INTERNETOVÉ BANKOVNICTVÍ A KYBERNETICKÁ BEZPEČNOST Ing. Vladimír Šulc Ph.D. doc. JUDr. Štěpán Kalamár Ph.D.
Anotace Současná společnost spoléhá na informační a komunikační systémy (ICT) a začíná být na nich závislá. Ohrožení funkčnosti může způsobit i ohrožení fungování základní infrastruktury potřebné pro život. Prosazením zákona o kybernetické bezpečnosti bylo zásadním počinem pro řešení bezpečnosti ve vztahu k informačním systémům, ale především ke kybernetickému prostoru současné informační a budoucí znalostní společnosti. Cílem článku je stručně vyjádřit možnosti „Internetového bankovnictví a kybernetické bezpečnosti“ a popsat vybraná rizika a hesla používaná v on-line bankovnictví z hlediska kybernetické bezpečnosti (kyberbezpečnosti) v prostředí moderního elektronického bankovnictví (kyberprostoru e-bankovnictví) a uvést některé vybrané útoky na klienty.
Klíčová slova Infrastruktura, informační společnost, kybernetická bezpečnost, veřejná správa
Abstract The current society relies on information and communication technologies (ICT) systems and becomes to be dependent on them. Its operability jeopardizing may even cause some problems to basic infrastructure functioning needed for our lives. Enforcing the law on cyber security was a major achievement for addressing security in relation to information systems, but also to cyberspace of current information and future knowledge society. This article aims to briefly express the "Internet banking and cyber-security" and describe particular risks and passwords used in online banking in terms of cyber security (cyber security) in the environment of modern electronic banking (cyberspace e-banking) and introduce some specific attacks on clients .
Key words Infrastructure, the information society, cyber security, public administration
Úvod Na prahu 21. století je světová ekonomika konfrontována s řadou výzev v prostředí charakterizovaném procesy informatiky (informačních a komunikačních technologií – ICT), kybernetiky (teoretické, technické a aplikační), robotiky (robototechnikou, mechatronikou a umělou inteligencí učících se robotických systémů), globalizace, technologie (fyzika, matematika, teoretické a praktické nástroje kybernetiky – simulace) a je také významně ovlivňována dynamikou zavádění nových vědeckých poznatků do praxe a rozvíjením progresivních technologických postupů a nových systémových poznatků procesního inženýrství1 . V globalizovaném ekonomickém prostoru2 soutěží podniky o zdroje - investice, lidský kapitál a technologie. Klíčem k úspěchu se stávají vedle informací a dat - především jsou to nově znalosti a nové formy jejich šíření, které charakterizují přechod ke znalostně založené ekonomice a společnosti. Rozmach využívání informatiky významně mění i vnímání charakteru procesů. Informační a inovační schopnost je rostoucí měrou hodnocena podle schopnosti systematicky využívat nové znalosti. Ve znalostně založené ekonomice se informační a komunikační technologie (ICT) vyvíjí do komplexnější struktury, kde se oslabuje dřívější rozdělení na subjekty vytvářející a využívající nové znalosti a dochází tak k vytváření učících se organizací s prostředky umělé inteligence. Cílem příspěvku je stručně vyjádřit možnosti „Internetového bankovnictví a kybernetické bezpečnosti“ a popsat vybraná rizika a hesla používaná v on-line bankovnictví z hlediska kybernetické bezpečnosti (kyberbezpečnosti) v prostředí moderního elektronického bankovnictví (kyberprostoru e-bankovnictví) a uvést některé útoky na klienty a jejich peníze a to nejen na internetu. Pachatelé internetových podvodů ke své trestné činnosti využívají převodu finančních prostředků na jimi ovládaný bankovní účet.
1 JANKOVÁ, M. Internetové nástroje pro celoživotní vzdělávání v sektoru IT. Téze DDP 2016. VUT v Brně FP. 2
KADEŘÁBKOVÁ, A. Výzvy pro podnikání- inovace a vzdělání. 1.vyd. Praha: Linde, 2004. 199 s. ISBN 80-86141-50-5.
