Internet Biztonsági Tanulmány Az Internet Szerepének Gyors Növekedésében Rejlő Pénzügyi Visszaélésekkel Kapcsolatos Kockázatok
SZERKESZTETTE: PUSKÁS TIVADAR KÖZALAPÍTVÁNY 2009. SZEPTEMBER
A PÉNZÜGYI SZERVEZETEK ÁLLAMI FELÜGYELETE AZ ÁLTALA KISZABOTT BÍRSÁGOKBÓL BEFOLYT FELÜGYELETNÉL MARADÓ – ÖSSZEG TERHÉRE, A HATÁLYOS JOGSZABÁLYOK ALAPJÁN NYILVÁNOS PÁLYÁZATOT HIRDETETT. EZ A KIADVÁNY A NYILVÁNOS PÁLYÁZATON TÁMOGATÁST NYERT EL.
INTERNET BIZTONSÁGI TANULMÁNY
2
Tartalomjegyzék 1 Bevezetés..................................................................................................................................3 2 Internet piac mérete és várható alakulása................................................................................4 2.1 Infokommunikáció a társadalomban.................................................................................5 2.2 A szélessávú internet térhódítása és a mobilinternet fejlődése........................................8 2.2.1 Szélessáv a számok tükrében....................................................................................9 2.3 Az internet használat jellemzői......................................................................................12 2.4 Az internetes vásárlások nélkülözhetetlen része a fizetés..............................................15 2.5 A magyar internet fejlettsége, helyünk a világban..........................................................19 3 A magyar internet banki piacról.............................................................................................24 3.1 A hazai internet banki piac szereplői..............................................................................34 4 Internetbanki visszaélések és ügyfél elvárások....................................................................43 4.1 A biztonság kérdése általánosságban..............................................................................43 4.1.1 Globális kockázatok az internet térhódításának hatására........................................43 4.1.2 Az internet mindennapos életünk részévé vált/válik...............................................44 4.1.3 Az internet függőség kockázatai.............................................................................44 4.2 A sokcsatornás ügyfélkiszolgálás.................................................................................46 4.2.1 Védelem és azonosítás elkülönülése, kockázatkezelés...........................................47 4.2.2 Az ügyfélazonosítás problematikája.....................................................................48 4.2.3 Azonosítási típusok.................................................................................................51 4.2.4 Ügyfélcsatornatermék összerendelések...............................................................52 4.2.5 A tudásbázisú ügyfélazonosítás szervezeti haszna................................................57 4.3 Visszaélések, támadások világa......................................................................................57 4.3.1 Elkövetési módszerek..............................................................................................58 4.3.2 Pénzintézetek és ügyfeleik elleni tipikus támadási sémák......................................59 4.4 Elterjedt internetbank biztonsági megoldások...............................................................64 4.4.1 Pénzintézetek és ügyfeleik elleni tipikus támadási sémák......................................65 5 Kockázatvállalás és/vagy biztonság, valamint a használhatóság kapcsolata.........................68 5.1 Elvárt biztonság..............................................................................................................69 5.2 Az elfogadható kockázati szint kialakítása.....................................................................69 5.3 A kockázatkezeléssel kapcsolatos problémák és a válaszlépések..................................70 5.4 Megelőzés.......................................................................................................................70 5.4.1 A megelőzés és védekezés hatékonyságához szükséges szervezeti keretek ...........71 5.4.2 A globális kockázatok globális válaszokat igényelnek...........................................75 6 Összegzés és jövőkép.............................................................................................................76 6.1 Kockázatkezeléssel kapcsolatos javaslatok.....................................................................79 6.1.1 Technológia.............................................................................................................79 6.1.2 Edukáció és együttműködés....................................................................................82
INTERNET BIZTONSÁGI TANULMÁNY
3
1 Bevezetés A Pénzügyi Szervezetek Állami Felügyelete (PSZÁF) pályázatot írt ki „Az internet szerepének gyors növekedésében rejlő pénzügyi visszaélésekkel kapcsolatos kockázatok” témakörében egy átfogó képet adó tanulmány elkészítésére. A PSZÁF célja jelen tanulmány elkészíttetésével az volt, hogy mind a pénzügyi szektor képviselői, mind pedig ügyfeleik információkat, tanácsokat, javaslatokat kapjanak a pénzügyek interneten keresztüli intézésének biztonságosabbá tételéhez. Mi, a tanulmány készítői úgy ítéljük meg, hogy azok a kockázatok, amelyek az internet gyors térnyeréséből fakadnak, valósak, azonban nagyon jól kezelhetők. Az internet a mindennapjaink részévé vált. Megtanultunk élni az általa kapott lehetőségekkel, azonban még nem tudatosult mindannyiunkban, hogy azok, akik vissza akarnak élni, más magatartásformát tanúsítanak, más eszközöket alkalmaznak, emiatt nekünk is másként kell cselekednünk a biztonságunk érdekében, mint az élet más területein. Kicsi gyermekkorunktól kezdve tanuljuk a közlekedési szabályokat. Ismerjük a kockázatokat és az emberek többsége megteszi a tőle elvárhatót annak érdekében, hogy maximális biztonságban jusson el egyik pontból a másikba. Nincs ez másként az internettel sem, hiszen itt is megvannak a közlekedési szabályok. Tanulmányunkkal a PSZÁF szándékaival összhangban ezekre a szabályokra szeretnénk felhívni a figyelmet. A tanulmány alapvetően két egységből áll. Az elsőben szólunk az internet magyarországi fejlődéséről, valamint a pénzügyekben legérintettebb szolgáltatók, a bankok internetes szolgáltatásairól. A második részben foglaljuk össze mindazt, amit fontosnak és figyelemreméltónak ítélünk az internet biztonság pénzügyi vonatkozásában. Az egyes fejezeteket és alfejezeteket ennek a két résznek a figyelembevételével állítottuk össze. Kívánjuk kedves olvasóinknak, hogy minél többet profitáljanak az anyagból és reméljük, hogy kellő segítséget tudunk adni azoknak a bizonyos közlekedési szabályoknak az elsajátításához és napi gyakorlatba való illesztéséhez. Sok sikert kívánunk ehhez! 2009. szeptember A szerkesztők
INTERNET BIZTONSÁGI TANULMÁNY
4
2 Internet piac mérete és várható alakulása Magyarországon az elmúlt nyolc évben az internet elterjedtsége, a felhasználók száma jelentősen megnövekedett és ezzel párhuzamosan a felhasználási szokások is markánsan megváltoztak. A változások számos okra vezethetők vissza. Felnőtt egy új generáció, amely már az iskolában rendszeresen használhatott számítógépet, megtanulta annak rutinos kezelését és ezzel párhuzamosan az internet felhasználása is napi gyakorlatává vált. Az idősebb generációk kezdetben jellemzőbben a munkahelyeken fértek hozzá az internethez, ahol eleinte levelezésre használták azt. A vállalatok, vállalkozások azonban az ügyviteli folyamataikba egyre inkább beépítették az internet adta további lehetőségeket (marketingkommunikáció, értékesítés támogatása, megrendelések felvétele stb.), így a levelezés mellett ezek a felhasználók elmozdultak a valódi „böngészős” használat irányába. Az elmozdulást segítette, hogy az interneten elérhető tartalom egyre gazdagabbá vált, így hírek, újságcikkek és más korábban is népszerű „offline” tartalmak – mint például apróhirdetések, utazási információk és nem utolsó sorban banki tranzakciós lehetőségek – is hozzáférhetővé váltak. Az állam is sokat lendített az internet népszerűvé válásán főleg azzal, hogy különféle adókedvezményekkel (pl. cafetéria rendszer) ösztönözte az otthoni előfizetői szám emelkedését, az Ügyfélkapuval egyrészt kedvet teremtett az online ügyintézésre, másrészt a különféle bevallások elektronikus beküldésének előírásával kvázi „jótékony kényszerítő erőként” fellépve ráirányította a figyelmet a web adta lehetőség előnyeire. Sokan épp e „kényszer” hatására kezdték felfedezni a netet. Kiemelendő még a Sulinet program, amely a diákok körében tette elérhetővé és népszerűvé az internet használatot, és rajtuk keresztül érezhetően hatott szüleik gondolkodására is. A fentiek eredményeként a magánelőfizetők száma növekedésnek indult, aminek komoly lendületet adott az egyre olcsóbbá és gyorsabbá váló korlátlan internet elérés, valamint a számítógépek árának csökkenése. További lendületet adott, illetve ad még napjainkban is a mobilkészülékek internetezésre alkalmassá válása. Bár még a komolyabb „élményt” nyújtó készülékek (okostelefonok) drágábbak, ezért arányuk az összes készülékhez képes nem éri el a 10 százalékot, de egyrészt látszik, hogy a készülékek még mindig átlagosan 18 hónaponként cserélődnek, másrészt pedig a gyártók kezdenek elmozdulni az olcsóbb típusoknál is a kezelhetőség szempontjából elfogadható minőségű internet használatot
INTERNET BIZTONSÁGI TANULMÁNY
5
biztosító készülékek irányba. A gazdasági válság a számítógépes képességekkel felruházott mobiltelefonok terjedésének ütemét ugyan lelassította és az amerikai Gartner piackutató legújabb elemzése szerint jövőre is lassuló növekedéssel kell számolni, azért jól látható, hogy pár éven belül ezek a típusok lesznek a legelterjedtebbek. Mára már kijelenthető tehát, hogy Magyarországon az internet a mindennapjaink részévé vált. De nézzük mindezeket a számok tükrében!
2.1 Infokommunikáció a társadalomban Az infokommunikáció fellendülését érdekes módon nem az internet, hanem egy bizonyos GSM szabvány tette lehetővé. A kilencvenes évek derekán indult el a magyar társadalomban a mobiltelefónia térhódítása. Bár a rendszerváltás után néhány évvel a vezetékes telefonos lefedettségi adatok jelentős javulást mutattak, ez a mobilok elterjedését nem gátolta, és így az ezredfordulóra már nem csak egy szűk kiváltságos réteg úri huncutsága volt az SMS küldés és a vezetéknélküli telefonálás lehetősége. A mobil penetráció gyors növekedése nemcsak a személyes kapcsolatok, a beszélgetések és az információ áramlásának felgyorsulását eredményezte, hanem a „bonyolultabb” technikai eszközök mindennapos használatát is közelebb vitte az átlag emberhez. A készülékek fejlődése, az egyre gazdagabb funkcionalitás, a különféle ún. nonvoice (azaz nem hangalapú) szolgáltatások bevezetése, mind hozzájárultak ahhoz, hogy az emberek egyre kevésbé idegenkedtek a számítógépek használatától. Megszokták, hogy SMSt küldenek, azaz egy email elküldése már nem is volt olyan ördöngös dolog. Adott esetben mp3as fájlokat, csengőhangot töltöttek fel a telefonjukra, ami szintén közelebb vitte őket egy „számítógépszerű” használathoz. Mára már a mobilinternet is általánosan ismertnek és elismertnek tekinthető, de erről egy későbbi részben bővebben szólunk. Az elmúlt évek robbanásszerű internetes fejlődését misem jellemzi jobban, mint az, hogy a legfrissebb adatok alapján alig négy év alatt a rendszeresen internetezők aránya megduplázódott és ma már a lakosság felének mindennapjaiban jelen van a világháló. A gyors növekedés ellenére még vannak bőven tartalékok, hiszen a népesség 43 százaléka még nem próbálta ki, nem szerezett személyes tapasztalatot az internetről. A rendszeres felhasználók aránya egyébként az EUban 6062 százalék körüli, így hazánk inkább még a sereghajtók közé tartozik e tekintetben.
INTERNET BIZTONSÁGI TANULMÁNY
6
Forrás: TNSNRC InterBus kutatás magyarországi kutatásának adatai
További, dinamikus fejlődést mutató adat a háztartások számítógéppel történő ellátottságának megháromszorozódása, valamint az otthoni internetezők arányának (a 1569 éves korosztályban) 3 százalékról 40 százalékra emelkedése 2000 és 2008 között, ami több mint tizenháromszoros növekedést jelent. Az otthon (is) internetezők aránya az összes rendszeres felhasználó 80 százaléka, de ennél figyelemreméltóbb adat a 2008as növekedés, azaz a kezdeti 32 százalékról 40 százalékra emelkedett arányuk az össznépességhez viszonyítva. Ez kimagasló növekedés az előző évekhez képest.
INTERNET BIZTONSÁGI TANULMÁNY
7
Forrás: TNSNRC InterBus kutatás magyarországi kutatásának adatai
Bár a fogyasztói szempontok alapján kiemelten fontos 2549 éves réteg is viszonylag otthonosan mozog a neten, az internet felhasználók korcsoportonkénti bontásának vizsgálata jól mutatja, hogy a 1524 év közötti generáció már igazi „netpolgárokból” áll: 80 százalékuk rutinos felhasználó, ami gyakorlatilag azt jelenti, hogy hamarosan egy komoly fogyasztói réteg fogja azon magyar vállalatokból kikényszeríteni a színvonalas internetes kiszolgálást, amelyek ma még nem vagy csak nagyon korlátozottan használják a világhálót az ügyfélkapcsolatokban.
INTERNET BIZTONSÁGI TANULMÁNY
8
Forrás: TNSNRC InterBus kutatás magyarországi kutatásának adatai
2.2 A szélessávú internet térhódítása és a mobilinternet fejlődése A sávszélesség gyakorlatilag egy olyan mértékegység, amellyel kifejezhetjük, hogy milyen sebességgel fogadhatunk és küldhetünk adatokat az interneten. A szélessávú internet tömeges elterjedése 20022003 környékén indult útjára. Szükségességét az váltotta ki, hogy a hagyományos dialup technológiával a nagyobb adatforgalom (képek, kisfilmek, hanganyagok és egyéb nagyméretű fájlok küldése, letöltése vagy például folyamatos hangátvitel) nagyon lassan volt megvalósítható. Az üzleti és magán felhasználók pedig egyre inkább szerették volna kihasználni az internet azon előnyét, amely egyszerűvé tette ezen fájlok, tartalmak megosztását. Hazánkban jelenleg négy technológia terjedt el a szélessávú internet elérés biztosítására. A legnépszerűbb az ún. DSL technológia, amely hagyományos (réz alapú) telefonvonalon keresztül valósítja meg a gyors internet elérést. Szintén népszerű a kábelnet, amely a kábeltelevíziózáshoz használt hálózatokon keresztül működtethető. Emellett terjedőben van a mikrohullámú (elektromágneses hullámok) szélessávú internetkapcsolat is, amely alapja
INTERNET BIZTONSÁGI TANULMÁNY
9
egy rádiófrekvenciás vezeték nélküli helyi hálózat (WLAN wireless local area network). Legelterjedtebb formája a WiFi, amely főleg közterületeken, pályaudvarokon, éttermekben, szállodákban található meg, de egyre több család is kiépíti otthonában különösen a hordozható és kézi számítógépeken való internetezés komfortossága érdekében. A harmadik generációs mobiltechnológia (3G) már szintén képes szélessávú internetezés biztosítására, amely jelentős változásokat indított el a felhasználási szokásokban, hiszen a fizikai ponthoz kötött, lokális hálózatok határai kiterjedtek és például egy kézi számítógéppel szinte bárhol lehet internetezni, ahol ezt a lefedettség biztosítja. 2.2.1 Szélessáv a számok tükrében Napjainkban a szélessávú internetelérés térhódítása olyan értelemben befejeződött, hogy szinte teljesen kiszorította, felszámolta a hagyományos dial up alapú elérést. A számok vizsgálata során már igazából csak a szélessáv fajtánkénti bontásában érdemes vizsgálódni. Meg kell jegyeznünk, hogy a mikrohullámú elérés számszerűsítése nagyon nehéz, hiszen egyrészt itt az előfizető számos és mindig változó mennyiségű végfelhasználót takar, másrészt az ilyen hálózatok kiépítését az internetszolgáltatók oldaláról nem lehet mérni. Emiatt ezen elérési mód statisztikai adatai nem kutathatóak. A Nemzeti Hírközlési Hatóság 2009. márciusi adatai alapján az előfizetők száma enyhe növekedést mutat. Az NHH adatai szerint 2004 és 2008 között a szélessávú előfizetők száma több mint hatszorosára nőtt. Az NHH becslései szerint a vezetékes szélessávú és a vezeték nélküli internet előfizetések száma 2008 végén meghaladta a 2,2 milliót. A kábelmodemes előfizetések száma egy év alatt 27,4 százalékkal nőtt, míg az ADSL előfizetések száma 6,7 százalékkal nőtt.
INTERNET BIZTONSÁGI TANULMÁNY
10
Forrás: Nemzeti Hírközlési Hatóság 2008. március és 2009. márciusi adatai
Forrás: Nemzeti Hírközlési Hatóság
Az NRC kutatása alapján – bár nem annyira látványos a növekedés – mégis érdemes kiemelni, hogy az első félévhez képest egyre több háztartásban választják a mobiltelefonon keresztüli internet hozzáférést: az otthoni hozzáféréssel rendelkezők körében már eléri a 3
INTERNET BIZTONSÁGI TANULMÁNY
11
százalékot azok aránya, akik elsődlegesen mobilinterneten keresztül kapcsolódnak otthonukban a világhálóra (a mobilinternetet kiegészítő technológiaként használók aránya ennél természetesen magasabb).
Forrás: TNSNRC InterBus 20062008, Bázis 1569 évesek
A jelenleg nem internetezők 1 százaléka biztos abban, hogy néhány hónapon belül elkezdi használni az internetet, további 5 százalékuk pedig valószínűnek tartja ezt. Ez – és az eddigi trendek – alapján a közeljövőben 23 százalékpontos növekedés várható az internetezők arányában. Az otthoni internet kapcsolattal nem rendelkezők 11 százaléka tervezi, hogy vásárol valamilyen hozzáférést. A jelenleg nem internetezők 22 százaléka gondolkodik az otthoni internet bevezetésén, míg azok körében, akik használják az internetet, de nem rendelkeznek otthoni hozzáféréssel, 34 százalék tervezi az internetkapcsolat kiépítését. Azok, akik döntöttek már a hozzáférés módját illetően, elsöprő többségben valamilyen szélessávú technológia bevezetésében gondolkodnak.
INTERNET BIZTONSÁGI TANULMÁNY
12
2.3 Az internet használat jellemzői Mint arról már a korábbiakban szó esett, a magyar felhasználási szokások nagyon nagy fejlődésen mentek keresztül az elmúlt években. Ez legfőképpen az elérhető információk és szolgáltatások bővülésének köszönhető, de itt természetesen két egymást erősítő folyamatról beszélünk, azaz a felhasználói igények változása is hatott a tartalomszolgáltatókra, az egyes internetes szolgáltatások ki és továbbfejlesztésére. Tekintve, hogy az internet a kommunikációról szól, a kommunikációt pedig emberek „csinálják”, ezért az internet használat jellemzőinek vizsgálatakor semmi másra nem bukkanunk, mint arra, amit az átlagember nap mint nap csinál. Az igazi változás az, hogy az „internet előtti” időkben napi ügyeinket másként intéztük. Lassabban, kevesebb embert elérve és kevésbé anonim módon. Ez utóbbi érdekes és kiemelendő e tanulmány szempontjából, hiszen ez a kulcskérdése a biztonságnak. De erről később bővebben írunk. Az internetezők táborának folyamatos bővülésével párhuzamosan megfigyelhető egyfajta társadalmi átalakulás, a közösségi és személyes kommunikáció változása. Számos tanulmány jelent meg az internet emberi kapcsolatokat átalakító szerepéről. Egyesek kárhoztatják a világhálót, mások magasztalják. Jelen tanulmánynak nem célja, hogy ítéletet mondjon e kérdésben. Itt, e fejezetben három kérdéskört emelünk ki. Bemutatunk néhány adatot arról, hogy valójában mennyi időt töltenek a felhasználók a neten. Megnézzük, hogy milyen tartalmakat, milyen szolgáltatásokat vesznek leggyakrabban igénybe és röviden megnézzük a biztonság szempontjából egyik legfontosabb terület, az online pénzügyek intézésének kérdéskörét is. A PC és az internethasználók aránya, illetve a használat átlagos időtartama (A felnőtt lakosság, a PChasználók, illetve az internethasználók körében)
INTERNET BIZTONSÁGI TANULMÁNY
13
Forrás: GKIeNET – THome – TMobile, 2009
INTERNET BIZTONSÁGI TANULMÁNY
14
A GKIeNET kutatásából a következők derülnek még ki: ●
Az internetet átlagosan napi 2,8 órát használjuk.
●
A munkahelyen több időt töltenek a felhasználók böngészéssel (2,8 óra naponta), mint otthon (1,9 óra).
●
Életkor szempontjából „az új generáció”, a 1829 évesek napi 3,9 órát interneteznek, míg az idősebbek valamivel kevesebbet (3039 évesek 2,2 órát, a 4049 évesek 2,3 órát és az 5059 évesek pedig 2,1 órát).
●
A dolgozók átlagosan 2,8 órát, míg a diákok átlagosan napi 4,2 órát töltenek a világhálón.
●
A települések szerinti bontás már nem tartalmaz nagy eltéréseket. Megyeszékhelyen vagy a fővárosban élők körében 2,93,1 óra, míg a városban, községben élők esetében átlagosan napi 2,6 óra az átlagos használati idő.
Ha a fenti adatokat megvizsgáljuk, akkor jól látható, hogy az átlag felhasználó egy napjából jelentős időt tölt el az internet előtt, ami egyértelműen a tv nézéstől, a könyvolvasástól és az emberi kapcsolatok hagyományos ápolásától, azaz a személyes beszélgetésektől von el időt. Pontos adatok nem állnak rendelkezésre a napi „pihenőidő” kitöltésének változásairól, de az biztosan kijelenthető, hogy az internet jelentősen átalakította az emberek mindennapi életét. Az „internetes tevékenységeket” az NRC piackutató cég legfrissebb, 2008. második féléves kutatási adatai az alábbi diagrammban foglalják össze.
