezující. Podobně se stavějí k nastavení limitů plateb.

5.3 Model phishingových útoků V kapitole se zaměřím na jeden z nejnebezpečnějších typů útoků na elektronické bankovnictví. Toto nebezpečí se zatím týká především internetového bankovnictví, které je nejrozšířenějším a nejohroženějším typem e-bankingu, ale je jen otázkou času, kdy se tento typ útoků zaměří také na smartphony. Analýzu phishingových útoků jsem si vybral v návaznosti na výsledky průzkumu Zabezpečení internetového bankovnictví. V jeho průběhu jsem zjistil, že uživatelé služeb přímého bankovnictví považují zabezpečení internetového bankovnictví za důležité, ale sami této problematice nerozumí a často nedodržují ani základní bezpečnostní doporučení. Obětí phishingových útoků může stále přibývat, protože uživatelé internetového bankovnictví stále nejsou připraveni na manipulativní útoky pomocí metody sociálního inženýrství. Samotný klient je stále nejslabším článkem bezpečnosti elektronického bankovnictví.

47

Phishing je termín vytvořený hackery, kteří se zabývají napodobováním emailů legitimních společností. Takto pak získávají důležitá data, hesla a čísla kreditních karet. Slovo vzniklo z anglického výrazu fishing, protože tato technika krádeže se podobá rybaření. Nejčastěji jsou phishingové útoky prováděny pomocí rozesílání hromadných emailů (spamů 51), kde jsou klienti bank vyzváni k zadání svých přístupových údajů k internetovému bankovnictví. Email má obvykle formu oficiální žádosti banky a obsahuje odkaz, který vede na falešný server. Adresa serveru obvykle připomíná originální název. Falešné webové stránky jsou dokonalými kopiemi, emailové zprávy však často překládá automatický jazykový software a proto bývají zpracovány mnohem hůře.52 Tomuto typu útoku nedokážou zabránit ani metody elektronických podpisů a použití asymetrické kryptografie. Pokud se klient připojí k falešné stránce, zadá cestu ke svému certifikátu (je jedno jestli je uložený na disku PC nebo na externím tokenu), privátní klíč PIN a pokusí se připojit, jsou všechny informace automaticky ukradeny. V posledních letech se dokonce začíná objevovat tzv. real-time phishing, kdy útočník vyláká pomocí falešného serveru přihlašovací údaje klienta, kterému se po zadání těchto údajů objeví neznámá chyba a je automaticky připojen na oficiální stránky internetového bankovnictví své banky. Hacker okamžitě pak začne těchto informací zneužívat a může tak lehce vstupovat do komunikace mezi klientem a bankou. Proti tomuto typu útoků nejsou odolné ani nejsofistikovanější metody zabezpečení používající OPT generátory nebo OTP kódy zasílané SMS zprávami. 53

5.3.1 Zahraniční zkušenosti v oblasti phishingové kriminality Phishingové hrozby nelze přesně a jednoznačně vymezit, protože dochází k neustálým změnám anatomie útoků, proto je třeba se seznámit s jeho historickým vývojem a postupujícími trendy. První phishingový útok je datován v roce 1995. Byl to útok na America Online (AOL)54. Jednalo se o útok za účelem získání přihlašovacích údajů na AOL účty. V té době nedocházelo k rozesílání hromadných spamů, internet ještě nebyl běžnou součástí domácností. Útočníci přímo kontaktovali klienta a vydávali se za pracovníka serveru. Když pod záminkou získali přihlašovací hesla k účtům, ovládali emaily svých „obětí“. Ty pak 51

Nevyžádaná pošta DOČEKAL, Daniel. Jak se dělá phishing. Lupa.cz [online]. 2008 [cit. 13. 8. 2012]. Dostupné z: http://www.lupa.cz/clanky/jak-se-dela-phishing/ 53 Help net security: Real time phishing attacks increase. Help net security [online]. 2010 [cit. 13. 4. 2013]. Dostupné z: http://www.net-security.org/secworld.php?id=10136 54 Poskytovatel internetových služeb v USA 52

48

sloužily k odesílání nevyžádané pošty. 55 Phishers56 za krátkou dobu zjistili, že se schránky dají využít k získání informací z kreditních karet, bankovních účtů a čísel sociálního zabezpečení. Dne 11. 9. 2001 využili hackeři chaosu a pokusili se zaútočit na platební účty E-gold57. Stejný útok se uskutečnil už v červnu 2001. Oba útoky byly zjištěny a zlikvidovány. 58 Další významnější útoky proběhly v roce 2003, a to na finanční instituci E-loan, E-gold, Wells Fargo a Citibank. 59 Roku 2004 byl už phishing běžnou součástí virtuální kriminality. Podle společnosti Gartner, která se specializuje na výzkum informačních technologií, bylo v dubnu 2004 za posledních dvanáct měsíců napadeno 1,98 miliónů Američanů. Celkové náklady na odstranění těchto podvodů se vyšplhala na 2,4 miliard dolarů. 60 Toto číslo navíc dlouhodobě stále roste. V roce 2006 obdrželo 2,3 % dospělých respondentů podvodný email a následně jim byly odcizeny prostředky z účtů. Průměrně útočníci ukradli z účtů 1 244 dolarů. Roku 2007 stoupl tento počet obětí na 3,3% a celková odhadnutá suma na 3,2 miliard dolarů. 61

Obrázek č. 5: Mapa nejčastěji napadaných zemí v období červenec 2011 až červenec 2012 vyjádřena v % Pramen: [12] http://www.antiphishing.org/crimeware.html 55

RAMZAN, Zulfikar. A Brief History of Phishing: Part I. Symantec.com [online]. 2007 [cit. 15. 8. 2012]. Dostupné z: http://www.symantec.com/connect/blogs/brief-history-phishing-part-i 56 Hackeři provozující phishingové útoky 57 Elektronický platební systém, kde je 100% transakcí kryto zlatem 58 ROBSON, Daniel. A Brief History of Phishing. Bright Hub[online]. 2011[cit. 18. 4. 2012]. Dostupné z: http://www.brighthub.com/internet/security-privacy/articles/82116.aspx 59 JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, 281 s. ISBN 9788024717661. S. 28. 60 Finextra: Phishing alliance formed as Gartner study unearths big losses. Finextra [online]. 2004 [cit. 19. 4. 2012]. Dostupné z: http://www.finextra.com/news/fullstory.aspx?newsitemid=12016 61 Gartner: Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks. Gartner [online]. Stamford, 2007 [cit. 19. 4. 2012]. Dostupné z: http://www.gartner.com/it/page.jsp?id=565125

49

Společnost Symantec Corporation, největší výrobce bezpečnostního software, vydala v listopadu 2012 výsledky své studie Symantec Intelligence Report. 0,33 % všech emailu připadlo na phishingový spam. Nejčastěji napadaným územím byla Jižní Afrika (každý 96. email byl identifikován jako phishing) a na druhém místě se umístila Velká Británie (každý 167. email). Nejčastějším cílem útoků byl veřejný sektor (každý 121. phishingový email) a na finanční instituce směřoval každá 332. emailová zpráva. 62 Podle stejné zprávy z června 2012 se útočníci pokoušejí využít každého většího zájmu veřejnosti o masovou akci. Letní olympijské hry v Londýně jsou toho věrným příkladem. To mělo také vliv na obsah nevyžádané pošty, jak lze vidět na grafu č. 10. Počet spamů v % 40,00% 35,00% 30,00%

36,30 % 33,00 % 28,00 %

25,00% 20,00% 15,00% 10,00% 5,00% 1,40 %

0,00%

0,46 %

0,37 % Obsah spamů

Graf č. 10: Obsah nejčastěji zmiňován ve phishingových spamech 2012 Pramen: vlastní podle [58] https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source...

62

Symantec Intelligence: Symantec Intelligence Report: November 2011. Symantec Intelligence [online]. 2013[cit. 25. 4. 2012]. Dostupné z: https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CC4QFjAA&url=http%3A%2F %2Fwww.symanteccloud.com%2Fmlireport%2FSYMCINT_2011_11_November_FINALen.pdf&ei=zoaJUcvYA-Oo4ATJooDgCA&usg=AFQjCNHq8gCj-hkPyA6aKgGgN3U9oPschw&sig2=2jyXQZ_YtaFyhDLHCoW0g&bvm=bv.46226182,d.bGE Symantec Intelligence Report_2011_11_November_FINAL-en

50

5.3.2 Phishingové útoky na české banky „…porovnáme-li tyto zprávy za poslední tři pololetí, tedy 2/2010, 1/2011 a 2/2011, zjistíme, že podle těchto statistik počet phishingových útoků na stránkách v doméně .cz postupně klesá, z 222 případů v 2/2010 až k 171 případům v druhém pololetí roku 2011.“63 Jak je na tom Česká republika v oblasti phishingové kriminality? Počet útoků na české domény od roku 2009 každoročně klesal. Bohužel rok 2012 zaznamenal lehký přírůstek, kdy bylo identifikováno 159 nahlášených útoků za rok, jak je vidět na grafu č. 11. K začátku května 2013 je zaregistrováno 41 phishingových útoků, což ukazuje prozatím na skutečnost, že se v letošním roce daří úspěšně bojovat proti tomuto typu útoků. Webové stránky CSIRT.CZ založilo sdružení právnických osob CZ.NIC, které provozuje registr domén s koncovkou CZ. Sdružení monitoruje všechny typy útoků na české domény a řeší jejich následky. Organizace funguje od roku 2008. Za tuto dobu eviduje 838 phishingových útoků. 64 Počet útoků

250 200 150 100 50 0 2008

2009

2010

2011

2012

Rok

Graf č. 11: Počet phishingových útoků v Čr Pramen: Vlastní podle [20] http://www.csirt.cz/files/csirt/statistics/stats.html Další důležitou statistikou související s phishingem je hodnota uptime, která udává čas, jak dlouho jsou falešné domény dostupné. Podle zpráv Anti-Phishing Working Group se daří uptime snižovat. Globální studie této pracovní skupiny publikovaná v dubnu 2012 ukazuje, že 63

BAŠTA, Pavel. Jak si vede Česká republika v boji proti phishingu?.blog [online]. 2012 [cit. 20. 4. 2013]. Dostupné z: http://blog.nic.cz/2012/05/28/jak-si-vede-ceska-republika-v-boji-proti-phishingu/ 64 Csirt.cz: Incident handling statistics. Csirt.cz [online]. 2013 [cit. 1. 5. 2013]. Dostupné z: http://csirt.cz/files/csirt/statistics/stats.html

51

průměrně česká podvodná stránka existovala čtrnáct hodin a čtyřicet šest minut. Jedná se o poměrně vysoké číslo, ve srovnání se světovým průměrem je tento čas o tři hodiny vyšší. 65 Protože nejvíce krádeží finančních prostředků probíhá v prvních dvou dnech, banky se raději zaměřují na snižování hodnoty uptime než na předcházení samotným phishningovým útokům.66 

Analýza phishingového útoku na Citibank

„Vážený kliente Citibank Online®, 03/02/2006 na Váš běžný účet byl přijat převod v cizí měně na částku ve výši 2000. Se shodou s spotřebitelským souhlasem CitiBank® online, je potřeba potvrdit tento převod pro jeho úspěšné zařazení na Váš běžný účet. Pro potvrzení platby Vás prosím o návštěvu programu ovládání Vaším účtem CitiBank® online a dále postupujte podle předloženého návodu. V případě nepřijetí potvrzení v průběhu 48 hodin, bude částka vracena odesílateli.“67 Takto vypadal email vyzývající klienty Citibank ke kliknutí na podvodný odkaz. Podle statistik je dokázáno, že až 5 % adresátů zareaguje na výzvu, navštíví podvodné stránky a vyplní své údaje.68 Tento útok probíhal v únoru roku 2006 a jedná se o první phishingový útok v českém jazyce. Na první pohled zcela běžná zpráva, obsah poměrně srozumitelný, ale naprosto nesmyslný. Banka by nikdy po klientovi nepotřebovala potvrdit příchozí platbu. Po klinutí na odkaz („klikněte sem“) byl adresát přesměrován na oficiální stránku Citibank, k tomu se však otevřelo okno s falešnou doménu http://citi-online.czechrepublic-online.com/, zobrazenou na obrázku č. 6. Tato doména byla registrována na soukromou osobu jménem Travis Godfrey, z toho je patrné, že se nejedná o oficiální doménu banky. 69 Po vyplnění čísla karty a zdání hesla PIN se tyto osobní informace automaticky odeslaly útočníkovi a ten měl nemezený přístup k uživatelovu účtu. Díky tomu, že emailové zprávy nebyly rozesílány pouze klientům Citibank, byl podvod brzy odhalen a obešel se bez výrazných finančních ztrát.