2
Současný stav řešené problematiky V případě, že pachatel ke své trestné činnosti využívá bankovního účtu, je možné ze zprávy bankovní instituce obhospodařující předmětný účet, získané na základě žádosti dle § 8/2 trestního řádu zjistit IP adresy používané při nakládání s finančními prostředky disponovanými na účtu, či při využívání dalších služeb internetbankingu. Když jsou policejním orgánem získány IP adresy použité při páchání trestné činnosti, jsou jejich poskytovatelé zjistitelní poměrně jednoduchým způsobem. Na internetové adrese www.ripe.net/whois postačí do formuláře "Query the RIPE Whois Database" je možné zadat získanou IP adresu a kliknout na tlačítko "Search". Po provedení těchto úkonů se objeví stránka, na které bývá adresa poskytovatele internetového připojení nebo alespoň jeho telefonní číslo. Je zřejmé, že poskytovatel IP adresy není totožný s jejím uživatelem. Většinou se jedná o registrovanou společnost, která svým zákazníkům, zpravidla za úplatu, poskytuje připojení k počítačové síti internet. Tito poskytovatelé internetového připojení pak mají povědomí o svých zákaznících a zde záleží už jen na tom, jakým způsobem své internetové služby poskytují. Jednou z možností je, kdy poskytovatel internetového připojení své služby poskytuje konkrétní fyzické nebo právnické osobě, jíž je zároveň poskytnuta převážně statická ale výjimečně i dynamická IP adresa. S tímto zákazníkem má uzavřenu smlouvu o poskytování služeb a to zpravidla za úplatu. Fyzikální způsob poskytnutí připojení, zda pevnou linkou nebo Wi-Fi signálem, v tomto případě nerozhoduje. Toto bývá ve většině případů příznivá situace pro orgány činné v trestním řízení, protože v těchto případech bývá snazší zjistit konkrétního koncového uživatel dané IP adresy. Ale i zde jsou některá úskalí, zejména v případech, když se u uživatele IP adresy jedná o právnickou osobu poskytující svým vlastním zákazníkům tzv. Wi-Fi FREE připojení například v internetových kavárnách, obchodních centrech a podobně. Dalším úskalím v takovémto případě může být i využívání tzv. domácích Wi-Fi sítí s vlastním, řádným způsobem nezabezpečeným routerem. K takovéto síti je totiž možné se připojit jakýmkoliv zařízením s Wi-Fi připojením a v tom případě je opět nemožné zjistit konkrétního koncového uživatele dané IP adresy. Další z možností je, že poskytovatel své služby poskytuje v podstatě komukoliv, kdo je schopen se k jeho službám připojit. Své zákazníky takovýto poskytovatel
3
zpravidla
nezná,
nemá
s nimi uzavřeny žádné
smlouvy a
používání jím
poskytovaného internetového připojení podmiňuje například jen sledováním reklam a podobně. Zde případné pátrání po potencionálním pachateli zpravidla končí.
Návrh modelu na možné řešení dané problematiky V české republice jsou občané málo poučitelní a při zacházení se svými financemi na internetu hodně riskují. Například jen každý šestý uživatel internetového bankovnictví si aktivně mění přístupové heslo, třetina Čechů pak někdy svou platební kartu půjčila někomu blízkému. Ukázalo to šetření ČSOB3, které je součástí kampaně poukazující na nástrahy číhající na klienty a jejich peníze nejen na internetu. I přesto, že jsou lidé na internetu jako doma, finanční gramotnost je v této oblasti dlouhodobě na špatné úrovni. Jen čtvrtina dotázaných například ví, co je skimming (podvodné kopírování platebních karet pomocí speciálního snímacího zařízení umístěného na bankomatu). Nejhůř si vedeme, pokud jde o pohyb v on-line světě. Používání hesel do IB „Téměř dvě třetiny dotázaných respondentů si myslí, že používání internetového a mobilního bankovnictví4 je bezpečné při dodržení základních pravidel. Právě v jejich dodržování však máme zásadní mezery. Nejslabším článkem je přitom vždy člověk. Stačí chvilka nepozornosti, aby se stal obětí důmyslných praktik zlodějů5. Každý sedmý až osmý člověk dokonce do internetového bankovnictví (IB) vstupuje přes internetový vyhledávač (např. Seznam či Google), přičemž ženy tento způsob volí více než dvakrát častěji než muži.