INTERNET BIZTONSÁGI TANULMÁNY
15
Forrás: TNSNRC magyarországi kutatásának adatai
Jól látható, hogy a már megszokott levelezés és információgyűjtés (újságok, vásárláshoz adatok beszerzése, stb.) mellett a személyes kapcsolatok ápolása (telefonálás, csevegés, chat) és a szórakozás is fontos része az internetezésnek. (A kutatások nagy része érthető okokból nem tér ki az ún. felnőtt tartalmak kérdésére, de köztudomású, hogy az ilyen típusú oldalak forgalma is nagyon jelentős.) Ami különösen érdekes, hogy a különféle blogok és fórumok olvasása népszerű, ami az egyén tömegkommunikációs képességét teszi lehetővé. A hagyományos írott és elektronikus média szűrt világához képest ez nagyon komoly változást jelent, hiszen az egyén befolyása a környezetére, a különféle közösségek hatékonyabb szervezésének lehetősége mindenki számára adottá vált. Ez az információáramlás felgyorsulásához, valamint a személyes információk nyíltabbá válásához vezetett. Ez utóbbi pedig a biztonság szempontjából szintén fontos kérdés. Az internet felhasználási módjai közül az internetbiztonság szempontjából egyik legjelentősebb az online pénzügyek (internet banki szolgáltatások és internetes fizetési forgalom) területe. A magyar online bankokról külön fejezet szól. Amit itt fontosnak tartunk kiemelni, az a vásárlások és az ehhez tartozó fizetési forgalom kérdése.
2.4 Az internetes vásárlások nélkülözhetetlen része a fizetés A hatékony és jövedelmező ekereskedelmi tevékenységet végző vállalkozások számára
INTERNET BIZTONSÁGI TANULMÁNY
16
elengedhetetlen az online fizetési lehetőségek kialakítása, melyre számos különféle mód kínálkozik. a) Banki átutalás Előzetes egyeztetés után az internetes áruház kiállít a vásárló számára egy átutalási számlát. E fizetési mód általában megköveteli, hogy a fizetés létrejötte után kerüljön kiküldésre az árucikk. A vásárló számára nem azonnali, ellenben kényelmes megoldás, és ez a bank felé fizetendő utalás díját is jelenti. A nap bármely időszakában létrejöhet a folyamat, viszont a teljesítés a banki átutalási rendszerek befogadásának idejétől függ. A bankkártyás fizetéshez képest előny, hogy a fizetés nincs összegkorláthoz kötve. b) Online fizetés bankkártyával A vásárlás ellenértékének elektronikus úton történő kiegyenlítése. Online kártyás fizetés esetén a virtuális POS helyettesíti az internetes kereskedő honlapján a fizikai boltokban használt bankkártya terminált. A virtuális POS összekapcsolja a kereskedőt a vásárlóval biztonsági protokoll alkalmazásával, valamint ez teremti meg a kapcsolatot a kereskedő és a kártyaelfogadó bank között. Mind a vásárló, mind a kereskedő számára igen előnyös megoldás, hiszen gyors, kényelmes, bármikor igénybe vehető, a bankszámlán lévő összeg mértékéig korlátlan – de a kártya limitjétől függően. A kereskedő biztosítva van, hogy a termék kifizetésre kerül, hiszen a tranzakció megvalósíthatóságának visszaigazolása és a kártyán levő összeg befoglalása azonnal megtörténik. Maga az összeg számlán történő terhelése technikai értelemben azonban nem az interneten keresztül történik. A bank által kibocsátott bankkártya adatainak megadását és a tranzakció engedélyezését nevezzük on line fizetésnek, ám valójában ilyenkor csak jóváhagyjuk és engedélyezzük, hogy az eladó megterhelje a számlánkat, maga a banki tranzakció a bankok elektronikus rendszerein keresztül történik. c) Virtuális pénztárca mikrofizetés Előre befizetett összeg erejéig teszi lehetővé a vásárlást. A vevő számlája bármely online fizetési módszerrel feltölthető (SMS, telefon, bankkártyás fizetés, banki átutalás). Előny, hogy a vásárló bármikor igénybe veheti és feltöltheti virtuális számláját, valamint figyelemmel tudja kísérni annak forgalmát. Hátránya, hogy elég kevés kereskedő fogadja el ezt a megoldást. A szolgáltatás költsége igen magas és a virtuális számla feltöltésekor egy „felesleges” tranzakciót is le kell bonyolítanunk. Hasonló, ám költségtakarékos megoldás a főszámlához kapcsolható virtuális bankkártya, amely a kereskedő számára a bankkártyás fizetéssel
INTERNET BIZTONSÁGI TANULMÁNY
17
egyezik meg, a vásárló pedig banki egyenlegéből ingyen irányíthat át megfelelő összeget a virtuális kártyára, így a vásárláskor nem kell kiadnia az eredeti kártya adatait, csupán egy on line fizetésre fenntartott kártyát használ. A mikrofizetés hazánkban még egyelőre kevésbé elterjedt, de már vannak ígéretes kezdeményezések. A legelterjedtebb a fővárosban és több vidéki városban jellemző parkolás kiegyenlítés. Ezt a lehetőséget az EME Zrt. (Első Mobilfizetés Elszámoló Zrt.) vezette be elsőként a piacra. A parkolás mellett autópályamatrica vásárlásra és hírlap előfizetésre módja van a cég ügyfeleinek. A másik jelentős ügyfélszámmal rendelkező megoldás az Abaqoos, amelyet egyelőre OTP ügyfelei vehetnek igénybe és 23 kereskedő fogadja el ezt a fizetési módot. Emellett még említést érdemel a Magyar Telekom Nyrt., a Pannon GSM Távközlési Zrt., az FHB Kereskedelmi Bank Zrt. és az MPP Magyarország Informatikai Szolgáltató Zrt. közös szolgáltatása a MobilFizetés, amely az EME megoldásához hasonlóan elsősorban „mobilos” megoldás, de szintén a mikrofizetési szolgáltatások terén lévő űrt célozta meg betölteni. d) Mobilfizetés Technológiailag az online megoldásokhoz, csatorna szerint azonban a mobiltelefonhoz tartozó fizetési megoldás. A mobilfizetés részleteit a mobilkereskedelemről szóló 7. fejezetben fogjuk tárgyalni. A magyarok ma még jellemzően a készpénzes fizetést részesítik előnyben. Kivételt a külföldi honlapokon történő vásárlás, a kis összegű tranzakciók (mikrofizetések), a letölthető vagy nem fizikai termékek vásárlása (pl. autópálya matrica), valamint azok a magyar weboldalak jelentik, amelyek „rákényszerítik” a vásárlót az elektronikus fizetésre (pl. fapados légitársaságok). A magyar webáruházak jellemzően nem is ösztönzik az elektronikus fizetés elterjedését. Ennek oka az, hogy a megvásárolt termékeket többségében futárszolgálattal küldik ki az ügyfeleknek, és a futár az elektronikus fizetés költségeinél kedvezőbb díjakért gyűjti be a vásárlóktól az ellenértéket, természetesen készpénzben. Ez a „hagyományos” módszer megfelel a vásárlók igényeinek is, akik egyelőre félnek megadni bankkártyáik adatait az interneten. Ez az elővigyázatosság egyrészt dicsérendő, hiszen az internetes pénzügyi visszaélések legfontosabb célpontja a bankkártya, de egyben túlzó is, hiszen a kártyás csalások kezelésére hatékony módszerek terjedtek el a világban (internetkártya termék, különböző visszaélést, gyanús felhasználási módot figyelő rendszerek bevezetése, sms
INTERNET BIZTONSÁGI TANULMÁNY
18
engedélyezés stb.). Külön problémát jelent a mikrofizetések (5 000 forintot el nem érő fizetések) kérdésköre is. Ezen belül jellemzően azon termékek értékesítése problémásabb, amelyeket nem kell az ügyfél számára postázni (lottó, zeneszámok letöltése, fizetős újságcikkek hozzáférése stb.). Ma itt alapvetően a bankkártyás fizetés és az emelt díjas sms jelent megoldást, de mindkettő nagy költséget jelent az eladó számára, így azok beépítése az árba már túlságosan megdrágítja az egyes szolgáltatásokat. A pénzügyi kultúra fejlődésének egyik kulcseleme a készpénznélküli tranzakciók arányának növelése, így a hazai pénzintézeteknek fontos feladata egyrészt a külföldön már bevált módszerek meghonosítása, másrészt az ismeretterjesztés. vPos adatok MNB, tranzakciók száma
Forrás: MNB
INTERNET BIZTONSÁGI TANULMÁNY
19
2.5 A magyar internet fejlettsége, helyünk a világban Az internet magyarországi fejlettségét vizsgálva alapvetően két adathalmaz nemzetközi vonatkozását tartjuk érdemesnek kiemelni. Az egyik az európai elterjedtségi adatok vizsgálata, a másik néhány használati szokással kapcsolatos kutatási eredmény, amely jól tükrözi helyzetünket a világban. Az európai adatok kutatása során számos megközelítéssel és adattal találkoztunk. Ezekből szűrtük le az alábbi táblázatban szereplő számokat, amelyből az látható, hogy potenciálisan hány ember éri el és használja a világhálót.
Internetezők száma a lakosság arányában 2008. évi adatok
Jól látható, hogy bár a magyar lakosság több mint fele tekinthető internetezőnek, (ami hatalmas fejlődés, hiszen pár éve még ilyen adatokban reménykedni sem mertek az illetékes szakemberek), még így sem érjük el az EU átlagát. Igaz persze az is, hogy a Visegrádi országok (kvázi a mi régiónk) közel azonos fejlettségi adatot mutatnak, azaz a földrajzi
INTERNET BIZTONSÁGI TANULMÁNY
20
értelemben szűkebben vett viszonyítás tekintetében jól állunk. Az EU átlag alattiság ellenére nem lehet okunk a panaszra. A felhasználói szokások alapján a magyar helyzetet legjobban a World Internet Projekt legfrissebb 2009es adatai mutatják be.
Forrás: World Internet Project: International Report 2009
Az internet mint információ forrás tekintetében a magyarok jól látható módon respektálják a világhálót. A felhasználók több mint kétharmada tartja fontos forrásnak az elérhető információkat. A vizsgált országok közül a legfontosabb forráskénti megjelölés kiemelkedő, amely biztató a jövőt illetően.
INTERNET BIZTONSÁGI TANULMÁNY
21
Forrás: World Internet Project: International Report 2009
A felhasználók korosztályonkénti bontásában a vizsgált országok között már nem szerepelünk jól. Főleg az idősebbek azok, akik kevésbé aktívak más országok hasonló korú polgáraihoz viszonyítva. Ami biztató, hogy a már korábban emlegetett új (netpolgár) generációnk adatai világviszonylati összehasonlításban is megállják a helyüket. Vannak területek, ahol az elmúlt évek fejlődéséhez képest is rosszul állunk.
INTERNET BIZTONSÁGI TANULMÁNY
22
Forrás: World Internet Project: International Report 2009
Az online vásárlásokat vizsgálva szinte megdöbbentő, hogy Csehországhoz viszonyítva milyen magas itthon a webáruházak elutasítottsága. Ha Kína mellett (ahol a személyes vásárlásnak kulturálisan a világ más részeitől eltérő hagyományai vannak), Makaót, Szingapúrt (amelyek a kínai kultúra mellett városállamok és ebből fakadóan szintén más vásárlási szokások alakultak ki) nem vesszük figyelembe, akkor is szembetűnő Magyarország fejletlensége e téren. Úgy ítéljük meg, hogy ennek okai legfőképpen a bizalmatlanságban keresendők, ami történelmi okokból nagyon jellemző az országra.
INTERNET BIZTONSÁGI TANULMÁNY
23
Forrás: World Internet Project: International Report 2009
Szintén szembetűnő a fejletlenségünk az online számlafizetés területén. Az adatokat vizsgálva jól látható a korreláció az online vásárlási és számlafizetési szokások között. Ez utóbbi adat sajnos arra vezethető vissza, hogy bár a bankok lakossági ügyfelei nyitottak lennének a szolgáltatásra (azaz a fentinél kedvezőbb adatokat láthatnánk), a hazai infrastruktúra az eszámlafizetés szabványának, a fizetésforgalmi szereplők megállapodásának hiánya sajnos eddig komoly akadályt jelentett egy országos méretű szolgáltatás kialakítására. Sok egyéni kezdeményezés van, de még nem beszélhetünk kiforrott eszámla fizetési szolgáltatásról.
INTERNET BIZTONSÁGI TANULMÁNY
24
3 A magyar internet banki piacról A magyar internet bankok kialakulása és fejlődése a bankrendszerünk történetének egyik meghatározó fejezete. A rendszerváltás utáni években hatalmas különbség volt a hazai és a nyugati bankok termékkínálata, kiszolgálási kultúrája és informatikai ellátottsága között. Ennek köszönhetően a magyar ügyfelek pénzügyi kultúrája, általános banki ismeretei mélyen elmaradtak a nyugati országok polgárainak bankhasználati szokásaitól. A magyar ügyfeleknek egyszerűen nem volt lehetőségük megtanulni mindazt, amit nyugaton már napi rutinként éltek meg az ügyfelek. Az internet térhódítása, a kommunikáció felgyorsulása, a világháló képessége „tömegek oktatására” olyan eszközt adott a magyar bankok kezébe, amely hatékonynak bizonyult a tudásbeli hátrány leküzdésében. Ugyan még ma sem dőlhetünk hátra, van teendő bőven e téren, de a 10 évvel ezelőtti állapotokhoz képest nagyot léptünk előre. Ebben a folyamatban nem kis szerepe volt az internet bankoknak, amelyek láthatóvá, átláthatóvá és érthetőbbé tették az amúgy az ügyfél számára nagyon száraz és unalmas banki kiszolgálást. Külön erényük, hogy sorban állás nélkül képesek az ügyfelek kéréseit megoldani, ami vonzóbbá tette a banki termékek „fogyasztását”, mivel alapvetően a pénzügyek intézését az ügyfelek „szükséges rosszként” élik meg. Az a néhány perc, amit netbankban töltenek, nem „idegesítő”, sőt a többség kifejezetten „élményként” éli meg. Az internet bankok előtt is létezett (és ma még nyomokban fellelhető) elektronikus távkiszolgálás; igaz, ehhez egy, a bank által átadott szoftvert kellett az ügyfél számítógépére telepíteni. Az adatkapcsolat telefonvonalon (majd később neten is) jött létre a két fél között. Használata ott vált nehézkessé, hogy a bankot így gyakorlatilag csak arról a gépről lehetett elérni, amelyikre ezt a programot feltelepítették. Ez a gyakorlat a munkahelyi és a külföldi használatot erősen korlátozta, ráadásul az informatikai háttere sem volt kellően szabványos, ezért sokkal jellemzőbbek voltak az üzemzavarok, amelyek elkedvetlenítették a felhasználókat. Az első internetet használó bank az azóta a CIBbe beolvadt InterEurópa Bank volt. 1997 ben tette lehetővé, hogy a telefonvonal mellett az internetet is használni lehessen mint kommunikációs csatornát. Ez a megoldás még nem volt valódi internet bank, csak a klasszikus PC bank „internetes lábának” megnyitása történt meg ekkor. Az első igazi internet bankra 2 évet kellett várni. Az OTP 1999ben indította el szolgáltatását. Őt követték a
INTERNET BIZTONSÁGI TANULMÁNY
25
Raiffeisen, CITI és a CIB. Szinte egyszerre indították útnak ezt a fajta kiszolgálást ügyfeleik számára. Az első megoldások technikai értelemben sokban különböztek a maiaktól. A korai rendszerek jellemzően valamely telepített alkalmazás, vagy alkalmazás részlet segítségével működtek (például ún. Plugin alkalmazása), melynek célja részben az akkor szokásos legfeljebb 56 vagy 2x56 kbit/s (lásd ADSL) adatátviteli kapacitás okozta lassú működés ellensúlyozása, részben a már akkor is vélelmezett és félt adatbiztonsági kérdések hatékony kezelése volt. Az internet banki szolgáltatások mellett hamarosan felsorakozott az internet brókeri, majd a biztosítói kiszolgálást támogató megoldások sora. Ezek már jellemzően, részben az adatok kevésbé érzékeny volta miatt, részben a zárt ügyletek okán (lásd értékpapír vásárlás legfeljebb befektetési kockázatot tartalmazott, de valós vagyonvesztést eredményező visszaélésre alkalmatlan volt), teljes HTML alapú megoldások voltak. A kiszolgálás ezen teljes körűvé válása mellett egyes nemzetközi szervezetek már abban az időben is javaslatokkal éltek az internet alapú szolgáltatások biztonságossá tételére. A pénzintézetek elsődleges célja a sokcsatornás kiszolgálás bevezetésével az ügyfélkör számára az egyedi igényeknek megfelelő módon kiválasztott csatornán a szolgáltatás és termékportfolió minél teljesebb körű közvetítése volt. Ez részben technikai, részben szabályzói korlátok miatt a korai fázisban csak részlegesen valósulhatott meg. Mára nem egyedi az olyan magyarországi pénzintézet, amely száz feletti számú szolgáltatást nyújt interneten keresztül ügyfelei számára. Ezek a szolgáltatások csupán egy része nevezhető biztonsági szempontból kritikusnak, ugyanakkor tényként el kell fogadni, hogy többségük legalább ügyféladatot kezel és utaztat az internet segítségével, ami még így is legalábbis érzékeny adattovábbításnak minősíthető. A pénzintézetek ennek megfelelően szolgáltatásaikat jellemzően két nagy csoportba sorolva nyújtják az interneten. Az első csoportba a honlapon keresztül megvalósítható, jellemzően termékekkel vagy szolgáltatás igénybevétellel kapcsolatos fejlesztéseket sorolhatjuk. Ezek egyszerűbb, az ügyfelek által sokszor szinte észrevehetetlen (pl. SSL) kommunikációs csatornavédelemmel ellátott szolgáltatások. Az ügyfelek jelentős része ezeket a szolgáltatásokat nem is sorolja az „internet bank“ gyűjtőnév alá – pedig igencsak hagyományos értelembe vett banki szolgáltatásokról van itt is szó. A másik csoport az ügyfelek számára a már igénybe vett pénzintézeti szolgáltatásokkal kapcsolatos aktív tevékenységek köre, melyek során rendelkezni tudnak a használt termékekkel kapcsolatban. A köznyelv jellemzően ezeket nevezi internet banki vagy brókeri szolgáltatásnak. A továbbiakban ezeket a szolgáltatásokat
INTERNET BIZTONSÁGI TANULMÁNY
26
vizsgáljuk az egyes magyarországi jelentősebb pénzintézeteknél, hogy képet kaphassunk a bankok működési modelljéről. A fejezetben felsorolt bankok internetes felületeinek használatát alapvetően saját tapasztalatok, illetve az elérhető demo verziók, kezelési útmutatók alapján értékeltük (desk research). A felmérés során a funkcionalitás elemzésénél az egyes bankok általános funkcióit, és ezen felül egyéb szolgáltatásaikat vettük fegyelembe. Az internet banki szolgáltatások fejlettsége mára olyan szintre került, hogy sok funkció alaptevékenységnek nevezhető a kiszolgálásnyújtás szempontjából:
Számlaegyenleg közlése
Számlatörténet: Egy adott számlán végrehajtott tranzakciók nyomon követését szintén minden bank kínálja, de a számlatörténet köré felfűzött egyéb információk terén jelentős különbségek vannak. Pl.: exportálási lehetőséget a CIB Bank, az OTP Bank, MKB Bank megoldásaiban találtunk. Kiemelnénk a Raiffeisen Bank ilyen típusú szolgáltatását, ahol személyre szabható a lekérdezési felület, illetve sablonként el is menthetők a lekérdezési űrlapok.
Forint és deviza átutalás
Betétlekötés/felbontás: Mindenhol elérhető a betétlekötési opció, viszont az egyes betétek felbontásához az Erste Bank, UniCredit Bank, OTP Bank és a Raiffeisen Bank esetében már más csatornát kell igénybe vennie a felhasználónak.
Az alapvető, mindenki által kínált funkciók mellett biztosított további szolgáltatások alkalmasak az ügyfelek adott pénzintézethez való erősebb kötéséhez. Vagyis ezek a funkciók egyfajta versenyhelyzet teremtésére is képesek.
Bankkártya funkciók: A megvizsgált bankok közül ilyen plusz kényelmi funkciót nyújt a Budapest Bank, CIB Bank, K&H, az MKB Bank és az OTP Bank
Felhatalmazások kezelése – internet bankon keresztül csoportos beszedések kezelése: Budapest Bank, CIB Bank, UniCredit Bank, K&H, OTP Bank
Befektetési funkciók. Kétfajta megoldással találkozhatunk. Egyik megoldás szerint a bróker funkciók külön alkalmazásban érhetők el (Budapest Bank, Erste Bank), vagy integráns része az internet banknak (CIB Bank, UniCredit Bank, OTP Bank)
Mobilegyenlegfeltöltés (PrePaid): Budapest Bank, CIB Bank, K&H és az OTP Bank nyújt lehetőséget a feltöltő kártyával rendelkező mobiltelefon tulajdonosok részére.
INTERNET BIZTONSÁGI TANULMÁNY
27
Termékigénylések lehetősége: Termékigénylések terén a bankok nem használják ki igazán az Internet adta lehetőségeket. Egyelőre az online kártyaigénylést a Budapest Bank, CIB Bank, K&H, MKB Bank és a Raiffeisen Bank biztosítja, míg hiteligénylési lehetőséget a CIB Bank, Erste Bank és az OTP Bank alkalmazásában találtunk. Mobilbank (információs szolgáltatás) igénylésére és a paraméterek beállítására az UniCredit Bank, CIB Bank, Raiffeisen Bank és a K&H nyújt lehetőséget.