65

APWG: Global Phishing Survey: Trends and Domain Name Use in 2H 2012. Anti-Phishing Working Group [online]. 2013 [cit. 1. 5. 2013]. Dostupné z: http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_2H2012.pdf 66 MESSMER, Ellen. Phishing attacks spiked in late 2010. Network World [online]. 2011 [cit. 1. 5. 2013]. Dostupné z: http://www.networkworld.com/news/2011/042711-phishing-attacks.html 67 Antivirové centrum: Phishing zasáhl CitiBank. Antivirové centrum [online]. 2006 [cit. 9. 10. 2012]. Dostupné z: http://www.antivirovecentrum.cz/clanky/phishing-zasahlcitibank.aspx#13457245487571&height=30&width=260 68 Hoax: CitiBank 20060303 - Phishingový útok na české klienty. Hoax.cz [online]. 2006 [cit. 10. 10. 2012]. Dostupné z: http://www.hoax.cz/cze/index.php?action=hoax_detail&id=522 69 NESEJT, Pavel. První phishing v Česku, terčem byla CitiBank. Finance.cz [online]. 2006 [cit. 10. 10. 2012]. Dostupné z: http://www.finance.cz/zpravy/finance/63677-prvni-phishing-v-cesku-tercem-byla-citibank/

52

Obrázek č. 6: Oficiální stránka Citibank a podvodná doména vyskakujícího okna Pramen: [30] http://www.hoax.cz/cze/index.php?action=hoax_detail&id=522 Otevřené okno bylo vytvořeno ve stejném stylu jako celá stránka banky. Při útoku na Citibank bylo poprvé použito tzv. smart redirection („chytré přesměrování“). Po tom, co osoba klikla na odkaz, byla přesměrována na inteligentní směrovač. Ten pak otevřel jeden z falešných webů. 70 Žádný z nich samozřejmě nebyl registrován samotnou bankou. Díky množství domén je navíc složité identifikovat útočníka a případně ho stíhat. Dalším problémem je, že se velmi obtížně ruší větší množství internetových stránek a díky tomu se zvyšuje uptime. „Citibank se podařilo vyřadit stránku z provozu pár hodin poté, co se objevily první falešné emaily. Bezprostředně po zjištění podezření na phishing, byli naši klienti informováni o podvodných emailech prostřednictvím SMS zpráv a emailu. Žádný z klientů Citibank neutrpěl finanční ztrátu.“71

70

LEYDEN, John. Phishing fraudsters aim to outpace site shutdowns. The Register [online]. 2006 [cit. 12. 10. 2012]. Dostupné z: http://www.theregister.co.uk/2006/03/08/smart_redirect_phish_attack/ 71 NESEJT, Pavel. První phishing v Česku, terčem byla CitiBank. Finance.cz [online]. 2006 [cit. 10. 10. 2012]. Dostupné z: http://www.finance.cz/zpravy/finance/63677-prvni-phishing-v-cesku-tercem-byla-citibank/

53



Analýza útoku na Českou spořitelnu

Zatím nejrozsáhlejší vlna phishingových útoků proběhla roku 2008 a byla jimi postihnuta Česká spořitelna (dále ČS). Jednalo se o sérii podvodných emailů psaných jak v anglickém, tak v českém jazyce. Průběh útoků byl podobný jako v předchozím případě u Citibank, jedna z těchto zpráv se však výrazně lišila: „Platební transakce zamítnuta – pokyn vydavatele karty. Transakce byla odmítnuta na základě některého z uvedených důvodů: 

Vaší kartou není povoleno provádět internetové transakce



Byl překročen limit pro internetové transakce



Byl chybně zadán CVC2/CVV2 kód



Na Vašem účtu není dostatek prostředků

Jdi na: Prehled aktivovaných produktu služby SERVIS 24 (pro okamžitý návrat klikněte zde). Nyní budete přesměrován/a na stránky internetového obchodníka (pro okamžitý návrat klikněte zde).“72 Tato podvodná zpráva vyzývala klienta, aby kliknutím na odkaz aktivoval službu placení kartou na internetu. Taktika útočníků se změnila. Hackeři se zaměřili na informace a kódy k platebním kartám. Zpráva není odeslána z domény ČS ([email protected]) a odkaz směřuje na podvodný link

http://mail.unistech.com.cn/ce/dispatcher.php?cmd=secure, která je

zobrazena na obrázku č. 7.73

72

CHVÁTAL, Dalibor Z. Phishing a rhybaření: Chytněte si českou bankovní rybičku. Měšec.cz [online]. 2008 [cit. 25. 10. 2012]. Dostupné z: http://www.mesec.cz/clanky/phishing-a-rhybareni-chytnete-si-ceskou-rybicku/ 73 Hoax: Platební transakce zamítnuta - pokyn vydavatele karty. Hoax.cz [online]. 2008 [cit. 26. 10. 2012]. Dostupné z: http://www.hoax.cz/phishing/platebni-transakce-zamitnuta---pokyn-vydavatele-karty-632008/

54

Obrázek č. 7: Podvodná doména v prohlížeči Mozilla Firefox Pramen: [24] http://www.pooh.cz/pooh/a.asp?a=2014744 Po vyplnění požadovaných údajů a kliknutí na tlačítko odeslat se otevřela další stránka, potvrzující zadané údaje. Po odeslání byla oběť přesměrována na oficiální stránky ČS a informace se okamžitě odeslaly na server umístěný v hlavním městě Číny, Pekingu. 74 Tento phishingový zásah nebyl zdaleka jediný v průběhu roku 2008, díky propracované češtině se však jednalo o ten nejzáludnější. V předešlých útocích na internetové bankovnictví nedošlo k materiálním ztrátám, tento phishing zaměřený proti platebním kartám byl prvním, který se setkal s úspěchem. Podle expertů Davida Lorence a Davida Pikálka z ČS vyzradily své informace o platebních kartách stovky klientů banky a ztráty se pohybovaly v průměru okolo

74

Hoax: Platební transakce zamítnuta - pokyn vydavatele karty. Hoax.cz [online]. 2008 [cit. 26. 10. 2012]. Dostupné z: http://www.hoax.cz/phishing/platebni-transakce-zamitnuta---pokyn-vydavatele-karty-632008/

55

13 000 Kč na jednoho klienta. Většina klientů byla zpětně odškodněna. 75 Tato zkušenost motivovala hackery k rozsáhlým útokům na platební karty, mířenými hlavně proti ČS. Databáze provozovaná serverem HOAX, která se specializuje na problematiku bezpečnosti dat, zaznamenala celkem čtyřicet útoků na Českou spořitelnu. Další banky nemusely čelit phishingu v tak rozsáhlém množství případů. Na české klienty Citibank proběhlo celkem deset útoků (pouze jeden v českém jazyce), na klienty Raiffeisenbank dva útoky, na klienty Komerční banky jeden útok a ING banky dva útoky.76 Na uvedených informací můžeme konstatovat, že se v České republice podařilo potírat phishingové aktivity velmi úspěšně. Můžeme pouze spekulovat, jestli je to způsobeno velikostí naší země, složitostí jazyka, či výbornou prací českých IT specialistů. Pokud banka podlehne tomuto typu útoků, nevytváří to dobrý dojem, a proto si banky informace o menších útocích nezveřejňují. Výše zmíněné podvodné aktivity však byly v tak rozsáhlé míře, že neunikly veřejnosti. Oficiální čísla o celkových finančních ztrátách však nejsou k dispozici.

75

MORÁVEK, Daniel. Největší riziko úniku dat se nachází mezi klávesnicí a židlí. Podnikatel.cz [online]. 2008 [cit. 26. 10. 2012]. ISSN 1802-8012. Dostupné z: http://www.podnikatel.cz/clanky/hlavni-rizika-prointernetovou-bezpecnost/ 76 Hoax: Databáze. Hoax.cz [online]. 2013 [cit. 11. 9. 2012]. Dostupné z: http://www.hoax.cz/phishing/databaze/

56

6 NÁVRH A ZDŮVODNĚNÍ ŘEŠENÉ PROBLEMATIKY „Ze studie vyplývá závěr, že banky dnes ještě nevyužívají naplno potenciál smartphone bankingu v komunikaci s klienty. Dalším závěrem je názor, že klasické internetové bankovnictví se postupně přizpůsobí individuálním potřebám uživatele a že tradiční kanály jako jsou pobočky nebo bankomaty nezaniknou, a budou se dále rozvíjet.“77

6.1 Návrh modelu a odpovídající bezpečnost bezhotovostních plateb Na základě prozkoumání současného stavu řešené problematiky, analýzy modelu elektronického bankovnictví vybraných bank a provedeného průzkumu navrhuji postupné omezování palety služeb přímého bankovnictví. Většina kanálů elektronického bankovnictví je neperspektivní, proto navrhuji rozšířit funkce bezplatných kanálů internetového bankovnictví a smartbankingu. Internetové bankovnictví, jako hlavní komunikační kanál mezi klientem a bankou, doplněné o chytré bankovnictví, považuji za optimální řešení e-bankingu. Do jisté míry nesouhlasím se studií společnosti Softec z března 2012, jejíž závěr cituji v úvodu kapitoly. Internetové bankovnictví a smartbanking v kombinaci s metodou NFC začínají dokonale nahrazovat hotovostní platební prostředky a proto by bankomaty mohly časem zanikat a poboček by mohlo výrazně ubývat.