Autópálya matrica vásárlása – OTP Bank
PDA szinkronizáció Budapest Bank
Postai címre történő átutalás CIB Bank, UniCredit Bank, OTP Bank
Speciális EUs deviza átutalás – Erste Bank, UniCredit Bank
EBPP (elektronikus számlafizetés) megoldás integrálása – OTP Bank
Mielőtt rátérnénk a legfontosabb szereplők megoldásainak tárgyalására, nézzük meg az internet banki piacot, annak sajátosságait! Egyrészt meg kell különböztetni a felhasználókat a számlatulajdonosoktól (szerződőktől). Ez azért fontos, mert egy bankszámlához többen férhetnek hozzá (pl. egy vállalkozás pénzügyeit többen intézhetik), és egy felhasználó több számlához is hozzáférhet (pl. a cége és a magánbankszámlája felett is rendelkezik). Másrészt különbséget kell tenni az aktív és passzív szerződők között. Nincs közösen kimondott definíció ennek mérésére, de általában azt tekintjük aktívnak, aki havonta legalább egyszer kapcsolatba lép a bankjával az internet bankon keresztül. Létezik még aktív és passzív művelet is. Aktívnak azt hívjuk, ha valamilyen megbízás kerül benyújtásra, passzívnak pedig azt tekintjük, amikor csak információ lekérdezése történik. Biztonság szempontjából természetesen minden tranzakció különösen védendő, hiszen egy számlatörténet illetéktelen kezekbe kerülése is kártékony, de kiemelten védendők az ún. vagyonvesztéssel járó műveletek. az átutalások. A vagyonvesztés kifejezés itt természetesen az illetéktelenek által elkövetett tranzakció esetén állhat fenn. A támadások igazi célja ezen funkció használata, de erről majd a későbbiekben bővebben szólunk. Fontos minőségi kritérium a funkcionalitási kör kérdése. Annál fejlettebb egy internet bank, minél több mindent lehet rajta keresztül elintézni. Ez a mutató egyébként többnyire nem magát az internet bankot, hanem a bank informatikai működésének fejlettségét jellemzi, hiszen minél több szolgáltatást képesek kiengedni a netre, annál szabványosítottabbak és
INTERNET BIZTONSÁGI TANULMÁNY
28
szervezettebbek a háttérfolyamatok. Ezek pedig nemcsak a netes, hanem a telefonos és fiókos kiszolgálást is gyorsabbá és egyszerűbbé teszik, ami minden ügyfél álma. Fontos minőségi mutató még a gyorsaság kérdése is. Itt elsősorban nem az internet bank működési sebessége a fontos, hanem a valódi nyitva tartás, a megbízások teljesülésének és a lekérdezett adatok naprakészségének gyorsasága érdekes. Hiába adunk be szombaton délután interneten egy átvezetési megbízást a folyószámlánkról a kártyaszámlánkra, ha az csak hétfő reggel teljesül. Részünkről valóban csak két perces ügyintézésre van szükség, nem rabolják az időnket, de érthető, hogy ezzel a végeredménnyel nem minden szituációban tudunk elégedettek lenni. Az internet banki piac értékelése igen bonyolult és részletes elemzésen keresztül mutatható be minden szempontra kiterjedően. Jelen tanulmányban (tekintve, hogy nem ez a fő témája) csak egy rövid átfogó képet adunk erről a területről, amelyet tehát a fenti öt szempont (szerződésszám, aktív és passzív felhasználók, tranzakciók száma, funkcionalitások, nyitva tartás) alapján mutatunk be.
Szerződések (ügyfelek) száma A szerződések számának vizsgálatakor az ügyfelek típusa szerinti, azaz lakossági és vállalati bontást alkalmazunk és 2000től vizsgáljuk e mutató alakulását. Fontos megjegyezni, hogy egy ügyfélnek több banknál is lehet számlája, azaz az abszolút számokban ennyi torzítás kifejeződik, de ennek szűrésére a bankszámla tulajdonosok adatainak bizalmassága miatt nincs mód.
INTERNET BIZTONSÁGI TANULMÁNY
29
Forrás: saját kutatás
INTERNET BIZTONSÁGI TANULMÁNY
30
A számokból jól látható, hogy a 2000. évi néhány tízezres első fecskékből álló felhasználói kör mára több mint 2 milliós táborrá nőtte ki magát. Talán ez a grafikon példázza a legjobban, hogy a magyar társadalomban milyen hatalmas változás ment / megy végbe az internet megítélése, elfogadottsága és népszerűsége tekintetében ebben az évtizedben. A pénzügyek online ügyintézése azt jelzi, hogy a népszerűség mellett nagy a bizalom is az internet bankok iránt. Ez mindenképpen jó hír a bankok számára, de egyben felelősség és feladat is, ami a biztonság kérdését illeti. Felelősség, mert az ügyfelek megbíznak a bankok szolgáltatásaiban, annak biztonságosságában, azaz a szolgáltatójuk megoldását elfogadják. Feladat, hiszen a biztonsági szintet folyamatosan fent kell tartani, az újabb kihívásoknak meg kell felelni az ügyfelek biztonsága és az internet bankokba vetett bizalom fenntartása érdekében. Ebben a feladatban segít tanulmányunk következő néhány fejezete. A vállalati adatokat szemlélve a lakosságihoz hasonló növekedési ütemet és penetrációt figyelhetünk meg. Ennek oka elsősorban az, hogy az internet bankot jellemzően a kisebb cégek (KKV) szektor használja aktívan. Ezen cégek életében a banki kapcsolatokról a tulajdonos vagy pedig a pénzügyi, gazdasági vezető személyesen hoz döntést, tehát jellemzően egy emberen múlik az internet bank használatának bevezetése. Ennek következtében a döntéshozó gyakran ugyanolyan magatartásformát tanúsít, mintha lakossági ügyfél lenne, azaz kijelenthető, hogy a vállalati körben az internet bank elterjedésének előfeltétele ugyanúgy az internet általános elfogadottsága volt, mint a privát ügyfélkörben. A növekedést persze a bankok számos eszközzel segítették és ösztönözték. A reklámon és személyes vagy telefonos felkínáláson túl az árazásban is jelentős engedményeket tettek. A havi számlavezetési díjak, valamint az átutalások árának csökkentése – amivel gyakorlatilag megosztották az ügyfelekkel az élőmunkaerő költségen elért megtakarítást – kedvező fogadtatásra leltek az ügyfelek körében. A vállalatok közötti terjesztést ezen felül természetesen az is segítette, hogy a cégek a saját életük, ügyvitelük, marketing tevékenységük, ügyfél és partner kapcsolattartásuk megkönnyítése érdekében elkezdték használni az internetet, és a bankok első generációs elektronikus csatornája (telefonos kapcsolaton alapuló telepített programos házibank) sem volt ismeretlen számukra. A cégek a lakossági ügyfeleknél jóval gyakrabban lépnek kapcsolatba a bankokkal, folyószámlájukon a tranzakció mennyisége magasabb.
INTERNET BIZTONSÁGI TANULMÁNY
31
Forrás: saját kutatás
Aktív és passzív felhasználók Ahogy azt korábban már írtuk az általános íratlan szabályok szerint aktív felhasználónak az tekinthető, aki havonta legalább egyszer belép az internet bankjába. Az egyes bankok ügyfélállományában meglévő aktívpasszív arány szigorúan bizalmas, így féltve őrzött adat. Ennek oka alapvetően kettős. Egyrészt minden bank meghirdet időnként belső értékesítési versenyt, így adott esetben olyan ügyfelek is szerződnek, akik csak ritkán tervezik e csatorna használatát, azonban pénzükbe nem kerül, a rábeszélés ezért könnyen megteszi hatását. Nyilván ennek eredménye tükröződik az aktívpasszív mutatóban, emiatt szemérmesek a bankok ezen adatok közreadásánál. Másrészt a mutató arra is jó indikációt ad, hogy az adott bank ügyfélköre mennyire aktív a folyószámláján. Sok pénzintézet „szenved” amiatt, mert ügyfelei csak a hitelért vagy egy megtakarítás miatt válnak nála folyószámla tulajdonossá, így azt nem vagy csak nagyon keveset használják. Ez alapvetően meg is határozza, hogy az interneten keresztül milyen gyakorisággal lépnek kapcsolatba a számlavezetőjükkel és így az aktívpasszív mutató is számos dologra enged következtetni. Az általános íratlan szabályok szerint, ha az aktívak többen vannak, mint a passzívak, akkor már elfogadhatónak, jónak mondható az adott bank mutatója ebben a tekintetben.
INTERNET BIZTONSÁGI TANULMÁNY
32
Felmérések során erről az értékről a bankok csak úgy nyilatkoznak, hogy forrás és konkrét adat nem nevezhető meg. Amit tudni lehet, hogy a nagyobb ügyfélkörrel rendelkező bankok az 50 százalékos határ környékén vannak, míg a kisebbek jóval ezen érték felett. Összességében elmondható, hogy a magyar bankok túlnyomó többsége jól teljesít ezen mutató alapján.
Tranzakciók száma Az internet bankokon keresztül lebonyolított ügyletek visszamérése minden bank belső statisztikai rendszerében más és más definíciók alapján történik. Emiatt összevetésük meglehetősen komplikált. Alapvetően a tranzakciók számánál minden funkció használatát szokás mérni, azaz egy egyenleg lekérdezése, annak számossága is fontos az adott pénzintézet számára, hiszen minden ilyen „párbeszéd” az ügyféllel automatikus, élő munkaerőt kímélő, azaz költségmegtakarítást jelent. Emiatt fontos nemcsak az internetes csatorna abszolút számainak vizsgálata, hanem azok összevetése a többi kiszolgáló csatorna (főleg a bankfiók és a telefonos ügyfélszolgálat) hasonló adataival. Ez mutatja meg ugyanis, hogy az adott bank milyen fejlettséget ért el a napi rutinkiszolgálás elektronizáltságában. Értelemszerűen minél többet szolgál ki teljesen automatizálva, annál jobb eredményei vannak e téren.
Funkcionalitások A funkcionalitások gazdagságának vizsgálatakor jól látható, hogy a CIB és az OTP kínálja a legtöbb internet bankon keresztül elvégezhető tranzakciót. Ők a két legrégebbi szereplői a piacnak és mindkét bank nagy gondot fordít nemcsak a szolgáltatás színvonalára, hanem a biztonságos használatra is. Az összehasonlító elemzés részletei a következők:
INTERNET BIZTONSÁGI TANULMÁNY
33
Funkcionalitás kutatás szűkítése
Forrás: saját kutatás
INTERNET BIZTONSÁGI TANULMÁNY
34
Nyitva tartás A nyitva tartás kérdése a benyújtott megbízások teljesítését meghatározó tényező, amely nagyban befolyásolja az adott internet bank minőségét. Az elvárás az internetes szolgáltatásokkal szemben az, hogy lehetőség szerint 7 x 24 órában működjenek. A magyar internet bankok ennek eleget is tesztnek, de csak látszólag. Az alábbi táblázatból jól látható, hogy a nagyobb bankok közül csak három (Budapest Bank, CIB, MKB) képes a valódi nyitva tartásra, azaz nemcsak befogadja, hanem teljesíti is a megbízások zömét. Nem mindegy, hogy ha szükségünk van a bankbetétünkben tartott pénzre szombaton egy nagyobb bevásárláshoz és ezért azt feltörjük, akkor mikor jutunk a pénzünkhöz!
Forrás: saját kutatás
3.1 A hazai internet banki piac szereplői Budapest Bank A bank időben kissé lemaradva a többi szereplőtől lépett az internet bankot szolgáltató szervezetek sorába. Ugyanakkor az elmúlt évek során folyamatos innovációval és kommunikációval a Budapest Bank igyekezett szolgáltatását vezető pozícióba helyezni. Ennek hatására az elmúlt egykét évben lezajlott funkcionális fejlesztések lehetővé tették a Budapest InternetBank számára, hogy a piac meghatározó szereplőihez tartozzon. Általánosságban elmondható, hogy a szolgáltatás designja illeszkedik a bank általános arculatához, a kezelőfelületen megjelenő gombok, feliratok letisztultak, érthetők. A szolgáltatás biztonsági szintjét és működőképességét a Budapest Bank mögött tulajdonosként álló GE sztenderdjei garantálják. A bevezetendő funkcióknak minden esetben ezen vizsgálatokon át kell esnie.
INTERNET BIZTONSÁGI TANULMÁNY
35
A bank innovációs készségét mutatja, hogy az elmúlt évek során két mobil szolgáltatóval újfajta bankolási technika elterjesztésével is megpróbálkozott: a SIM applikáció alapú mobilbank bevezetésével. Mára be kell látnunk, ez a megoldás sok gyengesége miatt nem mutatkozott életképesnek. A Budapest Bank internet banki szolgáltatásának erőssége a többszintű biztonsági megoldás, a PDA szinkronizációs lehetőség, a többes aláírás kezelése (vállalatoknak fontos), a kötegelt átutalási lehetőség biztosítása. Ugyanakkor nem integrált teljesen az értékpapír szolgáltatás, nincs online igénylés a rendszer használatával kapcsolatban, és a vállalati és lakossági kiszolgálás elkülönül egymástól, nincs átjárás közöttük. CIB Bank Az olasz tulajdonban levő pénzintézet a második hullámban vezette be internet banki szolgáltatását, azonban hamar felvette a versenyt az első piacra lépőkkel. Mára az OTP mellett az egyik leginnovatívabb szereplő az internet banki piacon. Alkalmazásuk 2001ben elnyerte az "Év legígéretesebb Internetes Bankja díjat, illetve többször elnyerte „Az év internetes bankja Magyarországon” díjat (20022003). A „MasterCard Az év bankja” program a Magyarországon működő kereskedelmi bankok versenyében „Az év direktbanki szolgáltatása 2006” és a „Az év lakossági elektronikus banki szolgáltatása 2008” díjat nyerte el a CIB. A Privátbankár.hu szervezésében pedig a CIB Internet Bankját aranyfokozattal illették („Legjobb Lakossági Internetbank 2008”). A bank – hasonlóan például a Raiffeisen Bankhoz – internetes megjelenését IT oldalról nem önálló alkalmazások megvalósításával oldotta meg, hanem egy erre alkalmas – és mind a honlap, mind az internet banki funkciókat támogató – integrált portálrendszer használatával. Ezáltal a CIB internet alapú szolgáltatásai nemcsak internet bankjával, hanem internetes portáljával is már korán a legfejlettebb szereplők közé számítható. A fejlesztési koncepciónak megfelelően szándékuk szerint banki, pénzügyi portált alakítottak ki, annak valós kommunikációs értelmezésében. Gazdag funkcionalitással találkozhatunk, a lakossági és vállalati ügyfelek egyetlen azonosító segítségével intézhetik online bankügyeiket. Termék igénylési lehetőségeket is biztosít a felhasználók számára (pl.: bankkártya, bevásárló kártya, hitelek). A portálon igénybe vehető szolgáltatások azonosítási módszere igazodik az egyes funkciók bank által megítélt kockázati szintjéhez: egyszintű (User ID + jelszó), illetve kétszintű (User ID + hardver token), valamint a belépésről küldött „biztonsági” SMS értesítések mellett
INTERNET BIZTONSÁGI TANULMÁNY
36
használhatók a funkciók. Ezen azonosítási módozatok közül az egyfaktoros azonosítás a mai biztonsági elvárások mellett már gyengének minősíthető – de vélelmezhetően ennek alkalmazását egyelőre a bank kockázatkezelése még megfelelőnek tartja. A kétszintű azonosítás esetén a hardver token használatával magasabb biztonsági szint érhető el az egyfaktoros autentikációval szemben, mert a belépéskor, illetve a tranzakció jóváhagyásakor PINkód beütésével kért, és a token által adott jelsorozat (egyszer használatos jelszó) csak egy percig érvényes. Emiatt a gyors „elévülés” miatt egy ManintheMiddle (MitM) támadás esetén sem sokat tud vele kezdeni a támadó, még akkor sem, ha ennyi idő alatt ki tudná nyerni a titkosított adatfolyamból (jóllehet ma már több technika létezik rá, hogy még titkosítás előtt lehallgassák és felhasználhassák, de egyelőre nem ez a jellemző támadási mód hazánkban). Egy kliens oldali ManintheBrowser (MitB) támadás ellen viszont ez vagy más kétfaktoros autentikáció sem védi meg azonban a felhasználót. A CIB interneten nyújtott szolgáltatásainak erősségeként említhető meg a széleskörű funkcionalitás (banki és befektetési), az interaktív demo, többes aláírás és kötegelt átutalás biztosítása, a termékigénylési lehetőségek megléte, a különböző ügyfélcsoportok (pl.: lakosság, kisvállalat) közös és egységes azonosítóval való szolgáltatás igénybevételi lehetősége, valamint a több csatornán át igényelhető hozzáférés. Gyengeségként kell megállapítanunk, hogy az érzékeny banki szolgáltatásokat intéző funkciók igénybevételéhez alkalmazás letöltése kötelező (Java kliens). A CIB folyamatosan bővíti interneten keresztül nyújtott szolgáltatásait, minden évben valamely új funkcióval bővítve azt. 2006ban került bevezetésre a CIB Internet Bank Klub, amely keretében számos webáruházban vásárolhatnak kedvezményesen az ügyfelek. A mobiltelefonok fejlődésével lehetővé vált technikai alapokon 2008 folyamán új mobilbanki szolgáltatást vezettek be Magyarországon elsőként a piacra, amely a mobiltelefon böngészőjére támaszkodva az internet bank egy „lebutított”, de rendkívül ügyfélbarát felületén keresztül nyújt tranzakciós és információs szolgáltatásokat, az ügyfél eredeti azonosítási módszerét megtartva. A CIB és az InterEurópa Bank egyesülése után a szerződött ügyfelek száma 2008 végén meghaladta a 270.000 főt. Citibank A Citibank internet banki megoldása nagyon eltér az amerikai anyabank hasonló szolgáltatásától. A magyarországi megoldás funkciógazdagsága, felületének átláthatósága
INTERNET BIZTONSÁGI TANULMÁNY
37
és ügyfélbarát volta elmaradt az USAban bevezetett megoldástól. Egyedi az eszámla kivonat kérésének lehetősége, ami pozitívumként értékelendő. A bankon belüli tranzakciók azonnal teljesülnek, ami szintén jó dolog, azonban nincs befektetési és hiteligénylési lehetőség, és hiányzik a csoportos megbízások felvitele, kezelése. A bejelentkezéskor egyedi azonosítási módszerként a Citibank virtuális billentyűzetet kínál a jelszavak beírásához, védve így a felhasználót az esetleges keylogger programoktól. Ez nagyon praktikus, azonban a statikus jelszó használata mellett hasznos lenne dinamikus jelszóra is lehetőséget biztosítani. Meg kell jegyeznünk azonban, hogy a virtuális billentyűzet már nem véd a keyloggerek legújabb generációjával szemben, amelyek az egérmozgást is képesek rögzíteni és titkosítva elküldeni a támadó címére. ERSTE Bank Az ERSTE bank Magyarország lakossági kiszolgálásának egyik meghatározó szereplője – ügyfélszám tekintetében mindenképpen. Ennek megfelelően a bank számára is kötelezettségként fogalmazódott meg internet banki szolgáltatás biztosítása ügyfelei számára. A bank internetes megjelenése nem nevezhető szakmai oldalról kiemelkedőnek, mégis a megoldás újszerűsége megemlítésre kell, hogy kerüljön – ugyanis a piacon elsőként egy közös szolgáltatás (banki oldalról kvázi white label) megoldással alkotott újat: együttműködésben létrehozta az [origo] klikkbank szolgáltatást. A rendelkezésre álló adatok alapján az így megjelent szolgáltatás nem mondhat túl nagy sikereket magáénak (néhány ezer felhasználóval rendelkezik csak), de értékelendő az a törekvés, hogy a lehető legtöbb igénylési folyamatot elektronizálták, illetve a fiókhálózatot is felkészítették arra, hogy az így beérkező igényléseket előnyben részesítsék. Gyengíti viszont inkább a megítélést, hogy mindezt a saját nevük alatt futó termék esetében nem tették meg. Honlapjuk meglehetősen egyszerű, de az információk könnyedén elérhetők. A szolgáltatás erősségeként kell megemlíteni az internet szolgáltatás online igénylésének, valamint [origo] klikkbankban folyószámlahitel és személyi kölcsön igénylés lehetőségét, valamint az SMS aláíró jelszó (vagy SMS jelszó – A bank az ügyfél azonosítására, illetve a tranzakció megerősítésére vissza igazoló SMSt küld az ügyfél részére, ami tartalmaz egy jelszót, amivel az ügyfélnek meg kell erősíteni a bank felé a megbízást. Az SMS jelszó általában az ügyfél által indított tranzakció adataiból képződik bizonyos algoritmusok alapján.) alkalmazását – bár ez utóbbi szinte mármár alapszolgáltatás. Ugyanakkor gyengeségként jelentkezik, hogy nincsenek bankkártyával kapcsolatos online funkciók,
INTERNET BIZTONSÁGI TANULMÁNY
38
külön alkalmazással szolgálja ki a bank lakossági és vállalati ügyfeleit, teljesen elkülönül az internet bróker szolgáltatás. Az Erste agresszív növekedési ütemének támogatása mentén érthető volt és újszerű megközelítés az [origo] klikkbank bevezetése (2006. március). E kezdeményezésen kívül nem tekinthető innovatív piaci szereplőnek, internetes szolgáltatásai sem integráltak, általánosságban piackövető magatartást tanúsítanak. K&H Bank A bank Magyarország egyik meghatározó pénzintézete. Ügyfélköre mind a lakossági, mind a vállalati ügyfélkörben jelentős. Az egyik legnagyobb országos fiókhálózattal rendelkező bank, mely a távbankolási megoldásokban is igyekszik méltó maradni piaci pozíciójához. Internet banki megoldásában elsőként alkalmazta a chip kártyás, PKI alapú magas biztonságot adó azonosítási módszert, ugyanakkor ezzel az elég összetett megoldással egyedül is maradt a többi szolgáltató által kínált megoldások között. Maga az internet bank által nyújtott szolgáltatás funkcionalitása bőséges, banki és értékpapír műveleteket is kínál. A bank által kínált internetbanki szolgáltatás szegmensenként eltérő megoldással várja az ügyfeleket. Ilyen a fiatal ügyfeleknek kínált, ún. „Trambulin“ szolgáltatás, vagy a kifejezetten nagyvállalati ügyfeleknek kínált internet bankolási lehetőség (W1se) mindazon funkciókkal, melyeket hagyományosan ügyfélterminál szolgáltatással biztosítanak a bankok ezen ügyfélkörük számára. Az elmúlt év során újították meg a KKV szegmens számára nyújtott e bank szolgáltatást, lecserélve annak hátterét biztosító rendszert és így közös platformra hozva a lakossági szolgáltatással. Portáljukat folyamatosan fejlesztik, az alapinformációk gyorsan elérhetők, az internetbanki szolgáltatás rendelkezik interaktív demo verzióval is, ami könnyű kipróbálást tesz lehetővé. A szolgáltatás erősségeként jellemezhetjük a chip kártya alkalmazásával kialakított erős biztonsági megoldást, bár ez telepítési procedúrája miatt (kártyaolvasó telepítése, kártyamegszemélyesítés) egyben hátrányként is besorolható. A probléma feloldása érdekében a bank bevezette az SMS aláíró jelszót is, de ez csak erősen korlátozott értékhatárok mellett alkalmazható. Erősség az internet bank online igénylési lehetősége. A korábban felsoroltak mellett, további gyengeségként kell megemlíteni az SMSsel támogatott tranzakciók alacsony értékhatárát, az egyes ügyfélszegmenseknek biztosított szolgáltatások teljes izoláltságát (nem átjárhatóak). MKB Bank
INTERNET BIZTONSÁGI TANULMÁNY
39
A bank szolgáltatása semmi jelentősen kiemelkedőt nem mutat. Láthatóan a megoldás nem képezi a bank stratégiai irányultságát, ügyfelei számára csupán korrekt, alapvető internetes kiszolgálást valósít meg. Az MKB jelenleg két különböző internetbanki kiszolgálást biztosít ügyfelei számára. 2007ben a MasterCard Év bankja versenyén „Az év direktbanki szolgáltatása 2007.” második helyezését érte el. Funkcionalitását, biztonsági megoldásait folyamatosan fejleszti. A megoldás erősségei az SMS jelszó alapú hitelesítés, illetve bejelentkezési visszaigazolás, a csomagokban történő megbízáskezelés, az interaktív demo, felhasználóbarát kezelőfelület. Hátránya a hitelműveletek hiánya (csak lekérdezés elérhető), a szegényesebb befektetési műveletek. OTP Bank A legnagyobb hazai lakossági bank által 1999ben bevezetett internet banki szolgáltatásával egyértelműen meghatározó volt a hazai internet használat és banki felhasználás terjedése szempontjából. A pénzintézet jelentős piaci dominanciája és a rendelkezésére álló kommunikációs lehetőségek nagyban segítették ezen szolgáltatások elfogadottságának növekedését, valamit ügyfélkörben való terjedését. Ennek súlyát a bank megfelelően kezeli is – üzleti érdekeinek szem előtt tartása mellett folyamatosan fejleszti internet alapú szolgáltatásait. Mára az egyik legnagyobb internetes szolgáltatási kört nyújtó pénzintézetté vált a hazai bankpiacon. Kialakított szolgáltatásával 2001ben elnyerte „Az év internetes bankja Magyarországon” díjat, 2007ben a MasterCard „Az év bankja” szavazáson pedig „Az év direktbanki szolgáltatása 2007” címet. A szolgáltatás rendelkezik értékpapír funkciókkal is, amelyek integráns részét képezik az internet banknak. A bank által közölt adatok alapján szerződött felhasználóinak száma már meghaladta a 700.000 főt. A funkciók mind lakossági, mind vállalati (elsősorban KKV) ügyfelei számára elérhetők az interneten keresztül is. A nyújtott szolgáltatások közül a számlahasználat szempontjából érzékenyek esetében (értékhatárhoz kötött) azonosítást ír elő a használat során: ●
user ID + jelszó (+ számlaszám) ebben az esetben 50.000 Ft maximális napi limit mellett használható az OTPdirekt.
●
User ID + SMS jelszó – ilyenkor akár korlátlan összegben lehet tranzakciókat végezni.
Az OTP internet bankjának legnagyobb erőssége, hogy nagyon széles körben lehet a bank
INTERNET BIZTONSÁGI TANULMÁNY
40
által kínált szolgáltatásokat igénybe venni, valamint innovatív módon keresi az ügyfelek olyan kiszolgálását, mely valamely módon megkülönbözteti az OTPt a többi internet banki szolgáltatástól (lásd EBPP – Electronic Bill Presentment and Payment, vagyis elektronikus számlabemutatás és fizetés, illetve autópálya matrica vásárlási lehetőségek, Abaqoos micropayment). Ugyancsak előnyként kell megemlíteni, hogy a bank által nyújtott szolgáltatások magas szinten integráltan jelennek meg az ügyfelek számára – ezzel jelentősen megkönnyítve a bankhasználatot. Az OTP ezen fejlesztései a korábbi kissé poros banki szolgáltatási imázstól való eltávolodást jól erősítik – tevékenységével valóban az innováció jelképévé vált a magyar internet bankok között. Ezzel saját ügyfélkörében is megfelelő üzenetet juttatott el a bank a minőségi kiszolgálás irányába történő elmozdulásáról. A szolgáltatás gyengeségei: termékigénylések hiánya, a betétkezelésben mutatkozó hiányosságok, a demo hiánya új ügyfelek részére. Az OTP honlapját utoljára 2006 során újította meg. A megújítás során alapvetően megváltozott a navigáció, illetve a nyitóoldal felépítése, de az eddig is nagyon kusza honlap tartalom nem változott, nem könnyű egyegy konkrét információ megtalálása. Pozitívumként értékelhető, hogy az OTPdirekt szolgáltatások már a nyitólapról is elérhetők, nem kell több kattintással a honlap mélyére ásni – bár ennél jelentősebb integráció nincs, a banki honlap és az internet bank gyakorlatilag külön válik.
Raiffeisen Bank A Raiffeisen bank a korai szolgáltatás bevezetők csoportjába tartozik. 19992000 év során mind internet alapú banki, valamint befektetési szolgáltatásokkal megjelent a magyar ügyfelek számára. Korai megoldásukat, mely részben telepített kliensre épült, hamarosan egy ún. portál alapú megoldással váltották fel. Ma kínált szolgáltatásaikat nem a funkciógazdagság emeli ki a mezőnyből, viszont egyedüliként integrálta teljes mértékben a banki portálba az internet bankot. Erre a fejlesztésre nyerték el „A legígéretesebb internetes bank 2002” díjat. A portálba integrálás a keresztértékesítést segíti elő és fokozza a felhasználói élményt. A 2002ben bevezetett új internet bank forradalmi megoldása volt a teljes mértékben személyre szabhatóság és az ún. 1to1 marketing támogatása. Ez a megoldás nem váltotta be a hozzá fűzött reményeket, de mindenképpen irányt mutat és elgondolkodtat a jövőbeni fejlesztésekkel kapcsolatban. Mára a bank szolgáltatása – bár
INTERNET BIZTONSÁGI TANULMÁNY
41
folyamatos fejlesztéseken esik át – kissé elmaradt a piac többi versenyzőjétől. A kiszolgálás célja a meglévő ügyfélkörből minél nagyobb tömeg átterelése a csatornákra. 2007. december 1től a kondíciós listában meghatározott limit feletti tranzakciók jóváhagyásához a Bank automatikusan SMS jelszót küld (közvetlenül a tranzakció indításakor), amellyel az ügyfél a DirektNeten keresztül tudja megerősíteni a tranzakció kezdeményezését. 2008 óta token is használható a tranzakciók hitelesítésére. A szolgáltatást magában foglaló portálrendszer teljes horizontális szolgáltatás portfoliót mutat az ügyfelek számára, elfedve előlük, hogy az adott termék vagy szolgáltatás a bankcsoport mely tagjának terméke. Ezzel a bankhasználatot jelentősen egyszerűsíti az ügyfelek számára. A megoldással a bank 2004ben a világ második legjobb pénzügyi portálja címet nyerte el a ProfNet Institute kutatócég nemzetközi független értékelése alapján. E mellett a szolgáltatás jelentős számú hazai és nemzetközi díjat (Global Finance) nyert. Egy, az értékpapírrendszerben végzett fejlesztés következtében az internet alapú értékpapír szolgáltatások köre az elmúlt években jelentősen korlátozódott, ennek eredeti szintre történő fejlesztése folyamatban van. A szolgáltatás erőssége a sokféle és egyénre szabható azonosítási módszer alkalmazása, a belépést visszaigazoló SMS küldése, a portálintegráció magas szintje, az interaktív demo. Hátránya, hogy nem támogat bankkártya és befektetési műveleteket, a hitelekkel kapcsolatos funkciók nem teljes körűek. A tranzakció jóváhagyása előtt küldött SMSkód az egyik legjobb módszer lehetne a Manin theBrowser (MITB) támadásokkal szemben, abban az esetben, ha az SMS a jóváhagyó kód mellett tartalmazná azt is, hogy melyik célszámlára küldik az adott összeget, és a tudatos felhasználó ezt vissza is ellenőrizné. Ennek a gyakorlatnak az elterjesztése a legújabb és egyben legveszélyesebb támadásfajtától óvná meg a biztonságtudatos (azaz megfelelő módon felvilágosított és szabálykövető) felhasználókat. UniCredit Bank A bank az elmúlt évek során sokat változtatott internet banki kiszolgálásán. A kezdeti, csak Magyarországra készült megoldást idővel kiváltotta egy, a teljes régiót központi módon támogató megoldással. A központosított rendszer nem váltotta be a hozzá fűzött reményeket, így az elmúlt években újra csak a hazai piacra koncentrálva, újabb saját megoldás bevezetése mellett döntöttek. A bank jelenleg így két internet bankkal rendelkezik, SpectraNet és SpectraNet Light verziókkal, de új szerződéseket már kizárólag csak a
INTERNET BIZTONSÁGI TANULMÁNY
42
teljesebb funkcionalitású SpectraNetre kötnek. Az új szolgáltatás erőssége a teljes körű funkcionalitás, az SMS alapú, valamint többes aláírás lehetősége, az interaktív demo, tranzakciós limit kezelése, bankkártya műveletek támogatása. Gyengesége a hitelkártya funkciók hiánya, illetve hogy nem támogatja az on line szolgáltatásigénylést. Összefoglalva a magyar internet bankok helyzetét egyértelműen sikertörténetről beszélhetünk, még akkor is, ha az egyes bankok megoldásait ittott kritikai észrevétellel illettük. A szolgáltatások világszínvonalúak, egy nagy nemzetközi összehasonlításban is megállják a helyüket, mind a funkcionalitások gazdagsága, mind technikai, technológia tekintetben, mind ügyfélközpontúság kérdésében. A felhasználók túlnyomó többsége elégedett az internet bankokkal. Kutatásaink során több bank szakemberével beszéltünk, és egybehangzó vélemény volt, hogy az ügyfelek látják és értik azokat az előnyöket, amit e csatorna ad számukra és kevés kritikát fogalmaznak meg a kínált szolgáltatásokkal szemben. Egyegy üzemzavarkor bejövő panaszok száma mutatja meg igazán, hogy mennyire a „részükké vált a szolgáltatás”, mennyire hiányzik neki amikor elérhetetlen. A továbbfejlődés szükségszerű ebben az iparágban, de egy rövid mérleget vonva e sorokkal, egy pillanatra szeretnénk elismerésünket kifejezni a magyar bankoknak.
INTERNET BIZTONSÁGI TANULMÁNY
43
4 Internetbanki visszaélések és ügyfél elvárások Az elmúlt években már a hazai bankszektor szereplőit, ügyfeleit is érték internetes támadások – elsősorban phishing típusúak, ezért nem lehet szó nélkül elmenni a biztonsági elvárások, követelmények mellett, hiszen egyes bankokban az elektronikus bankolást választó ügyfelek aránya eléri, közelíti az 50%ot, míg a hagyományos papír alapú megbízásokhoz képest az elektronikus úton indított tranzakciók aránya néhol a 80%ot is meghaladja. A támadások kapcsán a megtámadott bankok általában időszakosan leállították a szolgáltatást, és különböző csatornákon, a médián keresztül próbálták figyelmeztetni ügyfeleiket a támadásokkal kapcsolatos veszélyekre, de összehangolt kampányt nem vetettek be a széleskörű és hatásos tájékoztatás érdekében. Erre csupán időszakos próbálkozások voltak, melyek élén a Pénzügyi Szervezetek Állami felügyelete állt. Az ügyfeleknek kötelezően eljuttatott tájékoztató füzetek alkalmasak voltak alapvető internethasználat biztonsággal kapcsolatos információk megszerzésére, de a folyamatos ügyféledukáció szerepkörét nem töltötték be. A következőkben az általános internetbiztonsági kérdések tárgyalása után bemutatjuk a bankok azonosítási, adatbiztonsági módszereit és az ezekhez kapcsolódó kockázatok felmérésének, megállapításának, kezelésének elveit, részletesen kitérve nem utolsó sorban a lehetséges külső fenyegetettségekre.
4.1 A biztonság kérdése általánosságban 4.1.1 Globális kockázatok az internet térhódításának hatására Az információs társadalom dinamikus fejlődése, a keletnyugat ellentétpáron alapuló kétpólusú politikai világkép megszűnése olyan globalizációt eredményezett, amelyben a világ bármely pontján fizethetünk ugyanazzal a bankkártyával, amelyben a mobiltelefon napi használati tárggyá vált, amelyben a televíziók élőben közvetítik a háborúkat, katasztrófákat és amelyben az internet valós időben köti össze a föld különböző, távoli pontján tartózkodó felhasználókat. Ez a folyamat jelentősen felerősítette az ún. anonim bűnözés nemzetközi szintű kialakulását, hiszen az internet adta technológiával a világ bármely pontjáról, akár teljes inkognitóban lehetséges távoli pénzintézetek rendszereinek, szervereinek,
INTERNET BIZTONSÁGI TANULMÁNY
44
ügyféladatainak manipulációja vagy annak kísérlete. A globalizáció kutatott és ismert kockázatain belül, most főleg azokra kívánjuk felhívni a figyelmet, amelyek az internet gyors terjedéséből adódnak, azáltal, hogy a széles felhasználó réteg egyre internet kiszolgáltatottabbá válik. 4.1.2 Az internet mindennapos életünk részévé vált/válik ●
Az email alapú kommunikáció jelentősen átalakította, felváltotta az évszázados hagyománnyal rendelkező postai levélforgalmi szolgáltatásokat.
●
Az internet bankok terjedésére jellemző adat, hogy például Magyarországon tíz év alatt mintegy kétmillió ügyfél kötött ilyen jellegű szolgáltatásokra szerződést.
●
Az IP alapú telefonálás térhódítását jellemző egyik adat, hogy 2008 végén 405 millió ügyfelet tartott nyilván a Skype, és átlagban negyedévenként 35 millió új előfizetővel nő a Skype használók száma (különböző időszakokban a konkurens felhasználók száma meghaladja a 15 milliót).
●
Az IP alapú kommunikáció terjedése hazánkban is jelentős átalakuláshoz vezetett: az ATM és POS terminálok kommunikációja a banki szerverekkel már 75%ban IP alapon történik, amelynek kockázatkezelése ma még sok esetben nem megfelelően megoldott.
●
Az internetes közösségi portálok népszerűsége is óriási és egyre növekvő mértékű. A MySpace 200 millió tagjával a világ ötödik legnagyobb országa lehetne, de 2008. december 24én Magyarországon is átlépte a 4 milliót az iWiW felhasználók száma.
4.1.3 Az internet függőség kockázatai Az alábbiakban nem a pszichológiai alapú internet függőségről beszélünk, hanem arról a technológiai fejlettségi jellemzőről, amely mára már az élet rengeteg területére beszűrődött. ●
Az internet állandó és megszokott rendelkezésre állása (24 órában, az év minden napján) különböző okokból megszakadhat. Az internet alapú kommunikáció biztosítása nem 100%os szolgáltatási garanciák mellett történik (ahogy sok más közüzem sem!), mégis ezzel a ténnyel sok felhasználó nincs tisztában, vagy nem veszi figyelembe. Ilyenkor nem működik az email, az internet bank és az IP alapú telefonhálózat, valamint például az erre kötött ATM és POS terminálok sem.
INTERNET BIZTONSÁGI TANULMÁNY
●
45
Az internet alapú kommunikáció tulajdonképpen technikai alapjaiban teljesen eltér a BellPuskás korszakhoz tudatban kapcsolt, egy az egy összeköttetésen alapuló technikai megoldástól. Az ún. csomagkapcsolt IP adatforgalom egyfajta közösített és ún. csomagcímekkel ellátott adatfolyamba terelve utazik a két felhasználó között. Nem ok nélkül hívták ezt a technológiát évekkel ezelőtt információs adatsztrádának, hiszen ebben a technológiában az egyes utazók közös utat használnak, amiről minden adatcsomag a megfelelő lejárónál tér csak le és éri el végcélját. Ez a közösített adatfolyam viszont – bár technológiailag igen gazdaságos megoldás – lehetővé teszi a titkosság megsértését, a kifigyelhetőséget, az adatlopást.
A fentiekben felsorolt kockázatok miatt a hazai pénzintézeteknek és ügyfeleiknek is fel kell készülniük az ezekből fakadó kihívásokra. Erre megoldásokat jellemzően a végpontok adattechnológiai biztosításával lehet adni, hiszen maga a kommunikációs közeg (carrier) minden esetben ugyanaz, és valódi befolyással annak adatbiztonsági szintjére a felhasználó nem rendelkezik. A hazai pénzintézetek nem tesznek eleget annak érdekében, hogy az ügyfelek megfelelően képzettek és tudatosak legyenek az elektronikus csatornák használatát és a biztonsági tennivalóikat illetően. Emiatt a pénzintézeteket ért támadások, amelyek nem belső információn alapulnak, többnyire az ügyféloldali megoldásokat célozzák, azokat „törik fel”. A végfelhasználó rendszerek biztonsági megoldásaira az internet alapú szolgáltatást kínáló pénzintézeteknek csak korlátozott ráhatásuk van. Ezért különösen fontos az ügyféledukáció és az ügyfelek internet biztonsággal kapcsolatos tudásának mérése, hogy értékelhető legyen a tájékoztatás hatékonysága. A mérések alapján lehet meghatározni célzottabb, személyre szabottabb kommunikációs formákat, technikákat, csatornákat, amelyek a leghatékonyabban juttatják el a számukra fontos és nélkülözhetetlen ismereteket az érintett csoportoknak. Az oktatás, tájékoztatás kérdése kiemelt fontosságú, hiszen a bank vagy pénzintézet hiába tesz meg mindent rendszerei védelméért, ha a folyamatban a legtöbb esetben az ügyfél felkészültsége, internetezési szokása, illetve végfelhasználói számítógépe, eszközei jelentik a leggyengébb láncszemet. Bár az elmúlt évek során több nemzetközi és hazai szervezet készített felmérést és ajánlást az interneten alapuló pénzügyi szolgáltatások elvárható biztonságtechnikai megoldásaival kapcsolatban, ezeket vélt vagy valós ügyfélkényelmi okok miatt nem minden szervezet vette figyelembe. Ezen felül, természetes módon a bűnözés épp ezen esetben is egy lépéssel a
INTERNET BIZTONSÁGI TANULMÁNY
46
biztonságtechnikai megoldásszállítók előtt jár, hiszen épp a visszaélések megvalósulása hívja fel a figyelmet a rendszer üzemeltetési, folyamati vagy épp kiszolgáláslogikai hiányosságaira. A biztonsági intézkedések jellemzően követik az eseményeket, a legfrissebb elkövetői trendeket, technikákat, technológiákat, az egyes szereplők pedig nem feltétlenül fejlesztenek azonnal a várható veszélyek ellen, legfeljebb jogi/üzletszabályzati kitételek formájában hárítják el magukról a felelősséget. Ez a viselkedés azért is kritikus lehet, mivel az ilyen típusú visszaélések – még ha ügyfél oldalon keresztül is valósulnak meg – nagyon nagy százalékban valamely, a pénzintézethez közel álló munkatárs által birtokolt információra épülnek. Egy ennyire összetett rendszer feltérképezése és annak hiányosságainak megtalálása ugyanis vagy csak az általánosan elkövetett adatvédelmi hibák mentén lehetséges, vagy a rendszer speciális tulajdonságainak ismeretében.
4.2 A sokcsatornás ügyfélkiszolgálás Az internet és más nagy penetrációval rendelkező médiumok terjedése következtében fontos az ügyfélkapcsolatok átalakulásával járó veszélyek felismerése. A mindenki által használható, rendkívül elterjedt médiumok használata hihetetlen mértékben lecsökkenti a hírek terjedéshez szükséges időt, és egyben lerövidíti az információ életciklusát. Az információs forradalom legkézenfekvőbb veszélyforrásai jelentősen kibővültek1: ●
megfelelő korlátozások és rendszabályok bevezetése nélkül a csupán adathálózaton egymással kapcsolatba kerülő személyek és gépek arctalan viszonya az anonim bűnözés melegágyává válhat;
●
a felfokozott információáramlásban felmerülő hibák, hiányosságok láncreakció szerűen lezajló jelenségekhez vezethetnek, így az ún. információ katasztrófa képét vetítik előre;
●
a fokozatosan automatizálódó világban egyre kevésbé leszünk felkészülve a váratlan események kezelésére;
●
a felhasználók számára reális veszéllyé válik a valós és a virtuális információk összekeveredése: a valós és egy elképzelt világ határának összemosódása.
A már működő IT struktúrák biztonságossá tétele az információs technológia fejlődésével járó újabb kihívások egyike. A biztonsági elemek lehetőség szerinti egységesítése, központi 1 Jelen írás a felsorolt veszélyforrások közül csak az első kezelésével foglalkozik.