6.1.1 Návrh bezpečnosti internetového bankovnictví Pro verifikaci uživatelů navrhuji model autentizace v podobě Certifikát a heslo pro retailové i korporátní využití. Tento model považuji za optimální pro zajištění bezpečnosti pasivních operací, a proto posílání OTP hesel nevidím jako vhodné pro proces autentizace, dokonce ani v případě nebezpečné verifikace z jiného počítače nebo ze zahraničí. Snížení verifikační bezpečnosti je dostatečně kompenzováno vyšší bezpečností při následné autorizaci plateb.

77

Softec: Bankovní studie - trendy a nové vize bankovních distribučních kanálů. Softec [online]. 2012 [cit. 12. 4. 2013]. Dostupné z: http://www.softec.cz/reseni/bankovnictvi/bankovni-studie-trendy-nove-vize-bankovnichdistribucnich-kanalu.html

57

Další úsporné řešení bych navrhoval v oblasti autorizace plateb. Považuji za zbytečné posílání OTP kódu v případě plateb, které se opakují s pravidelnou přesností. Pokud má klient vytvořenou šablonu platby, mohla by tato transakce za určitých podmínek proběhnout úplně bez zasílání jednorázových hesel. Toto snížení bezpečnosti by banka mohla poměrně snadno obhájit v případě, že by platba několikrát proběhla v minulosti bez problémů. Klíčovým prvkem tohoto řešení by byl mechanismus, podle kterého by se rozhodovalo, jestli se jedná o rizikovou nebo bezrizikovou transakci a jestli OTP poslat, či ne. Pro autorizaci ostatních plateb vnímám zasílání SMS zpráv s OTP jako vhodný bezpečnostní prvek. Pro firemní autorizaci plateb navrhuji využít hardwarový token generující jednorázová hesla. Vyšší bezpečnost v tomto případně převládá nad nevýhodami v podobě vysokých nákladů pro společnost a snížení komfortnosti při zadávání plateb.

6.1.2 Návrh bezpečnosti chytrého bankovnictví Finanční instituce zabezpečují smartbanking pouze přihlašovacím jménem a heslem za použití drobných vylepšení v podobě limitů plateb, základního šifrování pomocí aplikace, autorizace aplikace v internetovém bankovnictví nebo zasílaní plateb pouze na předdefinované účty. Současný model bezpečnosti chytrého bankovnictví považuji za nedostatečný. Protože je pravděpodobné, že se tato služba bude v budoucnosti rozvíjet a s ní se budou zdokonalovat útoky na mobilní zařízení, vyvstává otázka, jak zlepšit zabezpečení této služby. Nastavení předdefinovaných účtů sice zamezuje krádeži finančních prostředků, ale bohužel velmi limituje funkčnost smartbankingu, a proto není dobrým řešením do budoucnosti. Jelikož není vhodné používání OTP kódů, jako perspektivní řešení se jeví pro proces autentizace použít certifikát uložený na externím úložišti cloud. Další možností je využít pro proces autentizace nebo autorizace některou z možností biometrie. Otisku prstu nebo skenování zorniček uživatele zatím nepovažuji za vhodné bezpečnostní prvky, protože české banky zatím na tento model nejsou technicky vybavené. Tyto technologie autentizace a autorizace by se v ČR měly nejprve ve větší míře ověřit v jiných odvětvích, než v bankovnictví, aby byly odhaleny limity těchto řešení.

58

6.2 Technické zdůvodnění řešené problematiky Technologický boom v oblasti mobilních zařízení změnil podobu mobilního bankovnictví. Banky by se měly zaměřit na zdokonalování služeb internetového bankovnictví a smartbankingu a řešit slabé stránky, hrozby a příležitosti těchto kanálů, které jsou popsány ve SWOT analýze v kapitole 5. Mobilní telefony se v současnosti začínají vyrovnávat počítačům, co se funkčnosti týká, a proto je smartbanking elektronickým komunikačním kanálem budoucnosti číslo jedna. Novodobé phishingové útoky se zaměřují na krádeže OTP kódu a jeho rychlého využití (real-time phishing). Proto omezení počtu zasílaných jednorázových kódů při procesu autentizace může paradoxně v budoucnosti přinést vyšší míru bezpečnosti. Bohužel nevýhodou verifikace pomocí certifikátu je nižší komfort pro uživatele. S certifikátem se pojí komplikace v podobě instalace a aktualizace tohoto bezpečnostního prvku. Některé zastaralé verze internetových prohlížečů mohou mít problémy se zásuvnými moduly, na kterých certifikáty fungují (např. Java, Flash78). Tyto problémy považuji za zanedbatelné v porovnání s výhodami spojenými s vyšší mírou zabezpečení oproti modelu Jméno a heslo a v porovnání s významnou úsporou nákladů při autentizaci pomocí OTP.

6.3 Právní zdůvodnění řešené problematiky „V důsledku zcela nekoordinovaných novel procesních předpisů prováděných jednotlivými, nepříliš spolupracujícími resorty, nedošlo k žádoucímu plnému prosazení elektronické komunikace, jako rovnocenné komunikace s klasickou listinou variantou.“79 Problematika elektronického bankovnictví zasahuje do občanského práva (ochrana spotřebitele), obchodního práva (smlouva mezi poskytovateli platebních služeb a jejich klienty) a do trestního práva (zneužívání prostředí bezhotovostních plateb a jeho následné postihování). V této podkapitole se zaměřím na právní úpravu autentizace klienta, autorizace plateb. 78

Programovací jazyky SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C.H. Beck, 2004, xxx, 770 s. ISBN 8071797650. S. 120. 79

59

Převod elektronických platebních prostředků je upraven zákonem č. 284/2009 Sb., o platebním styku (dále jen zákon o platebním styku), který nahrazuje zákon č. 124/2002, o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech, na základě Směrnice Evropského parlamentu a Rady 2007/64/ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu. Dle § 98 zákona o platebním styku je autorizace platební transakce provedena, pokud k ní dal plátce souhlas, nestanoví-li jiný právní předpis jinak. Forma a postup udělení tohoto souhlasu je dohodnuta mezi plátcem a poskytovatelem.

Důležitou částí zákona o platebním styku jsou také povinnosti klienta

(držitel platebních prostředků) a banky (vydavatel platebních prostředků), které jsou uvedeny v § 101 a § 102.80 Elektronický podpis, který je využívaný při autentizaci a autorizaci v podobě modelu Certifikát a heslo, upravuje zákon č. 227/2000 Sb. o elektronickém podpisu (dále jen zákon o elektronickém podpisu). Zákon o elektronickém podpisu byl přijat na základě směrnice Evropské unie 1999/93/EC ze dne 13. 12. 1999 a je upraven novelami č. 440/2004 Sb., č. 101/2010 Sb., č. 167/2012 Sb.81 Tento zákon umožňuje použít digitální podpis jako ekvivalent podpisu v listinné formě a také vytváří právní rámec pro poskytovatele certifikačních služeb. Díky zákonu o elektronickém podpisu je vytvořen dohled nad certifikačními autoritami, což přispívá k bezpečnosti systému elektronického podepisování. 82

6.4 Ekonomické zdůvodnění řešené problematiky Hlavním důvodem k navržení modelu elektronického bankovnictví a jeho zabezpečení v této podobě byla ekonomická motivace. Komunikace mezi bankou a klientem je pomocí přímého bankovnictví velmi levná v porovnání s ostatními kanály. Finanční instituce se snaží o automatizaci procesu pomocí přímého bankovnictví. Provozování rozsáhlých sítí poboček je velmi nákladné, proto se banky snaží pomocí přímého bankovnictví obsloužit co nejvíce 80

Zákon č. 284/2009 Sb., o platebním styku. In: Sbírka zákonů [online]. Ministerstvo financí [cit. 25. 4. 2013]. Dostupné z: http://www.mfcr.cz/cps/rde/xbcr/mfcr/UZ_-_Zakon_o_platebnim_styku.pdf 81 Zákon č. 227/2000 Sb., o elektronickém podpisu. In: Efektivní veřejná správa [online]. Ministerstvo vnitra[cit. 25. 4. 2013]. Dostupné z: http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx 82 SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C.H. Beck, 2004, xxx, 770 s. ISBN 8071797650. S. 120.

60

klientů, aby mohly v budoucnu snížit náklady rušením nebo zmenšováním poboček. Už dnes můžeme vidět přibývání malých poboček například v nákupních centrech, které v budoucnu mohou plně nahradit zbytečně velké a nákladné bankovní budovy. Banky se, díky rozšiřovaní služeb poskytovaných pomocí přímého bankovnictví, postupně připravují na postupnou redukci bankomatů a nákladů spojených s jejich údržbou a provozem. Úspora by však měla probíhat také v rámci komunikace pomocí přímého bankovnictví. Na základě provedeného průzkumu jsem přesvědčen, že navrhovaná úsporná opatření v podobě redukce OTP hesel nejsou tak markantní, aby se banka musela obávat ztráty klientů. Uživatelé sice považují bezpečnost elektronických komunikačních kanálů za důležitou, ale o tuto problematiku se výrazně nezajímají a naprosto v této oblasti důvěřují finanční instituci. Ušetřené finanční prostředky by banka mohla využít na zavádění nových bezpečnostních prvků, jako je ukládání certifikátu do externího internetového úložiště nebo zavádění biometrických technologii do procesu autentizace a autorizace. Nové bezpečnostní prvky by přilákaly mladé klienty a zabránily tak obavám, že omezení zasílání OTP hesel může znamenat snížení bezpečnosti elektronického bankovnictví. K těmto závěrům jsem dospěl na základě provedené SWOT analýzy, provedením průzkumu vnímaní bezpečnosti elektronického bankovnictví mezi studenty a na základě analyzování problematiky phishingových útoků. Během meetingů s manažery KB, které byly spojeny s provedeným průzkumem, bylo mnohokrát konstatováno, že zasílání OTP hesel je velmi nákladné. Proto banky hledají alternativní řešení, jak tento bezpečnostní prvek postupně omezovat a zároveň se vyhnout ztrátě klientů, kteří zasílání OTP hesel vnímají jako bezpečné a pohodlné. Rozšiřování služeb poskytovaných pomocí smartbankingu a propagace tohoto kanálu by mohlo být vhodným východiskem ze současné situace.

61

ZÁVĚR Cílem této práce bylo, na základě získaných informačních zdrojů o bezpečnosti plateb v elektronickém bankovnictví na Internetu z virtuálních knihoven světa, vytvořit model bezhotovostních plateb v e-bankingu a vytvořit odpovídající model bezpečnosti těchto plateb. Na základě současného stavu zadané problematiky jsem se rozhodl pro vytvoření modelu internetového bankovnictví a smartbankingu a provedení analýzy metodou SWOT. V analytické části práce jsem se zabýval produkty elektronického bankovnictví společnosti Komerční banka, následně jsem provedl zhodnocení průzkumu vnímání bezpečnosti elektronického bankovnictví, analyzoval jsem phishingové útoky v ČR a uvedl zahraniční zkušenost s touto problematikou. V závěru práce jsem navrhl model bezhotovostních plateb a zdůvodnil rámcové řešení zadaného problému. Přímé bankovnictví nejspíš nikdy úplně nenahradí osobní návštěvu banky, ještě bude trvat dlouhou dobu, než budou všichni lidé ochotni přijmout moderní technologie. Bude velmi zajímavé sledovat, jakým směrem se bude elektronické bankovnictví nadále vyvíjet. V současnosti, kdy si velké procento uživatelů již zvyklo na využívání internetového bankovnictví, můžeme zaznamenat snahu bank působit na klienty, aby začali využívat také smartbanking. Toto úsilí finančních institucí je pochopitelně motivováno dnešní špatnou ekonomickou situací a snahou bank snižovat provozní náklady a ušetřit peněžní prostředky. Je zjevné, že s boomem přímého bankovnictví bude přibývat pokusů o zneužití těchto nových komunikačních kanálů. Banky budou muset hledat vhodná bezpečnostní řešení a neustále balancovat mezi skutečnou bezpečností, vnímáním bezpečnosti ze strany uživatelů a komfortností daného zabezpečení elektronické komunikace. Jako vhodné bezpečnostní prvky by mohly v budoucnosti být zařazeny procesy autentizace pomocí biometrických znaků nebo využívaní externích internetových úložišť cloud.