INTERNET BIZTONSÁGI TANULMÁNY
47
menedzselése elkerülhetetlen feladattá válik sok szervezet számára. E kérdéskör előrevetíti a tudás alapú jogosultságkezelés kialakításának szükségszerűségét. A feladat kettős: egyszerre szükséges megoldást találni az információk és funkciók elérhetőségének korlátozására, valamint a modern jog által támogatott azonosítási módozatok univerzális kezelésére2. A pénzintézetek körében ezek a kihívások még fokozottabbak, hiszen a bank a társadalmi elvárások szintjén a biztonság fogalmával azonosul. A technológiai adottságokat követve, az egyes értékesítési rendszerek (médiumok) igénybevétele során az ügyfelek különböző módon azonosítják önmagukat. Az ügyfél azonosításhoz és jogosultságkezeléshez szükséges információk nyilvántartása ezért a pénzintézeti ügyfélkiszolgálás egyik sarkalatos pontjává válik3. Ezen információk összefogott kezelése a bankok esetében a tudásmenedzsment alkalmazásának példája lehet. 4.2.1 Védelem és azonosítás elkülönülése, kockázatkezelés Az ügyfélazonosítás témakörének tárgyalása során különbséget kell tenni a rendszer védelem kérdése és az ügyfélazonosítás között. Bár a két fogalom a felhasználók körében gyakran összemosódik, jelentős különbség van köztük. A rendszervédelem résztevékenységeként lehet felfogni az azonosítás problémáját, mellyel a jogosulatlan és illetéktelen felhasználókat kíséreljük meg kizárni a felhasználásból. Mindazonáltal tudni kell, hogy a visszaélések csupán egy jelentéktelen kis része az, amely ezen azonosítási rendszerek feltörésével valósul meg. Tipikus eset, hogy belső információ jut rossz célú felhasználó birtokába, és a visszaélés ennek az ismeretnek a felhasználásával valósul meg. Az ilyen visszaélések aránya egyes kutatások szerint akár 80% vagy még annál nagyobb is lehet. Ezért a védelem az azonosításnál nagyságrenddel jelentősebb probléma. Ami miatt mégis célszerű az azonosítás problémakörét körüljárni, az a normális 2 A hagyományos papíralapú dokumentumok megbízható, digitális szignókkal ellátott elektronikus verzióra cseréléséhez számos feltétel adott: rendelkezésre áll az ún. nyilvános kulcsú (PKI = Public Key Infrastructure) technológia, megszületett az EUdirektívákkal harmonizáló magyar elektronikus aláírás törvény, létrejöttek az első hazai hitelesítésszolgáltatók. 3 Az elektronikus csatornák használatával megszűnik az a személyes kontaktus, amely biztosítja, hogy az ügyfél igazolja saját személyazonosságát. Ennek eredményeképpen az elektronikus csatornák kiépítésével biztosítani kell a felhasználó azonosításához szükséges módszereket. A felhasználó hitelességének megállapításához több különböző módszer létezik. A különböző módszerek különböző csatornákhoz kapcsolódnak, így több különböző eszközre, illetve jelszóra, vagy PIN kódra van szüksége annak az ügyfélnek, aki párhuzamosan több formában is szeretne szolgáltatásokat igénybe venni. Ez a szolgáltatást biztosító szervezet számára magas adminisztrációs és IT költségeket jelent, hiszen az ügyfelet egyszerre több helyen kell nyilvántartani. Mindemellett egy új hitelesítési mód – pl. chipkártya – bevezetése több meglévő rendszerbe jelentős fejlesztési költséggel jár.
INTERNET BIZTONSÁGI TANULMÁNY
48
ügyfélkapcsolati tevékenység kezelése. Ugyanis az általánosságban jóindulatúnak tűnő felhasználók hibás jogosultságkezelése a szervezet számára igen hátrányos helyzetek kialakulásához vezethet. Bár igaz, hogy minden pénzügyi szolgáltató számára a kockázat mindig is az üzlet része marad, mégis a kockázat kezelési szintje, minősége az egyes szervezet nyereségességét tekintve közgazdaságilag is kimutatható eltérést okozhat. A szervezet kockázat kezelésének kialakításakor három faktort kell figyelembe venni: ●
az adott szolgáltatás vagy termék használati frekvenciája,
●
kiszolgálás biztosítására alkalmazott médium/technológia karakterisztikája,
●
valamint a médiumot, illetve az ügyfélkapcsolat módját támogató jogi háttér összessége.
Röviden: nem pusztán technológiai kérdésről van szó. A kockázat csökkentése nem jelentheti az ügyfélazonosítási rendszerek egyre feszesebbé tételét, hiszen egy szint után már a használhatóság rovására fokozzuk a biztonság szintjét. Ennél hatékonyabb eszközökkel is lehet élni, és élnek is a bankok. Ilyen a tranzakciós limitkorlátozás, vagy például az ügyfélszokásvizsgálati módszerek4 alkalmazása. A pénzintézeteken kívül álló, de kockázatkezelésüket segítő lépés az elektronikus aláírás törvény teljes körű szabályzási támogatásának megvalósulása. Ezzel kapcsolatban azonban érdemes megjegyezni, hogy az elektronikus aláírás adta jogi garanciák csak a multicsatornás értékesítés egy része esetében adnak továbblépési lehetőséget, hiszen egyes csatornák esetében (pl. Call Centerek) a PKI technológia csak igen körülményes módon alkalmazható. 4.2.2 Az ügyfélazonosítás problematikája Mint arra az anyag már korábban is utalt, a pénzintézeti termékeket az ügyfelek jelentős része mint szolgáltatást éli meg. Ennek megfelelően azokat korlátozás nélkül használni, élvezni akarja. Annak érdekében, hogy az ügyfélkiszolgálás minél magasabb színvonalon valósuljon meg, a kapcsolatteremtés első pillanatában célszerű lenne tudni, vajon milyen ügyfél kiszolgálására szükséges felkészülni. Az ügyfélkiszolgálás minőségének javítása két, egymással nehezen összeegyeztethető igény folyamatos ütközése: egyszerre szükséges megteremteni a rugalmas kiszolgálás alapjait, valamint a szolgáltatásokat megfelelő 4 Napjainkban főleg a kártyatranzakciók védelmére alkalmazott eljárás, ahol a felhasználó viselkedését folyamatosan figyelik, és szokatlan tranzakciók estén automatikusan korlátozásokat léptetnek életbe (pl. rövid időn belül több országban történő készpénzfelvétel). Ez a fajta „intelligens” védelem az egyik legkevésbé kijátszható illetéktelen felhasználók által.
INTERNET BIZTONSÁGI TANULMÁNY
49
összetettségű és erősségű biztonsági intézkedésekkel, módszerekkel szükséges védeni a rosszindulatú felhasználással szemben. A két feladat megvalósításában ellenkező érdekeket képvisel (egyszerű vs. összetett), így csak kompromisszumok kötésével és csak részlegesen elégíthető ki mindkét igény. A kompromisszum keresése során érdemes megvizsgálni a felhasználói tapasztalatokat. Ezek elemzése rávilágít arra a viselkedésbeli ellentmondásra, amely alapjában megkérdőjelezi a fokozott biztonság valódi, értékesítésbeli hasznosságát5. Kimutatható, hogy az ügyfelek inkább a kényelem és a használhatóság igényét részesítik előnyben, bármennyire is elsődlegesnek állítják be a biztonságos üzem szükségességét. Ezt az elméletet támasztja alá a tény, hogy egyes országok (azonos szociális beállítottság!) különböző pénzintézetei által biztosított azonos csatornaszolgáltatások használati penetrációja (pl. internetbank szolgáltatások használata) gyakorlatilag semmilyen szinten nem korrelál az egyes szolgáltatásokba épített biztonsági módszerek megbízhatóságával. Magyarországi adatokat alapul véve, az ügyfél számára hasonlónak tűnő azonosítási módokat alkalmazó pénzintézetek statisztikailag szignifikáns (összességében millió feletti felhasználó mellett) tapasztalata is e tényt támasztja alá. A sejtést erősíti, hogy az internetes szolgáltatások esetében a jelenlegi technológiai szinten legbiztonságosabb ügyfél azonosítási módot (lásd elektronikus aláírás) alkalmazó pénzintézetek esetében az ilyen biztonsági faktorral bíró szolgáltatások penetrációja jelentősen alulmúlja a sokkal egyszerűbb megoldást alkalmazókét. Ennek alapján megállapítható, hogy az ügyfelek számára már a biztonság kommunikálása és a biztonságos internethasználat megtanítása is önmagában kielégíti az általuk a megbízhatósággal szemben támasztott igényt. Tényként kell kezelnünk, hogy a biztonsági megoldások minél hatékonyabb megvalósítása így csak a szolgáltató szervezet közvetlen érdeke marad. A modern pénzintézeti kiszolgálásban alkalmazott ügyfélazonosítás kérdése túlmutat a hagyományos jogosultságvizsgálat kérdésén: befolyással lehet a kiszolgálás milyenségére is. A modellként tárgyalt ügyfélazonosításnak két különböző kérdéscsoport megválaszolását kell biztosítania: 1. Termékhasználat ●
Az ügyfél által használt csatornán a termékigénybevétel módja megfelelő
5 A biztonságos tranzakciómenedzsment inkább a pénzintézet saját érdekévé alakul át – a fogyasztóvédelmi rendelkezések az ügyfél érdekeinek megfelelő jogi védelmét amúgy is előírják.
INTERNET BIZTONSÁGI TANULMÁNY
50
kockázattal kezelhetőe (pl. telefonon adhatóe megbízás 10 millió Forint átutalására)? ●
Az ügyfél által használt csatornán az igényelt információ biztosíthatóe (pl. e mailben küldhetőe az ügyfél számára számlainformáció?)?
2. Ügyfélkiszolgálás ●
Hogyan viselkedjen a szervezet az ügyféllel szemben (CRM), mely információkhoz, termékekhez engedjen hozzáférést, mely személyes adatok kiadását tegye lehetővé?
A hagyományos kiszolgálásban az ügyfélazonosítás módja a személyi igazolvány vagy az ügyfél által megadott egyéb, írásos (aláírás), illetve verbális (jelszavas) azonosítási mód volt. Ezek a csak bankfiókban használható módszerek az elektronikus kereskedelem kialakulásával teljességgel alkalmazhatatlannak bizonyultak. A fejlődés során először megjelentek a főleg bankkártyákhoz használatos ún. PIN6 kódok, majd főleg az Office Banking megoldásokban az egyéb, fokozott biztonságot garantáló módszerek is (pl. kulcslemez, illetve egyszer használatos kódtáblák használata). Az ilyen, a bank és az ügyfél megállapodásán nyugvó távazonosítási módszerek ugyanakkor magukban hordozták az anonim bűnözés kialakulásának lehetőségét. Erre a problémára ad megoldást az ún. elektronikus aláírás7 módszere, de ez is csak abban az esetben, ha az aláírás kibocsátója és nyilvántartója a partnerek által megbízott harmadik fél8. A modern ügyfélazonosítási logika felállításakor célul tűzzük ki a minden értékesítési rendszerre kiterjedő módszerhalmaz felállítását: ●
A bank és a felhasználó kölcsönösen és egyértelműen azonosíthassa egymást;
6 PIN = Personal Identification Number 7 Az elektronikus aláírás általánosságban az ún. PKI metodikára épülő módszer, ahol az elküldött üzenet mellé egy abból előállított, kulcsolt információt mellékelnek. Ez az információ csak a küldőre specifikus kódsorozattal fejthető meg. Megfejtése így egyszerre bizonyítja a küldő személyét, és a küldött üzenet sértetlen állapotát. 8 Nemzetközi szinten, így Magyarországon is az elektronikus kereskedelem alakulására három tényező bír jelentős ráhatással: az információ technikai fejlesztések színvonala; a jogi háttér rendezettsége; valamint az etikai/kulturális/szociális kérdések köre. Míg elsősorban a technikai fejlődés, de részben a szociális felkészültség záloga is az egyes országok gazdasági teljesítőképessége, addig a jogi háttér biztosítása önmagában nem anyagi vonzatú kérdés. Az utóbbi évek törvényelőkészítő munkája alapján, mára ezen jogi szabályzó rendszer Magyarországon is rendeződni látszik. A szükséges jogi szabályzás két fő kérdéskör köré épül fel: az ügyfél és a bank távoli kapcsolatának rendezése (Elektronikus Aláírás tv., Elektronikus Kereskedelmi tv., Elektronikus Pénzkibocsátásról szóló tv., stb.); valamint a személyiségi jogokat védő, az adatkezelés módszereire, szabályzásaira vonatkozó előírások.
INTERNET BIZTONSÁGI TANULMÁNY
●
51
A bank a felhasználó jogosultságait saját üzleti logikája szerint rugalmasan szabályozhassa;
●
A jogosultság kezelő rendszernek nyitottnak kell lennie, hogy a későbbiekben bővülő szolgáltatásrendszerekhez kapcsolódó újabb azonosítási módozatok is beilleszthetők legyenek keretei közé.
4.2.3 Azonosítási típusok Bármilyen szolgáltatás során történő azonosítás esetén használt módszerek az azonosításhoz szükséges információ birtoklása szerint csoportosíthatók. Tekintsük át a triviális lehetőségeket: ●
Valami, amit a felhasználó tud. A máshogy egyfaktorúnak nevezett azonosítás a valamit tudni elven alapszik, vagyis jelszót, PIN kódot, megegyezett választ kell a felhasználónak megadnia. Sok lehetőség áll rendelkezésre eltérő biztonsággal. A megadott jelszó lehet statikus, lehet sűrűn változó vagy dinamikus; a jelszó fájl lehet nyílt és lehet rejtjelezett.
●
Valami, amit a felhasználó birtokol. Azon alapszik, hogy a felhasználó valamilyen fizikai tárgyat birtokol az azonosításhoz. Ilyen lehet, pl. egy kulcs, mágneskártya, smart kártya9 vagy token10, mely dinamikusan változtatja a jelszót. Ezeknek az eszközöknek a használata sokszor párosul az előző pontban bemutatott valamit tudni elvvel, tehát meg kell adni még a jelszót is. Ekkor nevezik másképpen 2 faktorú azonosításnak vagy „erős azonosításnak”.
●
Valami, amivel csak a felhasználó rendelkezik. Ez a típus a legbiztonságosabb, nem hallgatható ki a jelszó, nem lopható el a token, mivel a felhasználó biometrikus tulajdonságain alapszik az azonosítás alapja. Ilyen lehet például a tenyér geometriája, ujjlenyomat, szem látóideg hártyájának (retina) értérképe, emberi hang.
A felsoroltakon belül és azok mellett, az ideális megoldás relatív fogalommá válik. Ugyanis az alkalmazandó megoldásnak pontosan az azonosítással védett információhoz kapcsolható kockázati szint kielégítése lehet csak célja. Az azon túlmutató biztonság alkalmazása túl bonyolult eljárások kialakításához vezet. Az ilyen túlbiztosított rendszerek drága, nem költséghatékony megoldásokat tartalmaznak, melyek általában a felhasználók ellenérzését 9 Mikrokontrolleres chipet tartalmazó kártya 10 Valamely algoritmus alapján kódoló/sorszámgeneráló eszköz. Jellemzően kéziszámítógép vagy kulcstartó alakban gyártják.
INTERNET BIZTONSÁGI TANULMÁNY
52
váltják ki. A felsorolt azonosítási elméletek alkalmazásának lehetőségét az alkalmazott médium technológiája befolyásolja. Ezért tényként állíthatjuk, hogy az ügyfelek többcsatornás értékesítés esetén szükségszerűen igen különböző módon azonosítják magukat. A központosított azonosítási rendszer kialakítása biztosíthatja több hitelesítési mód egyidejű kezelését (PIN kód, token, PKI11) is. Így ezen módszerek közül egyszerre több is a felhasználóhoz rendelhető. Ezen túl, minden egyes hitelesítési módhoz hozzárendelhető az, hogy az adott módszer milyen szintű hitelesítést biztosít (lásd mintatáblázat). Ezen értéket befolyásolja az azonosításra használt módszer milyensége (pl. statikus vagy dinamikus kód), valamint az azonosítás során használt médium technikai karakterisztikája (pl. lehallgathatóság szintje). Ezzel a módszerrel lehetőség nyílik a termék vagy szolgáltatás használatok egyes technikai kapcsolati szinthez történő kockázati hozzárendelésére. Példa az azonosításfajták „hitelességi” súlyára AZONOSÍTÁS FAJTÁJA
MÉDIUM
Jelszó
Telefon
PONTSZÁM 1 12
HTTPS PIN Dinamikusan változó PIN/jelszó Aláírás file
2 13
Telefon/IVR
2
ATM (DES kódolás)
3
Telefon/IVR
4
ATM (DES kódolás)
5
Nyílt csatorna
7
Védett kommunikáció
8
Forrás: saját ábra
4.2.4 Ügyfélcsatornatermék összerendelések A pénzintézeti szolgáltatások tükrében vizsgált ügyfélazonosítási problémakört legegyszerűbben egy háromdimenziós térként tudjuk ábrázolni: ●
Az első dimenzió a kiszolgált felhasználók köre. A számlavezetési szolgáltatások specialitása, hogy nemcsak a számla tulajdonosa, hanem annak megbízottjai is rendelkezhetnek felette. Így az azonosítás kérdése nemcsak az ügyfelekre, hanem azok meghatalmazottaira is ki kell, hogy terjedjen.
11 PublicPrivate Keying, az ún. elektronikus aláírás alapja 12 HTTPS: Secure HTTP, vagyis adatvédelmi módszerrel (jellemzően SSLlel) támogatott HTTP 13 IVR = Interactive Voice Response, a telefonos kiszolgáló rendszerekben alkalmazott, kétszeres frekvenciakódolású, ún. „touch tone” hangsorozatokra épülő kódértelmező rendszer
INTERNET BIZTONSÁGI TANULMÁNY
●
53
A második dimenzió az igénybe vehető értékesítési csatornák. Ezek száma és fajtái folyamatosan változnak. A különböző médiumokhoz természetszerűleg sokszor más és más azonosítási módszerek kapcsolódnak.
●
A harmadik dimenzió az igénybe vehető termékek használati limitjei. Az egyes médiumokon alkalmazott azonosítás fajtája és a számlatulajdonos által meghatározott korlátok együttesen határozzák meg a szolgáltatások igénybe vételi lehetőségét.
Ha az alábbiakban leírt térmátrix egyes dimenzióit feltöltjük az alkalmazható azonosítási módszerekre, ügyfelekre és termékhasználati limitekre vonatkozó információkkal, akkor a felhasználók által kezdeményezett akciók bármelyike hozzárendelhető a térmátrix egy kijelölt pontjához. Ez pedig pontosan megadja az adott felhasználó adott csatornán kezdeményezhető termékhasználatának szintjét. A fenti megoldás mentén az ügyfelek egységes azonosítása érdekében elméletben megalkothatunk egy informatikai megoldást, amely a felhasználók azonosítását és jogosultságkezelését egységesen végzi és képes együttműködni bármely meglévő vagy kifejlesztendő informatikai rendszerrel. A központi azonosítási és jogosultságkezelési rendszer egyik oldalán a szolgáltató munkatársai számára kialakított felületen a szolgáltató regisztrálja ügyfeleit és beállítja az elérhető szolgáltatási szinteket. A rendszer másik csatlakozási felülete a szolgáltatás igénybevételéhez használt szoftverek számára szolgál. Az itt alkalmazott hívások segítségével egy kapcsolódó rendszer bármikor megállapíthatja, hogy egy hitelesítési kérelem milyen elégséges jogosultsággal bír a szolgáltatás biztosításához. A leírt funkció több lépésben valósul meg: 1. beérkező azonosítási igény összevetése a létező, regisztrált ügyfelek állományával (az ügyfél azonosítása); 2. scoring14 összeállítása ●
a felhasználó által alkalmazott azonosítási mód és a használt médium (csatorna) függvényében kalkulálható kockázati szint kikeresése;
●
a felhasználó által igényelt szolgáltatás kiszolgálás kockázatához rendelt szükséges azonosítási szint kikeresése;
3. scoring elvégzése és a válasz generálása 14 Scoring = döntési folyamatok támogatására alkalmazott pontozásos eljárások gyűjtőneve
INTERNET BIZTONSÁGI TANULMÁNY
54
Azonosítás és jogosultságengedélyezés folyamata
Beérkezõ üzenet: azonosítási üzenet tranzakció atributumok felhasznált csatorna
Az azonosítani kívánt személy regisztált felhasználó?
Igen
Az azonosított felhasználó jogosulte a szolgáltatás igénybe vételére?
Nem
Válasz típusok: OK NOT OK további azonosítás
Igen
Azonosításfajtához és csatornához hozzárendelhetõ scoring érték kikeresése
Nem
Scoring érték kielégítie a kockázatkezelési táblát?
Nem
Válasz generálása Igen
Forrás: saját ábra
A központi rendszer által adott válasz háromféle lehet: engedélyezheti a kiszolgálást, megtilthatja azt, de esetlegesen kezdeményezheti a további azonosítás kérését. Ezt a funkciót tulajdonképpen ma is alkalmazza számos szervezet, amikor a telefonos kiszolgálásnál egyes esetekben további azonosítást kér, például személyes adatok megadását. A központi modul által ellátott feladat két nagyobb egységre osztható. Az első az azonosítás funkciója (A, B), a második a már azonosított felhasználó jogosultságainak megfelelő funkcióengedélyezés (C). Vegyük ezeket sorba. Az azonosítási lépés két alfeladatot lát el: A./ Az azonosítás. A négy lépésben leírt funkció első lépését – a beérkező azonosítási módok függvényében – a központi modul beépített azonosítási almoduljai valósítják meg. A modulárisan felépített rendszer az igényeknek megfelelő módon képes lekezelni a szervezet által alkalmazott hitelesítési módokat, a PIN kódtól kezdve a statikus és dinamikus jelszavakon keresztül, a PKI, biometrikus vagy külső ún. single sign on alapú hitelesítésig. A pluginek15 használatával a rendszer rendkívül rugalmasan bővíthetővé válik, mivel így új azonosítási módozatok bevezetése nem igényli a központi egység megváltoztatását. Egy tervezett egységes rendszer a következő autentikációs szolgáltatásokat kell, hogy ellásson: ●
a felhasználók biztonságos azonosítását többféle autentikációs módszer alapján;
●
lehetséges kapcsolat biztosítását külső azonosítási rendszerekhez (például a nemzetközi szinten terjedő CA szolgáltatások);
●
felhasználók regisztrációját (saját vagy pl. PKI rendszerrel kapcsolatos feladatok ellátására).
15 A felhasználó böngészőjébe beépülő intelligens programelem.
INTERNET BIZTONSÁGI TANULMÁNY
55
Mivel korábban az azonosítás egyegy csatorna specifikus funkciója volt, az azonosítási módozatok központosított összefogása igen szabad felhasználási lehetőségeket alakít ki az ügyfelek számára. Ez a kiszolgálás minőségére lefordítva valós „ügyfélelőny” kialakítását jelenti a pénzügyi szolgáltató számára. A szolgáltatónak nem kell foglalkoznia az általa technikailag nehezen kezelhető eszközök kötelező terjesztésével, elegendő regisztrálnia, hogy az ügyfél által alkalmazható hitelesítési módozatok milyen szolgáltatások elérését biztosítják. Így az ügyfél, amikor kiválasztja az általa alkalmazandó módszert, figyelembe veheti, hogy milyen szolgáltatásokat kíván elérni, valamint, hogy melyek azok az eszközök, amelyek kezelése számára nem problematikus. Összességében, ez a szolgáltató számára azt jelenti, hogy ügyfelei könnyebben és szívesebben használják az ügyfélcsatornákat. Az azonosítás során napjainkban leggyakrabban használt csatornák az alábbiak: ●
kézi aláírás,
●
felhasználónév/jelszó (statikus illetve dinamikus),
●
PIN kód,
●
aláírás file16,
●
PKI (floppy, chip kártya, TAN alapú)17.