62

POUŽITÉ INFORMAČNÍ ZDROJE

Monografie [1] DLOUHÝ, Ondřej. E-commerce. Praha: DIMAR, 2001. 134 s. [2] DOUCEK, Petr; Luděk NOVÁK a Vlasta Svatá. Řízení bezpečnosti informací. 1. vyd. Praha: Professional Publishing, 2008, 239 s. ISBN 9788086946887. [3] JAMES, Lance. Phishing bez záhad. 1. vyd. Praha: Grada, 2007, 281 s. ISBN 9788024717661. [4] MÁČE, Miroslav. Platební styk: klasický a elektronický. 1. vyd. Praha: Grada, 2006, 220 s. ISBN 8024717255. [5] MATYÁŠ, Vašek a Jan KRHOVJÁK. Autorizace elektronických transakcí a autentizace dat i uživatelů. 1. vyd. Brno: Masarykova univerzita, 2008, 125 s. ISBN 9788021045569. [6] MATYÁŠ, Vašek. Autentizace uživatelů a autorizace elektronických transakcí: příručka manažera = User authentication and electronic transaction authorization : manager's handbook. Praha: TATE International, 2007, 318 s. ISBN 9788086813141. [7] PŘÁDKA, Michal a Jan KALA. Elektronické bankovnictví: rady a tipy. Vyd. 1. Praha: Computer Press, 2000, xii, 166 s. ISBN 8072263285. [8] ROSMAN, Pavel a Ladislav BUŘITA. Informatika pro ekonomy a manažery. Vyd. 1. Zlín: Univerzita Tomáše Bati ve Zlíně, 2009, 249 s. ISBN 9788073188511. [9] SMEJKAL, Vladimír. Právo informačních a telekomunikačních systémů. 2., aktualiz. a rozš. vyd. Praha: C.H. Beck, 2004, xxx, 770 s. ISBN 8071797650.

63

Elektronické zdroje [10]

Antivirové centrum: Phishing zasáhl CitiBank. Antivirové centrum [online]. 2006 [cit.

9. 10. 2012]. Dostupné z: http://www.antivirovecentrum.cz/clanky/phishing-zasahlcitibank.aspx#13457245487571&height=30&width=260

[11]

APEK: vývoj obratu e-komerce 2001 - 2012. Asociace pro elektronickou komerci

[online]. 2012 [cit. 2. 3. 2013]. Dostupné z: http://www.apek.cz/grafy-a-statistickadata/964/apek-vyvoj-obratu-e-komerce-2001-2011/ [12]

APWG: Crimeware and Phishing. Anti-Phishing Working Group [online]. 2012 [cit.

19. 4. 2012]. Dostupné z: http://www.antiphishing.org/crimeware.html

[13]

APWG: Global Phishing Survey: Trends and Domain Name Use in 2H 2012. Anti-

Phishing Working Group [online]. 2013 [cit. 1. 5. 2013]. Dostupné z: http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_2H2012.pdf [14]

BAŠTA, Pavel. Jak si vede Česká republika v boji proti phishingu?.blog [online].

2012 [cit. 20. 4. 2013]. Dostupné z: http://blog.nic.cz/2012/05/28/jak-si-vede-ceskarepublika-v-boji-proti-phishingu/ [15]

BENEŠ, Radek. Autentizační metody založené na biometrických informacích [online].

Brno: Vysoké učení technické v Brně, 2010 [cit. 28. 3. 2013] ISSN 1214-9675. Dostupné z: http://access.feld.cvut.cz/view.php?cisloclanku=2010110002 [16]

BUBÁK, Zdeněk. Jak smartbanking přicházel a který je nejlepší? 2. část velkého

srovnání. Finparada.cz [online]. 2013 [cit. 28. 3. 2013]. Dostupné z: http://www.finparada.cz/1159-.aspx

[17]

BUBÁK, Zdeněk. Smartbanking v českých bankách v roce 2012.

Bankovnipoplatky.com [online]. 2011 [cit. 16. 3. 2013]. Dostupné z: http://www.bankovnipoplatky.com/smartbanking-v-ceskych-bankach-v-roce-201217181.html 64

[18]

BUBÁK, Zdeněk. Velké srovnání smartbankingu. Jak můžete ovládat svůj účet

z mobilu? Finparada.cz [online]. 2013 [cit. 28. 3. 2013]. Dostupné z: http://www.finparada.cz/1111-Velke-srovnani-smartbankingu.aspx [19]

BURGESS, Rick a Pavel KREUZIGER. Infekce Androidu se v roce 2012

ztrojnásobily. PCWorld [online]. 2013[cit. 11. 4. 2012]. Dostupné z: http://pcworld.cz/novinky/Infekce-Androidu-se-v-roce-2012-ztrojnasobily-45884 [20]

Csirt.cz: Incident handling statistics. Csirt.cz [online]. 2013 [cit. 1. 5. 2013]. Dostupné

z: http://csirt.cz/files/csirt/statistics/stats.html

[21]

ČSÚ: Informační technologie ve společnosti. ČSÚ [online]. 2013[cit. 2. 3. 2013].

Dostupné z: https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0 CDMQFjAA&url=http%3A%2F%2Fwww.czso.cz%2Fcsu%2Fredakce.nsf%2Fi%2Fcinn osti_provadene_pomoci_internetu%2F%24File%2F5_cinnosti_provadene_pomoci_intern etu.xls&ei=XWeJUZvAEOq24ASMr4GgDg&usg=AFQjCNHpBj7Tqe-cxt_O-6-g3QWcYKtJQ&sig2=_IrepzSGybUfEru51VjYmw&bvm=bv.46226182,d.bGE [22]

ČSÚ: Jednotlivci věnující se vybraným činnostem pomocí mobilního telefonu v r.

2008. ČSÚ [online]. 2013 [cit. 17. 3. 2013]. Dostupné z: https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFj AA&url=http%3A%2F%2Fwww.czso.cz%2Fcsu%2Fredakce.nsf%2Fi%2Fcinnosti_prov adene_pomoci_mobilniho_telefonu%2F%24File%2F6_cinnosti_provadene_pomoci_mobi lniho_tel.xls&ei=xjaKUbXdI_Do4QTS84GIDA&usg=AFQjCNHnDHzVnAhYVSPJWrF dvT1KaMvYEA&sig2=Gr7Teoa_BJ2gWGT5zaBtrA&bvm=bv.46226182,d.bGE [23]

DOČEKAL, Daniel. Jak se dělá phishing. Lupa.cz [online]. 2008 [cit. 13. 8. 2012].

Dostupné z: http://www.lupa.cz/clanky/jak-se-dela-phishing/ [24]

DOČEKAL, Daniel. Další phishing. Českou spořitelnu musí někdo mít velmi v oblibě.

Pooh.cz [online]. 2008 [cit. 25. 10. 2012]. Dostupné z: http://www.pooh.cz/pooh/a.asp?a=2014744 65

[25]

Finexpert.cz: O bezpečnosti přímého bankovnictví s prof. Smejkalem. E15.cz [online].

2008 [cit. 20. 3. 2012]. Dostupné z: http://finexpert.e15.cz/o-bezpecnosti-primehobankovnictvi-s-prof-smejkalem

[26]

Finextra: Phishing alliance formed as Gartner study unearths big losses. Finextra

[online]. 2004 [cit. 19. 4. 2012]. Dostupné z: http://www.finextra.com/news/fullstory.aspx?newsitemid=12016 [27]

Gartner: Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3

Billion Lost to These Attacks. Gartner [online]. Stamford, 2007 [cit. 19. 4. 2012]. Dostupné z: http://www.gartner.com/it/page.jsp?id=565125 [28]

GE Money: MultiCash[online]. GE Money Bank [cit. 5. 4. 2012] Dostupné z:

https://www.gemoney.cz/ge/cz/2/prime-bankovnictvi/multicash

[29]

Help net security: Real time phishing attacks increase. Help net security [online].

2010 [cit. 13. 4. 2013]. Dostupné z: http://www.net-security.org/secworld.php?id=10136

[30]

Hoax: CitiBank 20060303 - Phishingový útok na české klienty. Hoax.cz [online]. 2006

[cit. 10. 10. 2012]. Dostupné z: http://www.hoax.cz/cze/index.php?action=hoax_detail&id=522 [31]

Hoax: Databáze. Hoax.cz [online]. 2013 [cit. 11. 9. 2012]. Dostupné z:

http://www.hoax.cz/phishing/databaze/ [32]

Hoax: Platební transakce zamítnuta - pokyn vydavatele karty. Hoax.cz [online]. 2008

[cit. 26. 10. 2012]. Dostupné z: http://www.hoax.cz/phishing/platebni-transakcezamitnuta---pokyn-vydavatele-karty-632008/ [33]

HOSSEINI, Seyyede Samine a Dr. Shahriar MOHAMMADI. Review Banking on

Biometric in the World’s Banks and Introducing a Biometric Model for Iran’s Banking Systém. Iran: Tehran University, Khaje Nasir University, 2012 [cit. 6. 5. 2013]. ISSN 2090-4304. Dostupné z: 66

http://www.textroad.com/pdf/JBASR/J.%20Basic.%20Appl.%20Sci.%20Res.,%202(9)91 52-9160,%202012.pdf [34]

HOVORKA, Jiří. Banky zvyšují zabezpečení internetu. Aktualne.cz [online]. 2012

[cit. 28. 3. 2013]. Dostupné z: http://aktualne.centrum.cz/finance/penize/clanek.phtml?id=731692 [35]

CHVÁTAL, Dalibor Z. Phishing a rhybaření: Chytněte si českou bankovní rybičku.

Měšec.cz [online]. 2008 [cit. 25. 10. 2012]. Dostupné z: http://www.mesec.cz/clanky/phishing-a-rhybareni-chytnete-si-ceskou-rybicku/ [36]

JELÍNEK, Martin. Autentizační tokeny v praxi. Systemonline.cz [online]. [cit. 22. 3.

2013] ISSN 1802-615X. Dostupné z: http://www.systemonline.cz/it-security/autentizacnitokeny-v-praxi.htm [37]

Komerční banka: Desatero bezpečnosti [online]. Komerční banka [cit. 20. 3. 2012]

Dostupné z: http://www.mojebanka.cz/cs/desatero-bezpecnosti.shtml [38]

Komerční banka: MojeBanka [online]. Komerční banka [cit. 20. 3. 2012] Dostupné z:

https://www.mojebanka.cz/InternetBanking/ [39]

Komerční banka: Profibanka [online]. Komerční banka [cit. 5. 4. 2012] Dostupné z:

http://www.kb.cz/cs/firmy/firmy-s-obratem-pod-60-milionu/profibanka.shtml

[40]

Komerční banka: Přímý kanál [online]. Komerční banka [cit. 5. 4. 2012] Dostupné z:

http://www.profibanka.cz/cs/sluzby/primy-kanal/index.shtml

[41]

KRČMÁŘ, Petr. Autorizace v internetovém bankovnictví. Root.cz [online]. 2006 [cit.

28. 3. 2013]. Dostupné z: http://www.root.cz/clanky/autorizace-v-internetovembankovnictvi/

[42]

LEYDEN, John. Phishing fraudsters aim to outpace site shutdowns. The Register

[online]. 2006 [cit. 12. 10. 2012]. Dostupné z: http://www.theregister.co.uk/2006/03/08/smart_redirect_phish_attack/ 67

[43]

Lidovky.cz: Hackeři zaútočili na UniCredit Bank. Heslo admina: Banka123.

Lidovky.cz [online]. 2013 [cit. 14. 3. 2013]. Dostupné z: http://byznys.lidovky.cz/hackerizautocili-na-unicredit-bank-pomohlo-jim-heslo-admina-banka123-1pr-/mojepenize.aspx?c=A130311_205448_ln_domov_pef

[44]

MACICH, Jiří ml. Lesk a bída českých 3G sítí: Zjistili jsme, jak mají operátoři

pokryt. Lupa.cz [online]. 2006 [cit. 11. 4. 2013]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/lesk-a-bida-ceskych-3g-siti-zjistili-jsme-jak-maji-operatoripokryto/ [45]

Management data Praha: MultiCash Classic[online]. Management data Praha [cit. 5.

4. 2012] Dostupné z: http://www.mdpraha.cz/products/multicash/classic/index.html

[46]

MAŠKOVÁ, Martina. K internetu jsou připojeny tři čtvrtiny českých domácností.

Zprávy.rozhlas.cz [online]. 2012 [cit. 2. 3. 2013]. Dostupné z: http://www.rozhlas.cz/zpravy/technika/_zprava/k-internetu-jsou-pripojeny-tri-ctvrtinyceskych-domacnosti--1145303 [47]

MESSMER, Ellen. Phishing attacks spiked in late 2010. Network World [online].

2011 [cit. 1. 5. 2013]. Dostupné z: http://www.networkworld.com/news/2011/042711phishing-attacks.html [48]

Mind Tools: SWOT Analysis. Mind Tools [online]. 2013 [cit. 10. 4. 2012]. Dostupné z:

http://www.mindtools.com/pages/article/newTMC_05.htm [49]

MORÁVEK, Daniel. Největší riziko úniku dat se nachází mezi klávesnicí a židlí.

Podnikatel.cz [online]. 2008 [cit. 26. 10. 2012]. ISSN 1802-8012. Dostupné z: http://www.podnikatel.cz/clanky/hlavni-rizika-pro-internetovou-bezpecnost/ [50]

NESEJT, Pavel. První phishing v Česku, terčem byla CitiBank. Finance.cz [online].

2006 [cit. 10. 10. 2012]. Dostupné z: http://www.finance.cz/zpravy/finance/63677-prvniphishing-v-cesku-tercem-byla-citibank/

68

[51]

Novinky.cz: Češi v síti a internetové bankovnictví. Novinky.cz [online]. 2011[cit. 3. 4.

2012] Dostupné z: http://www.novinky.cz/internet-a-pc/245053-cesi-v-siti-a-internetovebankovnictvi.html [52]

NYKODÝMOVÁ, Helena. Jak je to s bezpečností internetového bankovnictví?

Lupa.cz [online]. 2006 [cit. 18. 3. 2013]. ISSN 1213-0702. Dostupné z: http://www.lupa.cz/clanky/jak-je-to-s-bezpecnosti-internetoveho-bankovnictvi/ [53]

POSPÍŠIL, Aleš. Smartbanking: Jaké aplikace banky nabízí. Bankovnipoplatky.com

[online]. 2011 [cit. 16. 3. 2013]. Dostupné z: http://www.bankovnipoplatky.com/smartbanking-jake-aplikace-banky-nabizi-15604.html [54]

PROCHÁZKOVÁ, Pavla. Co vše lidé dělají s telefony u sledování jiných médií.

Mediaguru [online]. 2012 [cit. 17. 3. 2013]. Dostupné z: http://www.mediaguru.cz/2012/11/co-vse-lide-delaji-s-telefony-u-sledovani-jinychmedii/#.UXaisqJQaSo [55]

RAMZAN, Zulfikar. A Brief History of Phishing: Part I. Symantec.com [online]. 2007

[cit. 15. 8. 2012]. Dostupné z: http://www.symantec.com/connect/blogs/brief-historyphishing-part-i [56]

ROBSON, Daniel. A Brief History of Phishing. Bright Hub [online]. 2011[cit. 18. 4.

2012]. Dostupné z: http://www.brighthub.com/internet/securityprivacy/articles/82116.aspx

[57]

Softec: Bankovní studie - trendy a nové vize bankovních distribučních kanálů. Softec

[online]. 2012 [cit. 12. 4. 2012]. Dostupné z: http://www.softec.cz/reseni/bankovnictvi/bankovni-studie-trendy-nove-vize-bankovnichdistribucnich-kanalu.html [58]

Symantec Intelligence: Symantec Intelligence Report: November 2011. Symantec

Intelligence [online]. 2013[cit. 25. 4. 2012]. Dostupné z: https://www.google.cz/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CC4QFjA A&url=http%3A%2F%2Fwww.symanteccloud.com%2Fmlireport%2FSYMCINT_2011_ 11_November_FINAL-en.pdf&ei=zoaJUcvYA-Oo4ATJooDgCA&usg=AFQjCNHq8gCj69

hkPyA6aKgGgN3U9oPschw&sig2=2jyXQZ_YtaFyhDLHCoW0g&bvm=bv.46226182,d.bGESymantec Intelligence Report_2011_11_November_FINAL-en

[59]

TRUSCHKA, Jakub. Asymetrická kryptografie v praxi. Systemonline.cz [online]. [cit.

22. 3. 2013] ISSN 1802-615X. Dostupné z: http://www.systemonline.cz/itsecurity/asymetricka-kryptografie-v-praxi.htm [60]

WENNINGER, John. The Emerging Role of Banks in E-Commerce [online]. 2007

[cit. 21. 8. 2012]. Dostupné z: http://ftp.ny.frb.org/research/current_issues/ci6-3.pdf [61]

Zákon č. 227/2000 Sb., o elektronickém podpisu. In: Efektivní veřejná správa

[online]. Ministerstvo vnitra[cit. 25. 4. 2013]. Dostupné z: http://www.mvcr.cz/clanek/zakon-c-227-2000-sb-o-elektronickem-podpisu.aspx

[62]

Zákon č. 284/2009 Sb., o platebním styku. In: Sbírka zákonů [online]. Ministerstvo

financí [cit. 25. 4. 2013]. Dostupné z: http://www.mfcr.cz/cps/rde/xbcr/mfcr/UZ__Zakon_o_platebnim_styku.pdf

70

SEZNAM GRAFŮ Graf č. 1: Vývoj celkového obratu české e-commerce od roku 2001 (v miliardách Kč) ......... 13 Graf č. 2: Srovnání uživatelů ve věku 16-74 využívajících internetové bankovnictví ČR, Finsko, EU27................................................................................................................ 21 Graf č. 3: Počet klientu využívající smartbanking k dubnu 2012 ........................................... 24 Graf č. 4: Mobilní internetové přípojky červen 2011 (*přístup poskytovaný v rámci standardní hlasové a datové služby; **přístup poskytovaný nezávisle na hlasových službách) ....... 25 Graf č. 5: Procentní vyjádření rozmístění bank využívající biometrii podle světadílů (n=120) ..................................................................................................................................... 34 Graf č. 6: Zastoupení jednotlivých bank mezi studenty ......................................................... 43 Graf č. 7: Možnost se kdykoliv a odkudkoliv připojit na škále 1(min.) - 10(max.) ................ 44 Graf č. 8: Preferovaná zabezpečení a operace elektronického bankovnictví .......................... 45 Graf č. 9: Preferované kanály e-banking v % ........................................................................ 46 Graf č. 10: Obsah nejčastěji zmiňován ve phishingových spamech 2012 .............................. 50 Graf č. 11: Počet phishingových útoků v Čr.......................................................................... 51

SEZNAM TABULEK Tabulka č. 1: Spuštění smartbankingu a jeho funkce a české banky ...................................... 23 Tabulka č. 2: Autentizační modely a banky v ČR ................................................................. 31 Tabulka č. 3: SWOT analýza internetového bankovnictví KB .............................................. 39 Tabulka č. 4: SWOT analýza smartbankingu KB .................................................................. 42

SEZNAM OBRÁZKŮ Obrázek č. 1: Vybrané skupiny e-business ............................................................................ 12 Obrázek č. 2: Komunikační kanály mezi bankou a klientem ................................................. 14 Obrázek č. 3: Mobilní kanály e-bankingu ............................................................................. 15 Obrázek č. 4: Informace o bezpečnostním certifikátu Komerční banky, a.s. .......................... 26 Obrázek č. 5: Mapa nejčastěji napadaných zemí v období červenec 2011 až červenec 2012 vyjádřena v % ............................................................................................................... 49 Obrázek č. 6: Oficiální stránka Citibank a podvodná doména vyskakujícího okna ................ 53 Obrázek č. 7: Podvodná doména v prohlížeči Mozilla Firefox .............................................. 55

71

SEZNAM POUŽITÝCH ZKRATEK AOL - America Online je poskytovatel internetu v USA ČR - Česká republika ČS - Česká spořitelna, a. s. ČSÚ - Český statistický úřad FED - Federální rezervní systém je centrální bankovní systém Spojených států amerických GSM - Globální Systém pro Mobilní komunikaci, je nejrozšířenější standard pro mobilní telefony na světě HTTP - Hypertext Transfer Protocol je internetový protokol určený pro výměnu hypertextových dokumentů ve formátu HTML HTTPS - Hypertext Transfer Protocol Secure je v informatice nadstavba síťového protokolu HTTP, která umožňuje zabezpečit spojení mezi webovým prohlížečem a webovým serverem KB - Komerční banka, a. s. MITB - man in the browser je útoky provedené přímo z počítače klienta bez jeho vědomí, často provedené pomocí virů a trojských koňů MITM - man in the middle je útok provedený vstupem do komunikace mezi klientem a bankou, například pomocí přesměrování uživatele na podvodný server NFC - near field communication slouží k bezdrátové komunikaci mezi elektronickými zařízeními na krátkou vzdálenost O2 - Telefónica O2 je nadnárodní skupiny telefonních operátorů OPT - one time pasword je jednorázové heslo, které je omezeno exspirací PC - Personal Computer PIN - personal identification number SIM - subscriber identity module nejčastěji využívaný pro tvorbu SIM karet SMS - Short message service je název pro službu dostupnou na většině digitálních mobilních telefonů, pomocí které je možné posílat krátké textové zprávy USB - Universal Serial Bus je univerzální sériová sběrnice, moderní způsob připojení periferií k počítači. WAP - Wireless Application Protocol, je sadou protokolů, jejímž cílem je umožnit jednodušším mobilním telefonům a obdobným zařízením přístup k internetu Wifi - Wireless Fidelity je v informatice označení pro několik standardů popisujících bezdrátovou komunikaci v počítačových sítích 72