B./ Jogosultságkezelés. Az azonosítás megtörténte után szükséges meghatározni, vajon a felhasználó jogosulte az igényelt szolgáltatás igénybe vételére. Ehhez szükség van a felhasználók adatainak tárolására, a felhasználóhoz rendelt jogosultságok nyilvántartására. A felhasználói jogosultságok a pénzintézetek estében igen összetettek lehetnek. Ezek jellemző módon az alábbi módozatok kombinációiból épülnek fel: ●
Saját számlához való hozzáférés, több módszerrel. A központi azonosítási modul használatával lehetőség van arra, hogy az ügyfél a számlájához akár több különböző módon is hozzáférhessen. Így például biztosítható, hogy telefonon keresztül
16 Statikus adatsorozat, melyet a küldendő üzenet mellé csatol a rendszer 17 A napjainkban használatos azonosítási módszerek közül az elektronikus aláírás rendelkezik néhány újszerű jellemzővel, ami miatt külön érdemes beszélni e technológiáról. Az eszigno az első olyan azonosítási forma, amit a kézi aláírás után a nemzetközi jogi ajánlások az egyes nemzetek jogrendszerében támogatni ajánlanak. Magyarországon az erre vonatkozó törvényhozás az elektronikus aláírás szolgáltatást piaci alapokra helyezte. Mivel a PKI technológia megvalósítása igen költségigényes, a szolgáltatás ún. CAk (Certificate Authority), vagyis hitelesítés szolgáltatók létrehozásával valósíthatók meg. Ez a gyakorlatban azt jelenti, hogy az ilyen azonosítást alkalmazó szolgáltatók rendszerének alkalmasnak kell lenni külső azonosítási rendszerhez való kapcsolódáshoz, mely az ügyfél által használt elektronikus aláírás azonosítását biztosítja. Így ez a technológia a vázolt blackbox koncepció esetében az azonosítási modulok között egy külső CA bekapcsolásának lehetőségét írja elő.
INTERNET BIZTONSÁGI TANULMÁNY
56
számlaegyenleg lekérdezésre elegendő legyen a jelszavas azonosítás, kisebb összegű utalásra egyszer használatos jelszó, de nagyobb összegű utalás már PKI alapú azonosítást feltételez. A lehetséges csatornákat és a hozzájuk tartozó hitelesítési módokat a központi egység adatbázisa tartalmazza. ●
Meghatalmazotti számlához való hozzáférés több módon. A pénzintézeti kiszolgálás során különösen összetett feladatot ír elő a meghatalmazotti jogviszony kezelése. A feladat nehézsége abból fakad, hogy a pénzintézettel szerződéses kapcsolatban levő ügyfél esetileg változó termékhasználatát kell valamely logikai kapcsolók segítségével egy, általában a pénzintézettel kapcsolatban nem levő felhasználó jogosultságaihoz hozzáilleszteni.
●
Többféle szerepben történő számlahozzáférés egyetlen eszközzel. A felhasználó bankkapcsolata többféle lehet. Központi hitelesítés esetén az általa alkalmazott hitelesítési mód egyszerre teheti jogosulttá többfajta felhasználóként való viselkedésre. Ilyen lehet egy cég vezetője, aki ugyanabban a bankban vezeti a számláját, mint a cége. A tudásalapú ügyfélkezelés kialakítása lehetőséget teremt arra, hogy céges ügyfélként rendelkezésére álló chipkártya alapú digitális aláírását magánszámlája kezelésére is felhasználhassa.
●
Együttes aláírók kezelése. A rendszer lehetőséget ad több aláíró kezelésére, olyan módon, hogy ezt a kliens oldali programnak nem kell kezelnie. A központi modul a beérkezett műveleteket tárolja. Akkor, ha több aláíró szükséges, függő állapotban tartja a műveletet, amíg az összes szükséges aláíró hitelesítése meg nem történik. Természetesen ennek a speciális státusznak a környező (hívó) rendszerben értelmezést kell kapnia, és lehetőséget kell adni a továbblépésre18.
C./ Funkcióengedélyezés. Az azonosított és jogosult felhasználó funkcióengedélyezése több, a kockázatkezelést befolyásoló tényezőtől függ. Ezek az ●
ügyfélre vagy csatornára beállított termék/szolgáltatáshasználati limitek;
18 Az azonosítási modul által nyújtott megoldással lehetőség van több aláíró kezelésére olyan esetben is, amikor az aláírások nem tudnak egy időben megjelenni. Példaként vegyünk egy olyan esetet, amikor az együttes aláírásra jogosultak egymástól távol vannak és egyikük számára kizárólag a telefon elérhető. Tételezzük fel, hogy a jogosultak telefonon keresztül is indíthatnak utalást. Egyikük számítógépen elkészíti az átutalást, és elküldi a bankba. Ezt a központi azonosítási modul rögzíti, majd a hívó rendszert informálja arról, hogy küldő személy hiteles, de az átutalás még nem küldhető el, mert a hitelesítés nem teljes. A másik vezető telefonon felhívja a bankot, az ügyintéző felé jelzi az átutalás azonosítóját, majd hitelesíti magát (pl. egyszer használatos jelszóval). Az ügyintéző által rögzített hitelesítést az azonosító modul fogadja és felismeri azt, hogy egy korábban részben hitelesített műveletről van szó. A második azonosítás elvégzése után ezért tájékoztatja a hívó rendszert, hogy az átutalás már elindítható.
INTERNET BIZTONSÁGI TANULMÁNY
●
57
az alkalmazott azonosítás erőssége, mely az ügyfél által adott megbízás „hitelességével” áll korrelációban (lásd korábban).
Ezeket az előre meghatározható, paraméterszerű információkat célszerű egy központi, multidimenzionális funkciókockázati adatbázisban tárolni. A táblázat értékeit részben a szervezet biztonságtechnikai elvárásai, részben az üzleti kiszolgálás igényei szerint kell definiálni. Az azonosítás folyamata során a rendszer az azonosítással védett szolgáltatás attribútumai alapján, valamint az azonosítás „erőssége” alapján kikalkulál egy scoring értéket. A funkció engedélyezés feladata az így kialakult számszerű értéknek, valamint a szervezet előre meghatározott funkciókockázati szintjeinek egymással való megfeleltetése. 4.2.5 A tudásbázisú ügyfélazonosítás szervezeti haszna A vázolt központi azonosítási rendszer kialakítása a szervezet számára többszintű előnnyel jár: ●
az adminisztráció jelentős csökkenésével; egyetlen központi felületen keresztül szabályozhatóvá válnak a felhasználók szolgáltatás és termékhozzáférési jogai.
●
az ügyfélkapcsolatok médiumfüggetlen jogosultság kezelése lehetőséget teremt a korábban csatornákhoz kapcsolt termékhasználati korlátok összegzéséhez, mely a kockázatkezelés új lehetőségét alakítja ki a szervezetben
●
a központi azonosítás lehetővé teszi, hogy az azonosítás módja ne kötődjön a médium fajtájához19. Ezzel az értékesítési médiumok kereszthasználata rendkívüli mértékben megnőhet.
4.3 Visszaélések, támadások világa Tudott tény, hogy a pénzintézeti szolgáltatásokkal kapcsolatos visszaélések jelentős része bennfentes információra alapuló „támadás”, mely sok esetben rendszerhiányosságokon vagy logikailag nem zárt, hiányos munkafolyamatokon alapszik. Ezek ellen a védekezés az adott szervezet felkészültségi szintjének és belső ellenőrzésének javításával korrigálható. Ugyanakkor a visszaélések másik csoportjába tartozó „kísérletező” módszerek is jelentős károkat tudnak okozni e szervezeteknek. A magyar bankszektort sem kerülték el azok a 19 Például saját üzemeltetésű ATM rendszer estén képessé válik a szervezet a pénzfelvételhez hagyományosan használt bankkártya mellett egyéb, pl. az internet banking szolgáltatás felhasználónév/jelszó pár megadásával történő pénzkiszolgálás megvalósítására.
INTERNET BIZTONSÁGI TANULMÁNY
58
külső támadások, amelyek elsősorban az internet banki ügyfeleket célozták meg. Ezek a kezdeti időszakban jelszófeltöréseken alapuló támadások, illetve támadási kísérletek voltak. Ennek egyik újabb és a korábbiaknál hatékonyabbnak bizonyult módszere a phishing20 típusú támadások, melyek közül az elsők 2006ban következtek be. A támadások rávilágítottak arra, illetve megerősítették azt az ügyfélelvárást is, amely szerint elsődlegesen maga a bank vagy pénzintézet tegyen meg mindent az ügyfelek biztonsága érdekében és minél kevesebb erőfeszítést, technikai/technológiai befektetést, anyagi áldozatot követeljen az ügyfelek oldaláról. 4.3.1 Elkövetési módszerek Napjainkra a bűnözés elérte azt a jelentős mértéket, hogy az információ technológiai alapokra, infrastruktúrára is veszélyes lehet, de emellett a teljes pénzintézeti és azon vállalati, technológiai szektor is veszélyben van, ahol fontos és könnyen értékesíthető ügyfél és üzleti adatvagyon található. Az adatlopásokat – legyen az hitelkártya adat, elektronikus identitás, bármilyen áruba bocsátható információ – jellemzően bűnszövetkezetben tevékenykedő szervezett bűnözők hajtják végre. A megszerzett adatokat kvázi epiacterek segítségével bocsátják áruba. Sőt, mára ez az „iparág“ is kitermelte saját szolgáltatásait: egyik ilyen például Crimewareasa Service (CaaS) néven elérhető a világ bármely pontjáról. A cyberbűnözés szinte egykorú az internet kialakulásával. Napjainkban az adatlopás (kiemelten a személyiség lopás – identity theft), adathalászat, a kártékony programok (összefoglaló nevükön malwareek) számának jelentős növekedése, illetve a kritikus hálózati elemek, infrastruktúra, közszolgáltatások elleni támadások jelentik a legnagyobb problémát, kihívást. A veszélyek növekedése mellett a támadások elleni védekezésért felelős szervezetek, vállalaton belüli részlegek is egyre jobban megismerik az elkövetési módszereket, az ellopott adatok terjesztésének csatornáit, (bűn)szervezeti kereteit. Ez a folyamat részben egyes nemzetközi szolgáltatókat is rákényszerített a válaszadására, részben önkéntes szerveződések, államilag finanszírozott szervezetek életre hívását is katalizálta. Ezen szervezetek feladata a megelőzés és a védekezés segítése, és támogatás nyújtása az adatlopások minél hatékonyabb semlegesítéséhez, a kártékony honlapok üzemeltetésének 20 Az egyes támadási formák kifejtését lásd később.
INTERNET BIZTONSÁGI TANULMÁNY
59
minél gyorsabb és hatékonyabb eltávolításához a világhálóról. 4.3.2 Pénzintézetek és ügyfeleik elleni tipikus támadási sémák A visszaélési lehetőségeket kereső bűnözők világában gyorsan tudatosult a tény, hogy a pénzintézetek által egyre jobban ösztönzött és terjesztett elektronikus szolgáltatások felhasználói – a pénzeszközök tulajdonosai – jó támadási célpontok. A pénzintézetek jellemzően a tömegkiszolgálásban részt vevő ügyfelek irányába nyitották meg elsősorban tömeges csatornakiszolgálási kultúrájukat, hiszen ezen a területen tudtak ezáltal a leghatékonyabban kiszolgálási költséget csökkenteni, esetenként új ügyfélkört szerezni. Ugyanakkor ezek a fejlesztések nem számoltak azzal, hogy az elért szervezeti szintű megtakarítások egy részét biztonságtechnikai fejlesztésekre, illetve az ügyfélkör tudatos felhasználói oktatására kellene fordítani. Maguk a pénzintézetek lényegesen többet képesek tenni és tesznek is „saját” biztonságukért, szélesebb körű technikai és emberi erőforrással rendelkeznek a támadások kivédésére. Ezzel a támadók is tisztában vannak és nem is a banki rendszereket próbálják meg feltöri, hanem az ügyfeleknél próbálkoznak. Korábban a támadók elsődlegesen az operációs rendszerek sebezhetőségeit igyekeztek kihasználni, napjainkra ez a trend változik, a támadások során a különféle alkalmazások is egyre gyakrabban kerülnek előtérbe. Különösen igaz mindez a webböngészőkre, az irodai programokra, valamint a multimédiás szoftverekre. Az alábbiakban azokat a támadási lehetőségeket, kártékony kódokat (összefoglaló nevükön malware21) ismertetjük, amelyek a legelterjedtebbek és emiatt a legnagyobb veszélyt jelentik a pénzintézetek és ügyfeleik számára. ●
phishing (adathalászat) – a korábbi egyéb, technikailag összetettebb és nagyobb felkészültséget igénylő betörési módszerek helyett ma az elektronikus csatornák felhasználóit elsődlegesen phishing típusú támadásokkal veszik célba. „A phishing – vagy magyarul adathalászati támadások – általában emailben történő megkereséssel kezdődnek, és különféle hivatalosnak látszó szövegekkel próbálják rávenni bankok és online áruházak ügyfeleit, hogy látogassanak el egy adott
21 Az angol malware kifejezés a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok, férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a rendszer működését láthatatlanul ellenőrző rootkitek. Az egyes támadások definíciójának alapja a wikipedia.hu.
INTERNET BIZTONSÁGI TANULMÁNY
60
weboldalra és adják meg személyes adataikat. A levélben található link természetesen a csalók saját honlapjára vezet, mely azonban megtévesztésig hasonlít az eredeti (banki vagy egyéb) portálra.”22 (A pharming a phishing egyik technikája, amelyben az esetek többségében egy banki vagy pénzkezelési weboldalra nagyon hasonlító vagy azzal megegyező állappal a csaló megszerzi a felhasználó bankkártyaszámát, titkos jelszavait stb., mivel azokat ő maga adja meg, mert úgy hiszi, hogy az eredeti, megbízható oldalon jár. Szintén pharming a DNS szerverek és domének támadása is.) Az illetéktelenül megszerzett azonosítókkal, jelszavakkal azután a bűnözők vagy megpróbálnak saját maguk azonnal hozzáférni a számlához és arról pénzt elutalni, vagy csomagban értékesítik más bűnözőknek a megszerzett adatokat. Az egyik szakmai szervezet 2008. II. féléves jelentése szerint a pénzintézetek és a tranzakciókat, fizetési szolgáltatást biztosító szolgáltatók ellen irányult az adathalász támadások több, mint 2/3a (lásd a következő ábra).
Forrás: Phishing Activity Trends Report Q2/2008/ AntiPhishing Working Group ●
kémprogramok (spyware) – az olyan, főleg az interneten terjedő számítógépes programok összessége, amelyek célja, hogy törvénytelen úton megszerezzék a megfertőzött számítógép felhasználójának személyes adatait. A kémprogramok feltelepülése általában észrevétlenül történik, a felhasználó figyelmetlenségének és a számítógép böngészőprogramja biztonsági hiányosságainak kiaknázásával. Léteznek azonban magukat álcázó – trójaiakra hasonlító – programok is, amelyek a felhasználó közreműködésével települnek egy rosszindulatú kódot tartalmazó
22 Leplezzük le az adathalászok trükkjeit! – virushirado.hu, 2006.04.03.
INTERNET BIZTONSÁGI TANULMÁNY
61
honlapról. A megszerzett információkat (hitelkártya számok, online szolgáltatások jelszavai) általában bűncselekmények elkövetésére vagy enyhébb esetben böngészési szokásaink, érdeklődésünk, ízlésünk megfigyelésére használják fel. ●
billentyűfigyelő (keylogger) programok – ezek az alkalmazások feltelepülve a felhasználó számítógépére képesek rögzíteni az elvégzett billentyűleütéseket, a leütéssorozathoz tartozó esetleges webcímet, majd ezeket az adatokat tulajdonítják el.
●
hátsó ajtók (backdoorok) – olyan számítógépes programot takar, amelynek segítségével a támadók a felhasználó tudta nélkül férhetnek hozzá a számítógépéhez. Ilyen hátsó ajtó lehet hivatalos is, beépítve valamely irodai programba vagy operációs rendszerbe, segítve a valós rendszergazdák munkáját, a hibák kijavítását távolról az adott munkaállomáson.
●
A trójaiak – számítógépes értelemben a trójai faló: egy olyan program, ami mást tesz a háttérben, mint amit a felhasználónak mutat. Az elnevezés a görög mitológiában szereplő trójai falóból származik, utalva Odüsszeusz cselvetésére, hogy a görögök megnyerjék a trójai háborút. Egy trójai nem feltétlenül tartalmaz rosszindulatú programkódot, azonban a többségük tartalmazza az ún. hátsó kapu telepítését, ami a fertőzés után biztosítja a hozzáférést a célszámítógéphez vagy hordozhat más kártékony kódot is, amelyek segítségével az említett hátsó ajtó nyitható vagy számítógépen tárolt adat lopható el. Terjedése főként egyedi támadásoknak és az emberi hiszékenységnek köszönhető. Trójaival való megfertőződésnek forrása lehet egy email üzenet csatolmánya vagy azonnali üzenetküldő program, de megkaphatjuk CDn vagy egyéb adattárolón is. A leggyakoribb fertőzési módszert azonban a letöltések és a veszélyes honlapok jelentik.
●
maninthe middle (MITM) támadások során rendszerint egy korábban telepített spyware és backdoor program segítségével a bűnözők láthatatlanul beállnak a felhasználó és a bank szervere közé és az ügyfél tudta nélkül az elküldés után változtatják meg a tranzakció adatait (pl.: összeg, kedvezményezett számlaszáma), mielőtt az a bankhoz beérkezne – ergo az ügyfél mást küld be a banknak, mint szeretett volna.
●
maninthe browser (MITB) támadások – hasonlóak a MITM támadási típusokhoz,
INTERNET BIZTONSÁGI TANULMÁNY
62
a beékelődés a felhasználó böngészőjébe történik és arra irányul, hogy a felhasználó által látott böngésző tartalmat változtatja meg. Talán ezek a legveszélyesebb formái az ügyfeleket érő támadásoknak – bár elterjedésük még nem jelentős, de várhatóan ezek lesz az egyik legkedveltebbek. ●
DNS cache poisoning támadás – ebben az esetben a felhasználó számítógépén az operációs rendszerben lévő hálózati beállításokat változtatják meg a támadók (tipikusan a DNS átjárót állítják fix IP címre), így a felhasználó nem arra a weboldalra fog jutni, mint amit beírt – ez leginkább internetbanki oldalak esetében veszélyes, mert a felhasználó egy csalárd oldalra fog kerülni, holott a helyes címet adta meg a böngészőjében. Ez a támadási típus is valamely másik támadással kombinálva működik (pl.: spyware).
●
A rootkit olyan szoftver rendszer, amely egy vagy több programból áll, és arra szolgál, hogy elrejtse azt a tényt, hogy a rendszer fertőzött, és így a vírusirtó és anti spyware védelmi programok nem képesek jelezni a veszélyt. A rootkit gyakran trójai program is egyben, és a felhasználó gyanútlanul használja az így álcázott alkalmazást. A rootkit segítségével szabadon települhet a gépre backdoor, keylogger és egyéb ártó program.
●
GIFAR támadás – ez nem más, mint egy kép (GIF) és egy Java archív alkalmazás (JAR) kombinációja, egy olyan kép, amelynek a megtekintése is veszélyes, hiszen egy futtatható kódot tartalmaz és alkalmas lehet, pl.: jelszavak begyűjtésére. Terjedhet emailben („Kattints rá a képre, jópofa!”) vagy olyan weblapokon, ahová a felhasználók szabadon tölthetnek fel képállományokat.
●
Flash fileok alkalmazása kártékony kódok terjesztésére – a 2008as év újdonságaként került napirendre az a támadási lehetőség, amely az Adobe Flash tartalmakon (pl.: animációk, reklám bannerek) keresztül fertőzi meg a felhasználó rendszereit, ráadásul mindezt megbízható(nak tűnő) weboldalak segítségével.
●
PDF állományok fertőzése – hasonlóan a Flash alapú támadáshoz, a kártékony kód a felhasználók által biztonságosnak hitt pdf formátumú fileban rejtőzik és megnyitását követően lendül támadásba.
Ami biztosan megállapítható, az a következő: a bűnözők nem egyetlen típusú támadást alkalmaznak, hanem különböző elemeket építenek össze a kívánt cél – pénzszerzés – elérése érdekében.
INTERNET BIZTONSÁGI TANULMÁNY
63
Egy ilyen komplex támadás a gyakorlatban: Meglátogatva egy fertőzött weboldalt, egy rootkittel védett féreg települ a felhasználó gépére, amely elvégzi a „piszkos munkát”. A védelem típusa miatt egyes – igen elterjedt és népszerű – víruskeresők sem tudják kiszűrni a támadót, nem tudnak figyelmeztetni a veszélyre. A támadás úgy zajlik, hogy a féreg – érzékelve, hogy a meglátogatandó oldal banki alkalmazás – felülírja a Windows IP konfigurációját dinamikusról fix átjáróra (DNS cache poisoning) és ezzel eltéríti az ügyfelet egy hamis oldalra, amely megtévesztésig hasonlít az eredeti internet banki honlapra. Amennyiben az ügyfél megadja az azonosítóit – nem figyelve arra, hogy a nyitólapon miért kérik be tőle pl.: az aláíró jelszót is – máris lemondhat a számláján elhelyezett pénzről. A féreg arra is képes, hogy a böngészőablakban más információt jelenítsen meg tranzakció indításakor, mint ami valójában elküldésre kerül a banknak (klasszikus maninthebrowser támadás). Amennyiben nincs olyan többfaktoros azonosítása az ügyfélnek, ahol az aláírás függ a korábban beküldött kéréstől (challenge response – pl.: az aláíró SMSben szerepelnek a beküldött tranzakció adatai – azok az adatok, amelyeket a bank valójában megkapott, nem pedig, amit esetleg az ügyfél látott), akkor tudomása nélkül fog átutalni más számlájára. A cyberbűnözők a fertőzött gépekből többnyire ún. botnet (zombiszámítógép) hálózatokat hoznak létre, amelyeket további törvénysértő tevékenységükhöz használnak. Sok támadás az ilyen fertőzött gépekből álló zombi hálózatok segítségével, a tulajdonosok tudta nélkül zajlik. Mire használható egy ilyen botnet? Segítségével túlterheléses (DDOS – distributed denial of service) támadás indítható infrastruktúra elem vagy intézményi honlap szolgáltatása ellen, de felhasználható nagy mennyiségű kéretlen reklámlevél (spam) vagy phishing levél küldésére is. A nagyszámú fertőzött számítógép miatt ez a veszélytípus sem elhanyagolható, segítségével még könnyebben elbújhatnak a bűnözők. Eset példa az ellopott adatok piacára 2007 júliusa és 2008 júniusa között a Symantec kutatói szerint a bűnözők szerverein
INTERNET BIZTONSÁGI TANULMÁNY
64
meghirdetett összes áru értéke meghaladta a 276 millió dollárt.23 Egy kártyáért típus szerint 1570$t is kérnek az adatokat megszerzők.24. A megvásárolható „csomag” nem csupán a kártyaszámot és a kártyabirtokos nevét tartalmazza, szerepel(het) benne: ●
kártyabirtokos telefonszáma
●
email címe
●
társadalombiztosítási azonosítószáma
●
lakcíme
Ezen az adatok segítségével könnyedén létrehozható hamis személyazonosság (identity theft – az angolszász országokban ez talán a legnagyobb biztonsági probléma), amellyel újabb bűncselekmények követhetők el akár pénzintézetek ellen is (pl.: nagyobb összegű hitelt vesz fel egy pénzintézetnél). A hamisítók utángyártott, másolt hitelkártyák, bankkártyák segítségével többféle módon is hozzájuthatnak a számlatulajdonos pénzéhez készpénz felvétel vagy online és offline fizetés, vásárlás (árurendelés) útján. A bűnözők között azért közkedveltek ezek az adatok, mert rövid idő alatt sok pénzt kereshetnek az értékesítésükkel.