73

REJSTŘÍK

A

H

Aktivní operace, 15, 27, 28, 31, 35, 40, 46, 47 Asymetrická kryptografie, 28, 37

Homebanking, 14, 22, 37 Chytrý telefon, 15, 16, 32

Autentizace uživatele, 27, 28, 29, 30, 31, 32, 33, 34, 39, 40, 44, 57, 58, 59, 61, 62

I

Autorizace plateb, 25, 27, 28, 31, 32, 33, 38, 39, 57, 58, 59, 60, 61

Identifikace klienta, 22, 27, 30, 31, 37 J

B

Java, 16, 38, 39, 59 Jméno a heslo, 27, 28, 29, 31, 47

Biometrie, 27, 30, 33, 34, 39, 41, 42, 47, 58, 61, 62

K

C Keylogger, 27, 39

Cash-flow, 36 Certifikát, 29, 31, 38, 39, 41, 42, 44, 45, 46,

L

57, 58, 59, 60, 61 Certifikát a heslo, 28, 29, 44, 60 Cloud, 39, 41, 46, 58, 62

Limity plateb, 26, 40, 47, 58 M

Č Malware, 41 MITB, 28 MITM, 28

Čipová karta, 28 ČSÚ, 15, 21 E

N

E-banking, 13, 16, 57 E-business, 12, 13 E-commerce, 13 Elektronický podpis, 28, 31, 37, 38, 40, 60 Extranet, 12

NFC, 20, 57 O OTP, 28, 29, 31, 32, 38, 40, 41, 45, 46, 47, 48, 57, 58, 59, 61

F P FED, 13 Pasivní operace, 15, 23, 25, 27, 35, 36, 46, 57 Phishing, 28, 39, 41, 47, 48, 49, 50, 51, 52, 53, 55, 56, 59, 61, 62

Flash, 59 Focus group, 43

74

SWOT analýza, 37, 38, 39, 40, 42, 58, 61, 62

PIN, 20, 27, 28, 29, 32, 33, 36 R

T

Real-time phishing, 48, 59

Tablet, 15, 16, 24, 36, 40 Token, 27, 29, 58

S V SIM, 20 Smartbanking, 16, 22, 23, 24, 32, 33, 35, 40,

Verifikace, 27, 28, 29, 30, 31, 32, 33, 34, 38,

46, 57, 58, 59, 61, 62 Smartphone, 15, 23, 24, 57

39, 57, 59

Smishing, 41, 42 SMS, 28, 32, 28, 41, 45, 47, 58

W Wifi, 24, 36

Spyware, 27

75

PŘÍLOHY Příloha č. 1: Banky, které v roce 2012 využívali biometrii k zabezpečení jednotlivých komunikačních kanálů ..................................................................................................77 Příloha č. 2: Aktivní a pasivní operace poskytované pomocí internetového bankovnictví KB80 Příloha č. 3: Výhody služby ProfiBanka oproti služby MojeBanka .......................................81 Příloha č. 4: Aktivní a pasivní operace poskytované pomocí smartbankingu KB ...................81 Příloha č. 5: Otázky ke kvantitativní části průzkumu.............................................................82 Příloha č. 6: Číselné vyhodnocení kvantitativního průzkumu ................................................83

76

Příloha č. 1: Banky, které v roce 2012 využívali biometrii k zabezpečení jednotlivých komunikačních kanálů Jméno banky

Země

Biometrie

Aplikace

1 Jordan Commercial Bank

Jordan

Skenování duhovky

Bankovní pobočky

2 Cairo Amman Bank

Jordan

Skenování duhovky

Bankovní pobočky

3 National Bank of Australia

Australia

Rozpoznání hlasu

Telefoní bankovnictví

4 Tallinn Business Bank (TBB)

Estonia

Dynamický podpis

Internet banking

5 Bank Hapoalim

Israel

Dynamický podpis

Bankovní pobočky

6 First Direct Bank

Israel

Rozpoznání hlasu

Bankovní pobočky

7 Bank Leumi

Israel

Rozpoznání hlasu

Password/PIN reset

8 Discount Bank

Israel

Rozpoznání hlasu

Telefoní bankovnictví

9 FNB Bank

South Africa

Otisk prstu

Bankovní pobočky

10 The Credit Bank

South Africa

Otisk prstu

Řízení přístupu

11 Absa Bank

South Africa

Otisk prstu

Bankovní pobočky

12 Standard Bank

South Africa

Otisk prstu

Bankomaty

13 Banco Pichincha

Ecuador

Úder do klávesnice

Internet banking

14 Deutsche Bank

Germany

Otisk prstu

Workflow automation

15 Sparkasse Bank

Germany

Otisk prstu

Řízení přístupu

16 Dubai Bank

UAE

Rozpoznání žilek na ruce

Řízení přístupu

17 Barclays Bank UAE

UAE

Otisk prstu

Bankomaty

18 Banco Azeteca

Latin America

Otisk prstu

Bankovní pobočky

19 Bank of Central Asia

Indonesia

Otisk prstu

20 Danamon Bank Bank Negara Indonesia 21 (BNI)

Indonesia

Otisk prstu

Bankovní pobočky Biometrické smart karty

Indonesia

Rozpoznání hlasu

Password/PIN reset

22 Boundary Waters Bank

USA

Otisk prstu

Řízení přístupu

23 Kroger Bank

USA

Otisk prstu

POS

24 InTrust Bank

USA

Rozpoznání hlasu

Bankovní pobočky

25 E*Trade

USA

Otisk prstu

Řízení přístupu

26 American Express

USA

Otisk prstu

Řízení přístupu

27 California Commerce Bank

USA

Otisk prstu

Řízení přístupu

28 Mellon Bank

USA

Check Cashing

29 Bank of America

USA

Otisk prstu Otisk prstu, rozpoznání obličejových rysů

30 United Banker’s Bank

USA

Otisk prstu

Internet banking

31 Western Bank

USA

Dynamický podpis

32 First American Bank

USA

Dynamický podpis

Bankovní pobočky Zpracování dokumentů

33 Chase Manhattan Bank Shearson-Hamill 34 Investment Bank

USA

Rozpoznání hlasu

Bankovní pobočky

USA

Rozpoznání geometrie ruky Řízení přístupu

35 Chevy Chase bank

USA

Otisk prstu

Řízení přístupu

36 First National Bank Group Commerce bank of 37 International

USA

Otisk prstu

Řízení přístupu

USA

Otisk prstu

Internet banking

77

Internet banking

38 First Tennessee Bank

USA

Otisk prstu, rozpoznání geometrie ruky

Řízení přístupu

39 Charles Schwab Bank

USA

Dynamický podpis

Bankovní pobočky

40 Bank of Currituck

USA

Otisk prstu

Řízení přístupu

41 People State Bank

USA

Otisk prstu

Check Cashing

42 Shinkin Bank

USA

Řízení přístupu

43 Bank of Hawaii

USA

Rozpoznání žilek na prstu Otisk prstu, rozpoznání geometrie ruky

44 Bank of Utah

USA

Úder do klávesnice

Internet banking

45 SunFirst Bank Zions Bank (Zions First 46 National Bank)

USA

Řízení přístupu

USA

Rozpoznání žilek na ruce Otisk prstu, rozpoznání geometrie ruky

47 West Texas National Bank

USA

Otisk prstu

Check Cashing

48 Texas Bank United

USA

Skenování duhovky

Bankomaty

49 Somer Trust Bank

USA

Rozpoznání hlasu

Telefoní bankovnictví

50 Banco Ambrosiano Veneto

Italy

Skenování duhovky

Bankomaty

51 Banco Bradesco Bank Islam Brunei 52 Darussalam

Brazil

Rozpoznání hlasu

Telefoní bankovnictví

Brunei

Bankomaty

53 HSBC Bank

UK

Otisk prstu Rozpoznání obličejových znaků

54 Lloyds TSB

UK

Rozpoznání hlasu

Telefoní bankovnictví

55 United Bank Limited (ULB)

Pakistan

Rozpoznání hlasu

Bankovní pobočky

56 Credicorp Bank

Panama

Otisk prstu

Řízení přístupu

57 Western Bank

Puerto Rico

Otisk prstu

Bankovní pobočky

58 FirstBank Puerto Rico

Puerto Rico

Rozpoznání geometrie ruky Řízení přístupu

59 Vakifbank

Turkey

Rozpoznání žilek na prstu

Bankomaty

60 Akbank

Turkey

Skenování duhovky

Bankomaty

61 IsBank

Turkey

Rozpoznání žilek na prstu

Bankomaty

Rozpoznání žilek na ruce

Bankomaty

Otisk prstu

Řízení přístupu

Dynamický podpis

Workflow automation Telefoní bankovnictví

62 Ziraat Bank

Turkey Republic of 63 Mauritius Commercial Bank Mauritius Industrial&Commercial 64 Bank China China Merchant Bank 65 (CMB) China

Řízení přístupu

Řízení přístupu

Řízení přístupu

66 People’s Bank of China

China

Rozpoznání hlasu Rozpoznání obličejových znaků

67 Bank of China

China

Otisk prstu

Řízení přístupu

68 Nanto Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

69 Hiroshima Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

70 Customers Japan Post Bank Japan

Rozpoznání žilek na prstu

Bankomaty

71 Mizuho Bank

Japan

Rozpoznání žilek na prstu

Bankomaty

72 Bank of Kyoto

Japan

Rozpoznání žilek na prstu

Bankomaty

73 Sumimoto Mitsui

Japan

Rozpoznání žilek na prstu

Bankomaty

74 Resona Bank

Japan

Rozpoznání žilek na prstu

Bankomaty

75 Joyo Bank

Japan

Rozpoznání žilek na prstu

Bankomaty

76 Juroku Bank

Japan

Rozpoznání žilek na prstu

Bankomaty

78

Řízení přístupu

77 Bank of Fukuoa

Japan

Rozpoznání žilek na prstu

Bankomaty

78 CITI Bank

Japan

Rozpoznání žilek na prstu

Bankomaty

79 Tajima Bank

Japan

Rozpoznání žilek na prstu

Bankomaty

80 Tokyo-Mitsubishi

Japan

Rozpoznání žilek na ruce

Bankomaty

81 Suruga Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

82 Shinkin Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

83 Ogaki Kyoritsu Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

84 Ikeda Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

85 Norinchukin Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

86 Senshu Bank

Japan

Rozpoznání žilek na ruce

Bankomaty

87 Citi Bank

Singapore

Bankomaty

88 Pictet&Cie

Swiss

Otisk prstu Rozpoznání obličejových znaků

89 Banco Falabella

Chile

Otisk prstu

Bankomaty

90 Al Rajhi Bank

Saudi Arabia

Rozpoznání geometrie ruky Bankomaty

91 Bank of CostaRica

Costa Rica

Otisk prstu

Řízení přístupu

92 Woori Bank

South Korea

Otisk prstu

Internet banking

93 BanCafe

Colombia

Otisk prstu

Bankomaty

94 Foreign Trade Bank (FTB)

Cambodia

Otisk prstu

Bankomaty

95 BankMed-Lebanon Podkarpacki Bank 96 Spoldzielczy Bank Polskiej Spoldzielczy 97 (BPS)

Lebanon

Skenování duhovky

Bankovní pobočky

Poland

Rozpoznání žilek na prstu

Bankomaty

Poland

Rozpoznání žilek na prstu

98 Reserve Bank

Malaysia

Otisk prstu

Bankomaty Biometrické karty, online nákupy

99 Bank of Cairo

Egypt

Otisk prstu

Bankovní pobočky

100 Misr Bank

Egypt

Skenování duhovky

Bankovní pobočky

101 Group Financiero Banorte

Mexico

Otisk prstu

Bankomaty

102 Banco Azteca

Mexico

Otisk prstu

Bankovní pobočky

103 Den Norske Bank

Norway

Skenování duhovky

Bankomaty

104 First Bank

Nigeria

Otisk prstu

Bankomaty

105 Royal Microfinance Bank

Nigeria

Otisk prstu

POS

106 ABN AMRO

Netherland

Rozpoznání hlasu

Telefoní bankovnictví

107 Union Bank of India

India

Otisk prstu

Bankomaty

108 ICICI Bank

India

Otisk prstu

Řízení přístupu

109 Indian Bank

India

Otisk prstu

Bankomaty

110 Canara Bank

Řízení přístupu

India

Otisk prstu

Bankomaty

111 Oriental Bank of Commerce India

Otisk prstu

Bankomaty

112 State Bank of India (SBI)

India

Otisk prstu

Řízení přístupu

113 Central Bank of India

India

Otisk prstu

Bankomaty

114 Reserve Bank of India

India

Otisk prstu

Bankomaty

115 Punjab National Bank

India

Otisk prstu

Bankomaty

116 Dena Bank

India

Otisk prstu

Bankomaty

117 Andhra Bank

India

Otisk prstu

Bankomaty

118 Syndicate Bank

India

Otisk prstu

Bankomaty

79

119 HDFC

India

Otisk prstu

Bankomaty

120 Catholic Syrian Bank Cooperative&Agricultural 121 Credit Bank

India

Otisk prstu

Bankomaty

Yemen

Skenování duhovky

Bankovní pobočky

Příloha č. 2: Aktivní a pasivní operace poskytované pomocí internetového bankovnictví KB 

Změna hesla / pinu k certifikátu a prodloužení platnosti certifikátu



Aktuální použitelný zůstatek



Nastavení limitů



Nastavení vícenásobné a víceúrovňové autorizace



Zadávání příkazů CZK



Zadávání příkazů v cizí měně



Zadávání příkazu k inkasu



Zadávání trvalého příkazu



Platba za mobil



Povolení SIPO



Správa šablon



Přehledy účtů



E-výpisy



Přehled platebních karet



Sjednaní platebních karet



Sjednání úvěrů



Přehled úvěrových smluv



Možnost investování do podílových fondů



Možnost sjednání pojištění



Přehledy z finančních trhů



Nastavení oznámení



Rozšířená nastavení



Nastavení Mobilní banky 2



Komunikace s bankou

80

Příloha č. 3: Výhody služby ProfiBanka oproti služby MojeBanka 

Komplexní řešení firemního platebního styku a komunikace s bankou



Nepřetržitý přehled o pohybech na vašich účtech



Efektivní řízení firemního cash flow



Podstatná časová a finanční úspora oproti platebnímu styku na pobočkách



Pohodlné zpracování velkého objemu plateb



Časově neomezená transakční historie



Velmi jednoduché a srozumitelné ovládání



Vyspělé zabezpečení založené na standardech elektronického podpisu



Profesionálně vyškolená uživatelská podpora na lince +420 955 551 552

Příloha č. 4: Aktivní a pasivní operace poskytované pomocí smartbankingu KB 

Vyhledání nejbližšího bankomatu kterékoliv banky



Vyhledání nejbližší pobočky komerční banky a zobrazení užitečných



Informací o pobočce



Simulovat spotřebitelské úvěry a hypotéky s možností požádat o zpětný kontakt



Kalkulačku penzijního spoření s možností požádat o zpětný kontakt



Možnost požádat o vlastní design platební karty



Zobrazení aktualit z komerční banky



Zobrazení informací o kurzech podílových listů iks a amundi



Zobrazení telefonních kontaktů komerční banky a jejich přímé zavolání



Zablokování platební karty



Infolinka komerční banky



Klientská linka přímého bankovnictví



Spojovatelské pracoviště



Nastavení vzhledu



Pro klienty Komerční banky, kteří využívají službu MojeBanka nebo MojeBanka business



Mohou dále využívat funkce pro:



Rychlé zadání platby na libovolný účet pro vybrané zařízení s os android nebo ios



Zadání platby vybrané protistraně z ostatních zařízení a prostřednictvím prohlížeče



Mobilního telefonu na www.mobilnibanka.cz 81



Platba složenky



Platba pomocí qr kódu



Přehledné zobrazení transakční historie



Dobít telefon nebo zaplatit fakturu vodafone



Zobrazení čekajících transakcí – plateb kartou a výběrů z bankomatů



Zobrazení zpráv z banky – schránka

Příloha č. 5: Otázky ke kvantitativní části průzkumu 1. Využíváte internetové bankovnictví? 2. U které banky je využíváte? V případě využívání u více bank uveďte hlavní banku. 3. Kromě vaší hlavní banky, využíváte službu internetového bankovnictví i u některé další banky (dalších bank)? 4. Nyní Vás prosím o vyjádření Vaší celkové spokojenosti se službou internetového bankovnictví u Vaší hlavní banky. 5. Jak jste spokojen(a) s faktory internetového bankovnictví Vaší hlavní banky, které budu jmenovat? a.

Intuitivní, přehledné a snadné ovládání

b.

Snadná dostupnost aplikace pro uživatele Internetu (možnost se kdykoliv a odkudkoliv připojit

c.

Bezpečnost systému

d.

Rozsah operačních systémů a prohlížečů, pod kterými služba funguje (Windows, Linux, MacOS, Internet Explorer, Firefox, Opera, další systémy)

6. Používáte-li certifikát (elektronický podpis), připadá Vám tento bezpečnostní prvek jako vyhovující? 7. Sdělte prosím, proč Vám certifikát (elektronický podpis) nevyhovuje. 8. Je pro Vás důležité, aby bezpečnost internetového bankovnictví byla zajišťována přímo bankou? Nebo byste připustil(a) zajišťování i externí firmou? Kterou možnost preferujete? 9. Připadalo by Vám využití úložiště Cloud computing jako vhodné řešení pro uložení Vašeho certifikátu? 10. Je pro Vás důležité, aby Cloud computing byl poskytován bankou? Nebo je Vám jedno, že je zajišťován externí firmou? Kterou možnost preferujete? 11. Připadalo by Vám využití Single sign-on jako vhodné řešení pro různé druhy operací? 82

12. Nyní prosím o krátké odůvodnění předchozí odpovědi. 13. Vnímáte jako důležité, aby banka nabízela přístup do internetového bankovnictví z „nových“ zařízení (mobil, smartphone, tablet, e-book)? 14. Které zařízení byste rádi používali pro přístup k Vašemu internetovému bankovnictví? 15. Jaké byste požadovali zabezpečení u zmíněného zařízení v otázce 14. pro jednotlivé operace 1.

Přihlášení

2.

Pasivní operace

3.

Aktivní operace na preddefinované účty

4.

Aktivní operace neomezené

16. Požadovali byste stejné zabezpečení i u ostatních zařízení (smartphone, tablet, e-book, PC)? 17. Nyní prosím o krátké odůvodnění předchozí odpovědi. Pokud jste na předchozí otázku odpověděli ne, pokuste se napsat, které zabezpečení u jednotlivých operací byste změnili.

Příloha č. 6: Číselné vyhodnocení kvantitativního průzkumu Využíváte internetové bankovnictví? Q1

Počet respondentů Ano Ne Průměr

54 1 92,6% 2 7,4% 1,07

U které banky je využíváte? V případě využívání u více bank uveďt e hlavní banku. Q2

Počet respondentů Komerční banka Česká spořitelna ČSOB GE Money Bank Raiffeisenbank mBank Průměr

1 2 3 4 5 8

49 36,7% 22,4% 20,4% 4,1% 2,0% 14,3% 2,84

83

Kromě vaší hlavní banky, využíváte službu internetového bankovnictví i u některé další banky (dalších bank)? Q3

Počet respondentů Ano Ne Průměr

50 1 18,0% 2 82,0% 1,82

Nyní Vás prosím o vyjádření Vaší celkové spokojenosti se službou internetového bankovnictví u Vaší hlavní banky Q4

Počet respondentů 6 6 7 7 8 8 9 9 10 10 Průměr

50 10,0% 10,0% 32,0% 30,0% 18,0% 8,36

Jak jste spokojen(a) s faktory internetového bankovnictví Vaší hlavní banky, které budu jmenovat? Q5.1

Počet respondentů 2 4 5 6 7 8 9 10

Intuitivní, přehledné a snadné ovládání

Průměr Q5.2

50 2,0% 2,0% 2,0% 12,0% 24,0% 20,0% 20,0% 18,0% 7,82

Počet respondentů 2 3 4 5 6 7 8 9 10

Snadná dostupnost aplikace pro uživatele Internetu (možnost se kdykoliv a odkudkoliv připojit)

Průměr

50 4,0% 6,0% 2,0% 6,0% 8,0% 14,0% 10,0% 16,0% 34,0% 7,74

84

Q5.3

Počet respondentů 7 8 9 10

Bezpečnost systému

50 4,0% 36,0% 32,0% 28,0%

Průměr Q5.4 Rozsah operačních systémů a prohlížečů, pod kterými služba funguje (Windows, Linux, MacOS, Internet Explorer, Firefox, Opera, další systémy)

8,84

Počet respondentů 2 3 4 5 7 8 9 10

50 4,0% 4,0% 2,0% 2,0% 4,0% 20,0% 20,0% 44,0%

Průměr

8,46

Používáte-li certifikát (elektronický podpis), připadá Vám tento bezpečnostní prvek jako vyhovující? Q6

Počet respondentů Ano Ne Nepoužívám certifikát Průměr

50 1 38,0% 2 4,0% 3 58,0% 2,20

Je pro Vás důležité, aby bezpečnost internetového bankovnictví byla zajišťována přímo bankou? Nebo byste připustil(a) zajišťování i externí firmou? Q8