4.4 Elterjedt internetbank biztonsági megoldások Biztonsági megoldások tekintetében megosztott a hazai pénzintézeti piac, hiszen van olyan bank, amely már hosszú évek óta chipkártyás, kártyaolvasós, elektronikus aláírást használó internet bankot kínál ügyfeleinek, szemben olyannal, amelyik csak a közelmúltban vezetett be többfaktoros azonosítást25. Egy dologban minden pénzintézet hasonló: általános minimális elv a pénzintézetek között, hogy az internetes tranzakciós csatornájukat SSL (secure socket layer) titkosítással védik, a banki szerverek rendelkeznek ehhez nemzetközileg elfogadott tanúsítványokkal, így az ügyfelek ellenőrizhetik akár még belépés előtt a másik (banki) oldal „személyazonosságát”.
23 Online maffia: banki adatokra utaznak – privatbankar.hu (2008. december 27.) 24 Finjan Malicious Code Research Center Web Security Trends Report (2008 Q2) 25 A hazai vezető bankok konkrét megoldásainak felsorolása egy másik fejezetben
INTERNET BIZTONSÁGI TANULMÁNY
65
4.4.1 Pénzintézetek és ügyfeleik elleni tipikus támadási sémák Alapnak tekinthető, hogy a pénzintézetek ellátják ügyfeleiket valamilyen felhasználói azonosítóval, amelyet az internet bankba történő belépésre használnak. Ezt az azonosítót egészíti ki egy bejelentkező jelszó, amely lehet statikus (bizonyos időközönként, illetve legelső bejelentkezéskor kötelezően megváltoztatandó) vagy dinamikus. A legelterjedtebb többfaktoros/dinamikus azonosítási módszer az egyszer alkalmazható jelszó (one time password – otp) használata. Az egyszer alkalmazható jelszó többféle módon is eljuthat az ügyfélhez: ●
lehet előre kiosztott kódsor (TAN kód), amelyet a felhasználónak meghatározott sorrendben kell „elfogyasztania”, de emiatt időszakonként újabb kódsort kell igényelnie.
●
megkaphatja a felhasználó a banknál rögzített mobilszámára SMSben,
●
lehetséges képezni hardver eszközzel (token vagy chipkártya segítségével),
●
lehetséges szoftveres token eszköz segítségével (mobil – JAVA, SIM; web; virtuális)
Az egyszer használatos jelszó legbiztonságosabb formája, amikor tartalmaz valamilyen, az adott tranzakcióra vonatkozó információt, amelyből az ügyfél/felhasználó azonosíthatja, hogy éppen mit ír alá. Ez lehet többféle: ●
SMSben kapott otp esetén az üzenet tartalmaz azonosító információkat (pl.: kedvezményezett számlaszám, összeg, értéknap),
●
token által generált otp esetén plusz megerősítés (challengeresponse mód) a tranzakcióra érkező első válasz adatai segítségével
A hazai pénzintézetek között a leggyakrabban alkalmazott többfaktoros azonosítási módszer a felhasználói azonosító (User ID) + egyszer használatos jelszó SMSben való kiadása, amelyet legtöbb esetben már az internet bankba belépéskor is használni kell, valamint az egyes (vagy kötegelt) megbízások aláírásához is. Persze itt is többféle megoldás létezik: ●
User ID + statikus bejelentkező jelszó + SMS otp a tranzakciók hitelesítéséhez (DE az SMS NEM tartalmaz tranzakciós adatokat)
●
User ID + statikus bejelentkező jelszó + SMS otp a tranzakciók hitelesítéséhez (az
INTERNET BIZTONSÁGI TANULMÁNY
66
SMS TARTALMAZ tranzakciós adatokat)26 ●
User ID + egyetlen bejelentkező és egyben tranzakció hitelesítő jelszó SMS otp formájában (DE limitált összeghatárok)
●
User ID + bejelentkező és tranzakció hitelesítő jelszavak SMS otp formájában
●
User ID + bejelentkező és tranzakció hitelesítő jelszavak hardver token segítségével User ID + bejelentkezés és tranzakció hitelesítés chipkártya + PIN kód segítségével
A fenti azonosítási megoldások a legelterjedtebbek, de ezeken kívül mást is alkalmaznak még a pénzintézetek (pl.: virtuális billentyűzet a jelszó begépeléséhez). Pénzintézeteink ilyetén módon megfelelnek a Felügyelet által 1/2009es sorszámmal kiadott ajánlásnak, mely szerint elvárt az ügyfelek és ügyleteik többfaktoros azonosítása. A legtöbb pénzintézet egyébként egy időben többféle azonosítási módszert is használ, annak függvényében, hogy az ügyfél/felhasználó milyen műveleteket és milyen tranzakciós limitekkel hajthat végre az interneten keresztül. Az azonosítást több pénzintézet kiegészíti egyéb biztonsági szolgáltatással is, pl.: sikeres/sikertelen bejelentkezésről, tranzakciókról SMS/email üzenetet küld a felhasználó számára. Azok a pénzintézetek, amelyek többfaktoros azonosítást használnak, az azonosítás költségeit jellemzően megosztják az ügyfelekkel: általában átvállalják tipikusan az SMS díját, míg a token és egyéb hardvereszközök (chipkártya, kártyaolvasó) árát részben vagy egészben áthárítják (vagy magasabb díjú számlacsomaghoz kínálják ingyenesen). Biztonsági szempontból azok a megoldások jelentenek választ a kor kihívásaira, ahol az ügyfél valamely másik csatornán meggyőződhet arról, hogy a bankkal kommunikál, illetve a bank azt az utasítást hajtja/hajtotta végre, amelyet ő maga kért, ezért a „sima” one time password erre nem ad megnyugtató választ! Azok a bankok, amelyek kizárólag ezt az azonosítási, aláírási módot használják, feltétlenül el kell gondolkozzanak azon, hogyan fejlesszék tovább, tegyék biztonságosabbá módszereiket. A mobil is vonzó célponttá válik Mivel a mobil penetráció már Magyarországon is 100% fölé emelkedett és egyre több bank kínál hozzáférést mobil csatornán keresztül ügyfelei számára számláikhoz, nem szabad 26 Ebben az esetben nagyobb védelmet nyújt a maninthemiddle típusú támadásokkal szemben
INTERNET BIZTONSÁGI TANULMÁNY
67
figyelmen kívül hagyni a különféle fenyegetéseket – vírusok, férgek, kémprogramok, adathalászat, spamek és trójaiak –, melyek mára már valós veszélyt jelentenek a mobilkészülékekre és mobilhálózatokra nézve is. Az ügyfelek általában különböző bizalmas és érzékeny információikat, adataikat nagyrészt titkosítatlanul tárolják mobil eszközeiken, elvesztésük, ellopásuk esetén könnyen kerülhetnek rossz kezekbe. Mint csatornát, a pénzintézeteknek ezt is ugyanolyan módon kell kezelniük, mint az Internetet, ha nem komolyabban, készülve a jövő kihívásaira, ugyanis pl. már megjelent a phishing mobilos megfelelője a smishing, amelynek segítségével a támadók valótlan tartalmú SMSüzenettel kártékony weboldalakra csalogatják a címzettet.
INTERNET BIZTONSÁGI TANULMÁNY
68
5 Kockázatvállalás és/vagy biztonság, valamint a használhatóság kapcsolata A korábbi fejezetekben áttekintettük az elektronikus csatornák fejlődését (hogyan váltak úttörő, forradalmian új megoldásból a mindennapok szerves részévé), a felhasználók attitűdjeit, az internet banki felhasználók és az elvégzett tranzakciók számának, arányának dinamikus növekedését, a felhasználókat fenyegető veszélyeket. Jelen fejezetben azt vizsgáljuk, hogy a pénzintézeteknek milyen módon kell értékelniük az elektronikus csatornákhoz – kiemelten az internethez – kapcsolódó kockázataikat, hiszen a nagy felhasználói és tranzakciós számok komoly üzleti és kockázati tényezővé teszik azt/azokat. A pénzintézetek nem léphetik át az internetes csatornát, amikor a rendes működési kockázataikat elemzik, hiszen ezen a csatornán sok bank esetében már a tranzakciók (pl.: átutalások, átvezetések, betétek) 5080%a zajlik. A kockázat elemzés, besorolás, illetve az ebből fakadó esetleges fejlesztések során nem szabad szem elől téveszteni, hogy a biztonság növelésére való törekvés nem mehet a használhatóság rovására, hiszen akkor az ügyfelek/felhasználók nem fogják igénybe venni a csatornát és a ráfordítások nem fognak megtérülni. Általánosságban elmondható az, hogy a könnyen, egyszerűen használható internetbank (pl.: egyszerű User ID + jelszó védelem) nem ad megfelelő biztonságot, magas a kockázati szintje, esetleg a használatába pénzügyi limiteket kell beépíteni, ami viszont már visszahat a használhatóságra. Ha emeli a bank a biztonságot – ergo csökkenti kockázatát, akkor viszont a használhatóság romolhat (pl.: chipkártyás, kártyaolvasós azonosítás használata), kvázi elriasztja az ügyfelet a csatornától. A kockázatokat soha nem lehet teljes mértékben megszüntetni, főleg az internetes alkalmazások esetében, hiszen az iparág és a technológia fejlődése gyors, önmagában is hordozza a kockázatot. Célként határozhatják meg, hogy olyan informatikai/biztonsági fejlesztéseket, folyamatoptimalizációkat hajtanak végre a csatornákon, amelyek optimalizálják a kockázatokat és a használhatóságot is figyelembe veszik.
INTERNET BIZTONSÁGI TANULMÁNY
69
A fenti megállapításokból is leszűrhető, hogy a bankoknak arra kell törekedniük, hogy használható, de kockázatok tekintetében is megfelelő internet bankokat hozzanak létre.
5.1 Elvárt biztonság Ahogyan már korábban is elhangzott, az ügyfelek elvárják, hogy bankjuk gondoskodjon elektronikus csatornáinak védelméről ugyanúgy, ahogyan azt egy valóságos bankfiók esetében is megteszi, minél kevesebb feladatot, elsajátítandó ismeretet róva rájuk. Az is elvárásként fogalmazódik meg – és levezethető az előzőekből , hogy a kialakított biztonsági szintekért, növelt színvonalért nem szeretnének az ügyfelek feltétlenül többet is fizetni, inkább nem használják a csatornát. Ők maguk is felismerték, hogyha elektronikus csatornát (internet bankot) használnak, akkor az nem csak nekik olcsóbb, hanem a banknak is, hiszen kvázi helyette dolgoznak.
5.2 Az elfogadható kockázati szint kialakítása Hogyan határozható meg az elfogadható kockázati szint? Az alábbi tényezőket mindenképpen figyelembe kell venni a meghatározás során: ●
Külső befolyásoló tényezők ∘
●
a szervezetet és ügyfeleit érintő: biztonsági kitettségek, jogszabályi környezet
Belső befolyásoló tényezők ∘
a szervezet üzleti céljai.
Amennyiben a felsoroltakat a kockázati besorolás két alapkövének tekintjük, akkor megállapítható, hogy segítségükkel meghatározható az elfogadható kockázati szint a bank számára. A kockázati besorolást minden elektronikus csatornára különkülön, azok sajátosságait figyelembe véve el kell végezni és minden lényeges fejlesztést (üzleti, informatikai, biztonsági) követően újraértékelni, rendszeres időközönként – ahogyan az a Felügyelet hivatkozott ajánlásában is szerepel – felül kell vizsgálni, hiszen maguk a kockázati tényezők is változnak.
INTERNET BIZTONSÁGI TANULMÁNY
70
5.3 A kockázatkezeléssel kapcsolatos problémák és a válaszlépések Többször került már szóba a Felügyelet ajánlása, így összefoglaljuk, miben segíthet kockázati oldalon azon hazai pénzintézeteknek, amelyek internetes szolgáltatást nyújtanak ügyfeleinek: ●
Integrált, egységes megközelítést biztosít
●
A különböző elektronikus csatornák jellegzetességeiből fakadó kockázatokat egységes szemléletben értékelteti és kezelteti
●
Az adott elektronikus csatorna védelmi szintjének következetes besorolására és annak megfelelően a kockázatok kezelésére ösztönöz
●
Bevezeti a best practice használatát
●
Az elektronikus csatornák működtetésének, felügyeletének szervezeten belüli összehangolását teszi szükségessé
●
Nemcsak technikai, hanem üzleti szemléletű megközelítést (pl.: folyamatok, üzleti szabályzatok szintjén) is elvár az internetes csatornák fejlesztését, kockázati kezelését illetően
●
„Kikényszeríti” a csatornával foglalkozó szakembergárda megfelelő szintű képzését.
A fenti pontok egyben rávilágítanak azokra a problémákra is, amelyekkel a hazai pénzintézeti szektor is küzd az internetes kockázatok kezelése során, de remélhetőleg a Felügyelet ajánlása, útmutatása alapján elvégzik azokat a feladatokat, amelyek a kiutat jelentik a jelenlegi helyzetből.
5.4 Megelőzés Ahhoz, hogy a pénzintézetek megelőzhessék vagy csökkentsék az esetleges támadások során bekövetkező károkat, azonosítaniuk kell az elektronikus csatornák használata okozta kockázatokat, azok kezelésére ki kell dolgozniuk és alkalmazniuk kell a saját technikáikat (informatikai, üzleti fejlesztések, szabályozások formájában). Természetesen a vázolt elkövetési módszerek tanulmányozása, a várható bűnözési trendek figyelemmel kísérése is fontos, hiszen újabb és újabb kihívásokkal kell szembenézniük a pénzintézeti szektor szereplőinek. A visszaélések megelőzésében a pénzintézetek fejlesztésein túl többszörösen
INTERNET BIZTONSÁGI TANULMÁNY
71
kihangsúlyozandó, fontos szerepe van a valóban hatékony ügyfél tájékoztatásnak, ügyfél oktatásnak. 5.4.1 A megelőzés és védekezés hatékonyságához szükséges szervezeti keretek A hatékony megelőzéshez és védekezéshez a probléma kezelésében érintett magyarországi szervezetek szervezetek közötti, valamint nemzetközi szintű együttműködések is szükségesek, ugyan is az internet világa globális és a problémák is globálisak. Egy globális környezetben nem elégséges az a megelőzési és védekezési megközelítés, hogy sziget szerűen mindenki a saját erőforrásaival próbálja meg megelőzni a problémákat és védeni magát. Nemzetközi szinten ezt a globális együttműködési igényt már felismerték: ●
Létrejöttek a hálózatbiztonsági incidens kezelő csoportok (CERTek – Computer Emergency Response Team, vagy CSIRT, CIRT, stb) globális, regionális és egyéb szempontú együttműködési keretei:
●
FIRST (Forum of Incident Response and Security Teams): a CERTek globális fóruma, amely magába tömöríti a nemzeti, kormányzati, akadémiai, üzleti CERTeket. A számos résztvevő által rendszeresen megosztott tapasztalat egy biztos forrást biztosít a tagoknak. A tagságot komoly akkreditációs folyamat előzi meg, mely során kiépül a szakmában legfontosabb erény – a bizalom. Bővebb információ: www.first.org.
●
TFCSIRT/TI: a FIRST mintájára létrejött európai kezdeményezés, amely európai szinten szorgalmazza az információ megosztást és együttműködést az IT biztonság területén. A TI (Trusted Introducer) jelző itt is a megbízható partnert jelzi, melyet akkreditációs folyamat keretében lehet megszerezni. Bővebb információ: www.terena.org/activities/tfcsirt.
●
EGC (European Government CERTs): a kormányzati CERTeket tömörítő, limitált tagságú szervezet nagy befolyással bír hálózatbiztonsági területen, mert támogatott szervezetei a kormányzati hálózatok és a kritikus infrastruktúrák szolgáltatói, melyek megfelelő védelme elsődleges szempont nemzeti szinten. Mivel a pénzügyi szektor is a kritikus infrastruktúrák része, az EGC tagok mindegyike kapcsolatot alakított ki a bankokkal, bankszövetségekkel nemzeti szinten. Információ megosztás, közös fejlesztés és lobbierő alkalmazása EU döntéshozói szinten mind az EGC kitűzött
INTERNET BIZTONSÁGI TANULMÁNY
72
feladatai közé tartozik. Tagság szerzés csak a tagok hozzájárulását követő akkreditáció után történhet. Bővebb információ: www.egcgroup.org. Létrejöttek olyan együttműködések is, ahol nem csak a hálózatbiztonsági szervezetek, hanem a bűnüldöző szervek és a döntéshozók is jelen vannak: ●
IWWN (International Watch & Warning Network): a 15 országot tömörítő, 2005ben alakult kezdeményezés a kommunikációt és információ megosztást hivatott elősegíteni a tagok IT biztonsági kormányzati döntéshozói, a hightech bűnüldözés és a nemzeti/kormányzati CERTek között a hálózatbiztonság és a kritikus információs infrastruktúrák védelme érdekében. A zárt szervezet rendszeres gyakorlatokon keresztül és középtávú akciótervvel igyekszik a céljai elérésében. A szervezet tagjai egységesen elfogadják és alkalmazzák az érzékeny információk megosztására vonatkozó közös alapelveket.
●
Meridian folyamat: az IWWNhez hasonlóan, ez a globális kezdeményezés is a hálózatbiztonság és a kritikus információs infrastruktúrák védelme érdekében jött létre, a kormányzati döntéshozókra fókuszálva. A tagság, illetve részvétel nyílt, nemzeti szinten történik. A folyamat fő eredményei a legjobb gyakorlatok összegyűjtés és megosztása, a kormányzat és kritikus infrastruktúra szolgáltatók közti szorosabb együttműködések elősegítése, a magánszektor kritikus infrastruktúravédelmi feladataival kapcsolatos nézetek figyelembevétele.
A pénzügyi területen is megtörténtek az első lépések egy európai együttműködés beindítására a témában: ●
Európai pénzügyi ISAC27: 2008ban magyarholland kezdeményezésre született az ENISA támogatásával egy európai szintű pénzügyi információ megosztó mechanizmus, melynek célja a pénzügyi szektort és annak ügyfeleit veszélyeztető támadások elleni védelem. Bankok, bankszövetségek, CERTek, bűnüldözési szervek – köztük az EUROPOL, fizetési rendszerek képviselői lehetnek tagjai a hálózatnak, melynek intézményesítése jelenleg folyamatban van. Itt is érvényes, hogy a tagok egységesen elfogadják és alkalmazzák az érzékeny információk megosztására vonatkozó közös alapelveket.
Az EU szintjén is külön ügynökség (ENISA – European Network and Information Security Agency) foglalkozik a hálózatbiztonsági kérdésekkel, ahol Magyarországot a Puskás Tivadar 27 ISAC – Information Sharing and Analysis Center (Információ Megosztó és Elemző Központ)
INTERNET BIZTONSÁGI TANULMÁNY
73
Közalapítványon belül működő CERTHungary Központ képviseli egy alelnöki tisztséget betöltve. Ezekben a nemzetközi együttműködésekben a PTA CERTHungary Központ28 részben akkreditált tag (FIRST, TFCSIRT/TI, EGC), részben alapító tag (IWWN). A PTA CERT Hungary Központ célja ezekben a szervezetekben, hogy képviselje Magyarország érdekeit, megjelenítse a magyar álláspontot, biztosítsa az együttműködési lehetőségeket Magyarország számára, valamint a legjobb gyakorlatokat megismerje és terjessze Magyarországon. A PTA CERTHungary Központ nemzetközi érdek képviseleti tevékenységének eddig az alábbi hazai eredményei érzékelhetők: ●
A 2006 őszén kezdődött első nagyobb, a hazai bankokat támadó, adathalász incidens hatékony és gyors felszámolása a FIRST, TI/TFCSIRT, EGC és IWWN szervezetek segítségével.
●
A nemzetközi ISAC modell hazai alkalmazása, először a pénzügyi területen, aminek az eredménye az Incidens Kezelési Munkacsoport (IKMCS):
●
Az IKMCS tagjai: Pénzügyi Szervezetek Állami Felügyelete, Magyar Bankszövetség, Nemzeti Nyomozó Iroda, PTA CERTHungary Központ.
●
Az IKMCS célja: Információ megosztás és koordináció a pénzügyi szektort érintő hálózatbiztonsági fenyegetések és incidensek esetén.
●
Az IKMCS tevékenységei: Rendszeres információ megosztási és koordinációs megbeszélések, éves szintű incidens kezelési gyakorlatok.
●
Az IKMCS nemzetközi tevékenysége: Az Európai pénzügyi ISAC egyik alapítója, az alakuló ülés 2008. novemberében, Budapesten került megrendezésre 14 ország és számos nemzetközi szervezet szakembereinek részvételével.