Počet respondentů Bezpečnost poskytována výhradně bankou Bezpečnost poskytována výhradně externí firmou Nezáleží mi na tom, kým je bezpečnost poskytována Průměr

50 1 48,0% 2

6,0%

3 46,0% 1,98

Připadalo by Vám využití úložiště Cloud computing jako vhodné řešení pro uložení Vašeho certifikátu? Q9

Počet respondentů Ano, připadá mi to jako vhodné řešení Ne, nepřipadá mi to jako vhodné řešení Nevím, nemohu posoudit Průměr

85

50 1 44,0% 2 36,0% 3 20,0% 1,76

Je pro Vás důležité, aby Cloud computing byl poskytován bankou? Nebo je Vám jedno, že je zajišťován externí firmou? Kterou možnost preferujete? Q10

Počet respondentů Bezpečnost Cloud computing poskytována výhradně bankou Bezpečnost Cloud computing poskytována výhradně externí firmou Nezáleží mi na tom, kým je bezpečnost Cloud computing poskytována Nevím, nemohu posoudit Průměr

50 1 42,0% 2

6,0%

3 46,0% 4 6,0% 2,16

Připadalo by Vám využití Single sign-on jako vhodné řešení pro různé druhy operací? Q11

Počet respondentů Pouze pro pasivní operace jako informace o zůstatcích na účtech nebo výpisy transakcí Pasivní i aktivní operace jako zadávání platebních příkazů

50 1 32,0%

Systém jednotného přihlášení (Single Sign-on) mi nepřipadá jako dobré řešení Nevím, nemohu posoudit Průměr

3 60,0% 4 6,0%

2

2,0%

2,40

Nyní prosím o krátké odůvodnění předchozí odpovědi K12

Počet respondentů Zabezpečení obecně, zneužití informací, pasivní operace

50 1 40,0%

Zabezpečení aktivích operací, možnost krádež Zneužití při odchodu od PC Úspora času SSO nevhodné pro bankovní operace Nechápu princip SSO Jiné Průměr

2 18,0% 3 10,0% 4 10,0% 5 8,0% 6 6,0% 7 8,0% 2,78

Vnímáte jako důležité, aby banka nabízela přístup do internetového bankovnictví z „nových“ zařízení (mobil, smartphone, tablet, e-book)? Q13

Počet respondentů 1 2 3 4

86

1 2 3 4

50 6,0% 8,0% 12,0% 2,0%

5 5 6,0% 6 6 2,0% 7 7 10,0% 8 8 22,0% 9 9 4,0% 10 10 28,0% Průměr

6,70

Které zařízení byste rádi používali pro přístup k Vašemu internetovému bankovnictví? Q14.1

Počet respondentů

11 1 11,0%

Počet respondentů

27 1 27,0%

Počet respondentů

15 1 15,0%

Počet respondentů

1

Počet respondentů

18 1 18,0%

Mobilní telefon

Q14.2 Smartphone

Q14.3 Tablet

Q14.4

0 0,0%

E-book Q14.5 Vystačím si s PC

Jaké byste požadovali zabezpečení u zmíněného zařízení v otázce 14. pro jednotlivé operace Q15.1

Přihlášení

Q15.2 Pasivní operace

Počet respondentů Jméno + heslo Jméno + heslo + sms Certifikát + heslo Průměr

50 1 46,0% 2 30,0% 3 24,0%

Počet respondentů Jméno + heslo Jméno + heslo + sms Certifikát + heslo Průměr

50 1 58,0% 2 26,0% 3 16,0%

1,78

1,58

87

Q15.3

Počet respondentů Aktivní operace Jméno + heslo Jméno + heslo + sms na preddefinované Certifikát + heslo účty Průměr

50 1 18,0% 2 72,0% 3 10,0%

Q15.4

50 1 8,0% 2 76,0% 3 16,0%

1,92

Počet respondentů Jméno + heslo Aktivní operace Jméno + heslo + sms neomezené Certifikát + heslo Průměr

2,08

Požadovali byste stejné zabezpečení i u ostatních zařízení (smartphone, tablet, e-book, PC)? Q16

Počet respondentů Ano Ne Nevím, nemohu posoudit Průměr

50 1 82,0% 2 12,0% 3 6,0% 1,24

Nyní prosím o krátké odůvodnění předchozí odpovědi. Pokud jste na předchozí otázku odpověděli ne, pokuste se napsat, které zabezpečení u jednotlivých operací byste změnili. K17

Počet respondentů Zabezpečení by mělo být co největší Nedovedu posoudit Nejbezpečnější varianta vhodná pro všechny zařízení Důležité aby si banka ověřila, že komunikuje s klientem Jiné Průměr

49 1 12,2% 2 8,2% 3 55,1% 4 6,1% 5 18,4% 3,10

Obor studia Q18

Počet respondentů Technický Ekonomický Humanitní Ostatní Průměr

1 2 3 4

54 27,8% 40,7% 9,3% 22,2% 2,26

Pohlaví Q19

Počet respondentů

54

88

Muž Žena Průměr

1 63,0% 2 37,0% 1,37

Příloha č. 7: Diskusní scénář ke kvalitativní části dotazování 1. Představení

10min



Vysvětlení průběhu a účelu výzkumu



Představení hlavního tématu: Budoucnost přímého bankovnictví a adekvátní zabezpečení.



Délka diskuze – 90 min



Důvěrnost odpovědí



Záznam zvuku



Pravidla pro diskusi - Spontánní reakce, upřímné a pravdivé odpovědi, respondenti hovoří jednotlivě (nikoliv všichni najednou), moderátor oslovuje i ty, co nehovoří sami spontánně



Představení účastníků o Jméno o Věk o Škola o U které banky používám e-banking, jak dlouho? o Jiné kanály přímého bankovnictví?

2. Warm-up 20 -25 min MOD: Chtěl bych vás úvodem krátce seznámit s výsledky první části kvantitativního průzkumu. Dále bych rád navázal dnešní kvalitativní částí. 

93 % respondentůuvedlo, žepoužíváinternetovébankovnictví



80 % uvedlo jako hlavní banku jednu,že 3 největších bank v ČR (KB, ČSOB, ČS) a přitom pro 80 % respondentů je tato banka primární a jedinou. o Připadá vám tento výsledek jako zajímavý? o Proč si myslíte,že tomu tak je? Když máme na trhu banky s nulovými poplatky. 89

MOD:Rád bych se nyní bavil o problematice pojištění vkladů. o Víte, že když má banka licenci v některé ze zemí EU, může působit ve všech zemí celé EU, aniž by potřebovala zvláštní povolení v členské zemi. Jedná se např. o polskou mBANK působící v ČR. Vnímáte to jako rizikové? o Jaké faktory u vás hrají hlavní roli při výběru banky? o Víte, že v rámci EU jsou stanoveny minimální požadavky na pojištění vkladů do výše 100 tisíc EUR. Mění tato informace nějak pohled na výběr banky. o Vidíte nějakou spojitost mezi pojištěním vkladů a e-bankovnictvím? Jakou a proč?

3. Internetové bankovnictví 25 - 35 min MOD: Nyní bych se rád zaměřil na internetové bankovnictví. 

Cca 60 % uživatelů uvedlo u své banky vysokou spokojenost ve vazbě na intuitivní, přehledné ovládaní (8-10 na škále 1-10)



Obdobné odpovědi respondenti uvedli i vazbu na snadnou dostupnost aplikace na internetu o Jak chápete dostupnost, jako (dá se chápat dvěma způsoby)? 

možnost se připojit odkudkoliv



nebo schopnost banky provozovat e-banking spolehlivě 24/7 bez výpadků,bez problémů s přihlášením atd.



„Jako velice spokojeni“ (8-10) ohodnotili respondenti (96%) bezpečnost současného řešení zabezpečení elektronického bankovnictví. o Proč si myslíte, že tomu tak je? Zajímáte se o slabiny jednotlivých řešení? 83 

Jméno + heslo / phishing útok



Jméno + heslo + SMS / útok man in the browser

90



Na otázku, zdali je pro vás důležité, aby bezpečnost internetového bankovnictví byla zajišťována přímo bankou nebo byste připustil (a) zajišťování externí firmou, jsou odpovědi rozděleny do 2 táborů, 48 % respondentů chce, aby byla bezpečnost zajišťována výhradně bankou, 46 % je to jedno kdo bude zajišťovat. o Proč si myslíte,že cca 50 % respondentů preferujbezpečnostní řešení „bezpečnost zajištěna bankou“? o Nedává vám více jistoty, když banka použije nějaké již existující řešení od renomované firmy zaměřující se na bezpečnost?

MOD: Pamatujete si co je to cloud a jak je tato služba využívána? Případně znovu vysvětlit.Ukázání praktické ukázky cloudu na PC. 

Možnost uložení bezpečnostních prvků(elektronický podpis - certifikát) v Cloudu, vnímá 44% dotazovaných jako vhodné řešení, 36% jako nevhodné. o Proč si myslíte,že tomu tak je? 84 o Jaké jsou podle vás výhody cloud řešení 85 o Jaká vnímáte hlavní rizika?

MOD: V případě PC a mobilu máte 2 zařízení, které jsou oddělené. I v případě virového útoku na PC by musel stejný útočník ovládat i váš MT. U mobilního bankovnictví (mobily) nemá OTP takový smysl o Dává vám nyní certifikát uložený v clouduvětší smysl? o Napadá vás ještě nějaké jiné dodatečné bezpečnostní řešení?

4. Mobilní platformy 25-35 min MOD: Nyní se zaměřme na nově vznikající a rozvíjející seplatformy elektronického bankovnictví.

91



Zajímavě vyšly odpovědi na otázku ohledně požadavku na poskytování elektronického bankovnictví na mobilních platformách. 54 % respondentůuvedlo odpověď: hodně důležité (8-10).Co se týká preferovaných platforem elektronického bankovnictví respondenti dávali přednost smartphonům (27 %) před tím, že by si vystačili s PC (18 %) o Proč si myslíte,že tomu tak je? o Kdo z vás používá mobilní bankovnictví. Jak ho používáte? o Na co byste nejčastěji používali mobilní platformu elektronického bankovnictví? Co by tento produkt měl obsahovat? 

Náhled na aktuální stav (y)účtu



Informace o transakcích



Zadávání plateb



Jiné služby: novinky vaši banky, komunikace s bankou

o Nezapomeňte, že existují limity 

Omezená velikost displej



Problém posílaní a kopírování OTP



Ve vazbě na autentifikaci uživatele respondenti preferují zabezpečení:

-

jméno + heslo pro přihlášení a pasivní transakce

-

jméno +heslo+sms pro aktivní transakce



Stejné zabezpečení preferujítaké u mobilních platforem. o Vnímáte jako rizikové, pokud stejné bezpečnostní prvky budou použity v rámci jednoho zařízení např. OTP ve smartphonu?86 o Myslíte si, že má nějaký smysl OTP u mobilního bankovnictví v rámci této problematiky?

92

o Jak byste v tomto případě volili ideální model pro mobilní platformy (smartphony, tablet) 

Nastavení protiúčtů (předdefinované účty)



Nastavení dispozičních limitů pro tento kanál

93