●
Tudatosítási tevékenység: a PTA CERTHungary nemcsak a bankokkal működik együtt, illetve nyújt hálózatbiztonsági szolgáltatásokat, hanem a felhasználók tudatos internethasználatát is fontos feladatnak tartja. Ennek érdekében jött létre a
28 A PTA CERTHungary Központ (PTA CHK) a magyar kormány informatikai biztonsági incidenskezelő központja. Feladata a teljes magyar privát, üzleti és állami szféra informatikai rendszereinek biztonsági támogatása. A Központnak kiemelt szerepe van a nemzetgazdaság és az állami működőképesség szempontjából alapvető fontosságú informatikai rendszerek védelmében. A szervezet egyben tudásközpont szerepét is betölti a magyar polgárok és informatikai szakemberek számára. www.certhungary.hu
INTERNET BIZTONSÁGI TANULMÁNY
74
www.biztonsagosinternet.hu portál, amely a hétköznapi felhasználóknak nyújt segítséget a különböző visszaélésekkel és veszélyekkel kapcsolatban, több banki vonatkozásban, mint pl. online vásárlás, bankkártyás fizetés, adathalászat, biztonságos jelszavak, stb. A PTA CERTHungary Központ kialakított egy olyan szolgáltatás csomagot, amit a hazai pénzügyi szervezetek is igénybe vehetnek. Ebben a szolgáltatási csomagban a PTA CERT Hungary Központ hozzáférést biztosít a vele szerződést kötő pénzintézetek részére a nemzetközi hálózatokhoz és az azon megjelenő információkhoz. A szolgáltatás része az incidenskezelés, aminek igénybevételével a megtámadott pénzintézet egy támadás esetén a kockázati szintjét csökkentheti, ugyanis a nemzetközi hálózatbiztonsági közösség, valamint a vele együttműködő bűnüldözési és döntéshozói szervezetek, hatékonyabban tudnak fellépni, mintha a szervezet saját maga, önerőből próbálná elvégezni egy globális kiterjedésű incidens kezelését. A megelőzés és védekezés témaköre Magyarországon azonban további lépéseket kíván meg minden együttműködő fél részéről: ●
PSZÁF: a pénzügyi szektor szabályozásának és ellenőrzésének során kiemelt hangsúlyt kell fordítania a hálózatbiztonsági problémák kezelésére, illetve támogatnia kell minden olyan tudatosítási tevékenységet, amivel a felhasználók oldaláról csökkenthetők a kockázatok. Folyamatosan részt kell vennie a a pénzügyi információ megosztó csoport (IKMCS) munkájában.
●
Magyar Bankszövetség, tagbankok: A PSZÁF irányelveknek megfelelő rendszereket kell kialakítaniuk, folyamatos tudatosítási tevékenységet kell folytatniuk a felhasználók részére, aktív szerepet kell vállalniuk a hazai hálózatbiztonsági együttműködésekben (IKMCS).
●
Bűnüldöző szervek: Kiemelt figyelmet kell szánniuk a pénzügyi szektort érintő hálózatbiztonsági bűncselekmények felderítésére, együtt kell működniük a pénzügyi információmegosztó csoporttal (IKMCS).
●
PTA CERTHungary Központ: Biztosítania kell a nemzetközi kapcsolatokat a nemzetközi szervezetekhez, folyamatosan fejlesztenie kell a szolgáltatásait a pénzügyi szervezetek igényeihez igazítva, Aktívan részt kell vennie az IKMCS munkájában, szerveznie kell a nemzetközi együttműködéseket.
●
A PTA CERTHungary Központ alapfeladata, hogy a Magyar kormányzat részére
INTERNET BIZTONSÁGI TANULMÁNY
75
biztosítsa a hálózatbiztonsági koordinációs funkciókat, amihez (többékevésbé) megkapja a forrásokat. A pénzügyi szervezetek támogatása egy bizonyos szintig közszolgáltatásként feladata a PTA CERTHungary Központnak, mint kritikus információs infrastruktúra védelmi feladat (pl. IKMCS feladatok, Nemzetközi képviselet), azonban a pénzügyi szervezetek részére a szolgáltatásai csak piaci alapon képzelhetők el, mert erre állami forrás nem áll rendelkezésre. 5.4.2 A globális kockázatok globális válaszokat igényelnek ●
Az internetes bűnözés gyorsasága miatt a reagálás gyorsasága alapkövetelménnyé vált.
●
Az információcsere és a kölcsönös segítségnyújtás nélkülözhetetlen szükséglet üzletági, nemzeti és regionális szinten.
●
Az információ megosztása nemzetközi viszonylatban is elkerülhetetlen.
●
A megelőzés és védekezés módszertanának nemzetközi szintű kidolgozása olyan feladat, amelynek végzésére még nincsenek dedikált intézmények.
●
A bűnüldözés és az igazságszolgáltatás helyi szervei világszerte küszködnek a jól kidolgozott nemzetközi együttműködés rendszerének hiányával.
●
Az internet sajátosságai miatt nem lehet szem elől téveszteni az olyan „apróságokat” sem, mint az időzónák kérdése, hiszen az elkövetők nem feltétlenül akkor alszanak, mikor a megtámadott személy.
INTERNET BIZTONSÁGI TANULMÁNY
76
6 Összegzés és jövőkép Az internet alapú pénzügyi szolgáltatások, azokkal kapcsolatos kockázatok, illetve a lehetséges veszélyek áttanulmányozása után összefoglalva az alábbiakat állapíthatjuk meg: -
Az ügyfelek egyre nyitottabbak az internet alapú bankügyintézés irányába, ugyanakkor ez a nyitottság jellemzően nem társul megfelelő szintű számítógépes és internethasználatbiztonsági ismeretekkel.
-
A pénzintézetek jelentős mértékben átalakították értékesítési modelljüket, melyben az internet alapú kiszolgálás komoly hangsúlyt kapott. Ugyanakkor ezen megoldások jellemzően csak az internet kiszolgálás technikai részleteire koncentrálnak, az azzal együtt járó kockázatok és veszélyek kezelése háttérbe szorul.
-
A világháló adta távoli elérés újfajta bűnözést alakított ki, mely a pénzintézetek számára is komoly veszélyt jelent. A sokszor gyakorlatilag anonim cyber bűnözői csoportok elleni védekezés már nem az egyes pénzintézetek feladata, hanem hazai és nemzetközi szervezetek közös fellépésével alakítható ki. Ebben a munkában mindenkinek a saját maga területén kell megtennie azokat a szükséges lépéseket, melyekkel a kitettséget minimális szinten lehet tartani, illetve a felfedezett visszaélések ellen hatékonyan fel lehet lépni.
Alapkövetkeztetéseink: 1. Vannak pénzintézetek, akik a piacvezető kényelmesnek látszó helyzetében érzik magukat, de nekik sem szabad abba a hibába esniük, hogy a biztonságot elhanyagolják. 2. Lehet nagyon biztonságos internet bankot fejleszteni, csakhogy azt nagyon kevesen fogják használni, mert nem lesz felhasználóbarát. 3. Hiába kiemelkedő egy internet banki megoldás akár biztonságilag, akár funkcionalitását tekintve, ha a potenciális felhasználók előzetesen nem tudnak tájékozódni róla. 4. A fejlesztések során törekedni kell arra, hogy az internet világában felmerülő újabb és újabb fenyegetettségekkel szemben is – legalább középtávon – előretekintő, de használható biztonsági megoldások szülessenek.
INTERNET BIZTONSÁGI TANULMÁNY
77
5. A pénzintézeteknek, felügyeleti szerveknek komoly, összehangolt akciókat kell folytatniuk az ügyfelek oktatása, képzése érdekében. 6. A pénzintézeteknek, felügyeleti szerveknek együtt kell működniük a felmerülő biztonsági kockázatok, új fenyegetettségek hatékony kezelése érdekében. Kiemelt fejlesztési területet jelent a pénzintézetek számára a saját internet banki megoldása használhatósági szintjének emelése. Ehhez átfogó elemzéseket, vizsgálatokat kell végezni a felhasználói szokásokat, piaci trendeket figyelembe véve, de ugyanakkor nem lehet figyelmen kívül hagyni az adott bankban használt alap kiszolgáló rendszerek (pl.: számlavezetők) adottságait sem. Ezek a fejlesztések lehet, hogy nem hoznak túl sok új ügyfelet a bank számára, de a meglévő ügyfelek komfortszintjét, csatornahasználati hajlandóságát növelhetik, ugyanakkor a biztonsági fejlesztések nem ronthatják le az adott internet bank használhatóságát, mert akkor az ügyfelek használati intenzitása fog csökkenni (nem fogják szeretni), a biztonságba történt befektetés pedig soha nem fog megtérülni. A lehetséges fejlesztési trendek, irányok a következőkben kerülnek ismertetésre (ezek mind funkcionalitásban, mind a biztonságra törekvésben jelentkeznek): Az egyik legfőbb trend a nyújtott szolgáltatások körének bővítése, amely nemcsak a sztenderd banki szolgáltatások bevonásában jelentkezhet, hanem pl. a leányvállalati termékek/szolgáltatások (pl. nyugdíjpénztár) integrálásában – ez utóbbiakat főleg azok a pénzintézetek tehetik meg, amelyeknek a hagyományos internet banki szolgáltatásuk már megfelelően gazdag funkciókban. A hagyományos banki szolgáltatások kiterjesztését azok a bankok fogják elvégezni, amelyeknek a jelenlegi szolgáltatása nem elég széleskörű, akár máshol megszokott funkciók (pl. betét lekötés/felbontás, bróker funkciók) hiányoznak. Egy másik fejlesztési irányvonal lehet a különböző csatornák (pl. internet és mobilbank) közötti átjárhatóság biztosítása, a megfelelő biztonsági szintek mellett. Biztonsági szempontból azok a piaci szereplők, ahol még nem általánosan kötelező a többfaktoros azonosítás, bevezetik azt, illetve olyan megoldásokat keresnek és fejlesztenek az ügyfelek számára, amelyek segítségével a főbb fenyegetettségek (pl. MITM támadások) kivédhetők, mindezt használható formában. Értékesítési szempontból olyan fejlesztések fognak megjelenni, amelyek az ügyfelek számára a személyre szabott értékajánlatokat közvetítik, tovább növelve az ügyfél elégedettséget, komfort érzetet.
INTERNET BIZTONSÁGI TANULMÁNY
78
Az elektronikus csatornák számának (típusának) bővítése olyan bankoknál jöhet szóba, amelyek még nem használták ki minden lehetőségüket, de mindenképpen fontos irány lehet a mobil eszközök felé történő nyitás, a kis képernyőkre történő optimalizálás. A fenti – tipikusan üzleti – kihívásokon túl az internetes bűnözés egyre nagyobb kihívás elé állítja a felhasználókat és a pénzintézeteket egyaránt, amelyek szintén válaszokat követelnek, kényszerítenek ki az egyes szereplőktől. Összefoglalóan az internetes bűnözés legfontosabb jellemzői, amelyek napjainkra alakultak ki: ●
Az internet globális elterjedése lehetővé tette laza szervezetű, ám hatalmas méretű nemzetközi bűnszövetkezetek kialakulását.
●
Ezek a bűnözői csoportok, illetve a csoportok tagjai gyakran egyáltalán nem is ismerik egymást, csak az interneten keresztül tartják a kapcsolatot.
●
Rendkívül jól szervezett munkamegosztásban dolgoznak, professzionális fejlesztő és tesztelő csapatokkal.
●
Az internetes bűnözés magas profitot hoz, viszonylag alacsony befektetési igény és lebukási kockázat mellett.
●
Az internetes bűnözők felderítése, lebuktatása és bűnösségük bizonyítása nehéz feladat.
●
A korábban említett technikai internet függőség miatt a világhálóhoz szokott tömegek így nemcsak az internetes fogyasztási szokásoknak (mint az internet bankolás) válnak kiszolgáltatottá, de az internetes bűnözésnek is.
Mind a pénzintézeteknek, mind az ügyfeleknek nagy erőfeszítéseket kell tenniük, hogy elkerüljék, leküzdjék ezeket a potenciális veszélyforrásokat. A jelenlegi nehéz gazdasági környezetben talán még fontosabb a cégek, pénzintézetek számára a kényes információk és a szellemi tulajdon védelme. A globális gazdasági válság számos, új alapokra épülő, pl. adathalász (maga a támadási forma persze nem új, de az alapja új lehet – nem biztonsági ellenőrzés, hanem pl. két bank összeolvadása miatt kérik az azonosítókat) támadást indukálhat. A válság miatt munkájukat elvesztők is célpontjai lehetnek a támadásoknak, bár itt a bűnözők célja más – spam áradatban kínálnak gyors és könnyű munkát, majd ezeken az „állásokon”,
INTERNET BIZTONSÁGI TANULMÁNY
79
strómanokon keresztül juthat el a célszemélyekhez a gyanútlan számlatulajdonosoktól megszerzett, kicsalt pénz. Ezek a közvetítők általában jutalékot kapnak azért, hogy továbbutaljanak vagy készpénzben felvegyenek és pl. Western Union átutalás formájában adják tovább azokat az összegeket, amelyek a számlájukra érkeznek, ezzel pénzmosást elkövetve. Ezt a tevékenységet nevezik angolul money mulenak. A könnyű pénzszerzés reményében sokan bedőlhetnek a felhívó leveleknek és akár tudatlanul is bűncselekményt követnek el. A fenti megállapítások mentén megfogalmazhatjuk a pénzintézetek azon szükséges tevékenységeit, melyekkel az interneten biztosított szolgáltatásokat a mainál kisebb kockázattal és magasabb biztonsági szinten tudják biztosítani. Ez mindenképp érdeke a pénzügyi vállalkozásoknak, hiszen az internet adta értékesítési lehetőségek ki nem használása egyértelmű versenyhátrányt okozhat a vállalkozásnak. Ugyanakkor a technológia nem megfelelő használata potenciális veszteségek elszenvedéséhez vezethet.
6.1 Kockázatkezeléssel kapcsolatos javaslatok A pénzintézetek internet alapú szolgáltatásainak hatékony kockázatkezelése összességében több tevékenységből áll össze. Ennek egyik csoportja technológiai, másik edukációs és együttműködési típusú.
6.1.1 Technológia A technológiai feladatok részben a szolgáltatást biztosító szervezet IT topológiája, részben maga a szolgáltatás körül jelentkeznek. Az alapvető, külső adatkapcsolatok kialakításánál szükséges technológiai megvalósításokon túl (pl. tűzfal, kommunikáció titkosítás) a sokcsatornás kiszolgálás megjelenése topológiai választ kell kapjon az ügyfél azonosítás és jogosultságkezelés központosított biztosítására. Ez nemcsak a szervezet hatékony kockázatkezeléssel egy irányba mutató érdeke, hanem az ügyfelek kényelmes szolgáltatás igénybe vételének záloga is egyben. Szintén a technológiai fejlesztések sorába tartozik az azonosítási módozatok használni kívánt termék/szolgáltatás kockázati szintjéhez való igazítása. Mára a többfaktorú azonosítások használata is jelentősen leegyszerűsödött (mobiltelefonok elterjedése), de lassan realitássá válik az ügyfélre jellemző információ (lásd pl. biometrikus) azonosítás bevezetése is egyes esetekben.
INTERNET BIZTONSÁGI TANULMÁNY
80
A másik technológiai kérdés az ügyféloldali alkalmazások védelme. Ezen a téren bár kevés ráhatással bírnak a szolgáltatók a végfelhasználó gépén megvalósuló folyamatokra, telepített szoftvere minőségére és fajtájára, mégis törekedni kell annak minél zártabb és biztonságosabb kialakítására. Az ügyfél oldali védelem kialakítása érdekében a pénzintézetek technológiai szinten több megoldással is élhetnek: ●
Elérhetővé tehet saját internetes oldalán olyan alkalmazásokat, amelyek segítségével az ügyfelek magasabb biztonsági szinten lehetnek képesek az internetes csatornát használni (pl. tűzfalak, vírusvédelmi megoldások, spyware keresők, speciálisan kialakított böngésző verziók, live CDk, stb.). Ebben az esetben a pénzintézet kötelessége, hogy az ajánlott alkalmazásokat megfelelően kitesztelje, frissítse, illetve „helpdesk” szolgáltatást biztosítson az ügyfelek részére (ez természetesen lehet kiszervezett megoldás is).
●
Végezhet a pénzintézet sérülékenység vizsgálatot is az ügyfél gépén a bejelentkezési procedúra során, ami feltárhat problémákat az ügyfél gépén. A bejelentkezés probléma esetén megszakad, és az ügyfél elirányításra kerül egy olyan oldalra, ahol segítséget kap a problémák kezeléséhez. Ebben az esetben is a pénzintézet feladata a megfelelő technikai segítség nyújtás biztosítása.
Az ügyfelektől is elvárható megfelelően biztonságos számítógépek alkalmazása az internetes pénzügyeik intézéséhez. Az ügyfél részére a következő tanácsok szolgálhatnak a biztonságos ügyintézés érdekében (forrás: www.biztonsagosinternet.hu – online banki ügyintézés, biztonsági tanácsok): ●
Alkalmazzon kódolást. Bizalmas adatait védeni kell a nyilvános hálózatokon történő átvitelkor. Kódolási információkat talál a "Bizalmas adatok" fejezet "Adatkódolás" című részében. Győződjön meg róla, hogy a WLANhálózatokon keresztül történő adatátvitel kielégítően kódolva vane.
●
Vizsgálja meg a bank internetoldalának valódiságát. Ügyeljen arra, hogy valóban a saját bankja weboldalán vane. Internetcímét mindig a billentyűzettel adja meg. Ha a bejelentkezéskor a TAN után érdeklődnek, biztosan hamis oldalon tartózkodik! Általában gyanúsak az olyan címek, amelyek címe számmal és nem domainnévvel kezdődnek (pl. http://123.204.12.13/...), vagy az olyan oldalak, amelyek címében az Ön pénzintézetének a neve csak "be van építve" (pl.: http://otpbank.domainnev.hu.
INTERNET BIZTONSÁGI TANULMÁNY
●
81
A hozzáférési adatokat válassza meg gondosan és kezelje ezeket óvatosan. Ha az online banki ügyintézés során jelszavak kerülnek alkalmazásra, akkor válasszon nehezen kitalálható betű/számkombinációt. Óvja a jelszavakat és a PIN és TAN számokat harmadik személyek hozzáférésétől, és az ilyen jellemzőket sohase tárolja még a jelszókezelőben sem!
●
Ha lehetséges, csak saját számítógépről intézze online banki ügyeit. Óvatosan kell eljárni a nyilvános helyeken elhelyezett számítógépekkel, mint például az internet kávézókban lévőkkel. Minden online banki ügyintézés után jelentkezzen ki ("Logout"), és a banki tranzakció után törölje ki a köztes tárolót (cache) a számítógépén.
●
Csak megbízható forrásokból származó programokat használjon. Általában arra kell ügyelni, hogy ne töltsön számítógépére bizonytalan származású szoftvert. Ezek károkozókkal (pl. Spyware) lehetnek ellátva, és az Ön adatait kikémlelhetik. A veszélyes toolokhoz tartoznak pl. a szörfturbók, amelyek lehetővé teszik a kívülállóknak a leolvasást.
●
Védje számítógépét a nem engedélyezett hozzáféréstől. Használja ki a lehetőséget, amelyet operációs rendszere a merevlemez védelmére tartalmaz. Határozzon meg egy jelszót, amelyet a startoláskor, vagy a képernyővédőről lehet lekérni.
●
Alkalmazzon aktuális vírusvédő szoftvert és tűzfalat. Az internetes fertőzések megelőzésére használt programokat folyamatosan frissítik. Vigyázzon arra, hogy a frissítéseket (patcheket) mindig az Ön szoftverkiszolgálójának oldalairól töltse le és telepítse.
●
Telepítse fel az aktuális biztonsági frissítéseket az operációs rendszere számára. Egy operációs rendszerben gyakran előfordulnak biztonsági hézagok, amelyeket aktualizálással meg lehet szüntetni. Ezért ügyelni kell arra, hogy a frissítéseket rendszeresen letöltse a gyártó internetes oldaláról és telepítse fel.
●
Ellenőrizze rendszeresen számlájának mozgását. Ha valamit rendellenesnek talál, azonnal reagáljon, lépjen kapcsolatba bankjával.
●
Állapodjon meg bankjával egy napi limitben a számlamozgást illetően. Pénzintézetével való megegyezés alapján megállapíthat egy napi limitet, amellyel elkerülheti, hogy csalók nagyobb összeget emeljenek le számlájáról.
INTERNET BIZTONSÁGI TANULMÁNY
●
82
Ne reagáljon a phishing emailekre. A bankok sohasem utasítják Önt, hogy adja meg bizalmas adatait emailben. Ha ilyenféle üzeneteket kap, értesítse bankját erről, de semmi esetre se kövesse az email utasításait.
●
Tiltsa le banki hozzáférését, ha bármi gyanúsat észlel. Ezt vagy telefonon keresztül a bankjánál teheti meg, vagy az Online Banking ablak megfelelő funkciójával.
6.1.2 Edukáció és együttműködés Az ügyfelek oktatása, hatékony és biztonságos internet használati ismereteinek bővítése túlmutat a technológiai kérdéseken. Ugyanakkor ez esszenciális érdeke minden érzékeny (lásd pénzügyi) szolgáltatásnyújtónak. Ilyen oktatási, ismeretterjesztési eszköz lehet a demo, vagy folyamatos hírleveleken keresztül nyújtott információk biztosítása az ügyfelek irányába. Megfelelő oktatási programokba való becsatlakozás is elősegítheti nemcsak az adott pénzintézet, hanem általánosságban az internetes pénzügyi kultúra javítását/javulását – egyben az adott pénzintézet társadalmi érzékenységéről alkotott képét is erősíti. A nemzeti és nemzetközi biztonságtechnikai kooperációkban való folyamatos és hatékony részvétel jelentősen segítheti a pénzintézetek elleni támadások elkerülését, illetve már realizálódott támadások megfelelő kezelését. Ehhez természetesen a pénzintézet oldaláról is nemcsak kapcsolattartásra van szükség, hanem a belső folyamatok oly átalakítására, olyan riasztási rendszerek kialakítására, melyek lehetőleg minél hamarabb, már a kialakulás vagy a visszaélési kísérlet során detektálják a rosszindulatú tevékenységet. Erre a technológiai eszközök jellemzően adottak, ugyanakkor a szervezeten belüli megfelelően hatékony információáramlás és döntési kompetenciák kialakítása a pénzintézetek egyéni feladata.