3
INTERNÍ MATERIÁLY: ČSOB a Era Poštovní spořitelna – příklady z praxe Novinky.cz ze dne 8.6.2016 5 Tomáš Kořínek - ČSOB 4
4
Pravidelně každé tři měsíce 4% 29%
12% Alespoň jednou za půl roku
15%
40%
Jen v případě, že mě k tomu systém vyzve Heslo si neměním, abych si ho pamatoval/a
Jak často si češi mění hesla do internetového bankovnictví
Zdroj6: David Ryneš, Novinky.cz Více než dvě pětiny lidí si heslo do IB vůbec nemění. Jako důvod každý zhruba sedmý udává špatnou paměť a tři z deseti lidí se při přihlašování spoléhají na potvrzovací SMS. Každý šestý člověk dokonce své heslo do internetového bankovnictví používá i pro přístup do jiných aplikací. Dvě pětiny lidí si heslo změní až poté, kdy je k tomu vyzve systém. Kontrola platebních karet Lidé nejčastěji nosí svou platební kartu v peněžence spolu s dalšími doklady a hotovostí, v průzkumu se k tomu přiznaly tři čtvrtiny lidí. V případě krádeže by tak přišli o vše. Více než polovina dotázaných by navíc krádež karty zjistila až u pokladny, protože přítomnost karty v peněžence kontroluje pouze, když potřebuje zaplatit.
6
RYNEŠ,D. Novinky.cz ze dne 8.6.2016
5
12%
Ne, kartu nikomu nepůjčují
26%
Ano, dělají to běžně 56% Ano, ale jen zcela výjimečně 6% Ne, ale v případě potřeby by to udělali
Půjčují češi platební kartu někomu blízkému, aby s ní platil?
Zdroj:7 David Ryneš, Novinky cz Jen zhruba třetina lidí se o tom, zda kartu má, přesvědčuje každý den, z toho 11 procent několikrát denně a čtvrtina alespoň jednou za den. Průzkum také ukázal, že lidé si stále ještě neosvojili radu nedávat svou platební kartu nikdy z ruky. Třetina dotázaných totiž přiznala, že už někdy půjčila kartu někomu jinému.
Platby v e-shopech kartou Nakupování v e-shopech, platby on-line pomocí platební karty či přes internetové bankovnictví nebo smartbanking se pro mnohé Čechy staly běžnou součástí života. Podle Českého statistického úřadu měly loni zkušenost s e-shopem více než dvě pětiny Čechů.
Příklady z praxe Kamarádka Eva přes chat na Facebooku požádala Alici o půjčku 200 korun. Znaly se ze školy, a protože se nejednalo o velkou částku, Alice se rozhodla kamarádce peníze půjčit. Na platební bráně, na niž jí Eva poslala odkaz, vyplnila přihlašovací údaje do internetového bankovnictví. Ovšem systém ohlásil chybu. Za chvíli se Eva
7
RYNEŠ,D. Novinky.cz ze dne 8.6.2016
6
ozvala s tím, že už peníze sehnala jinde, jen by si na Alicin telefon potřebovala nechat zaslat SMS potvrzující platbu. Alice v dobré víře Evě poslala i kód, který jí v SMS přišel. Bohužel netušila, že tím potvrzuje platbu, která odchází z jejího vlastního účtu. Přišla celkem o 12 tisíc korun. Petra na internetu zaujaly reklamní bannery lákající na značkové sluneční brýle za extrémně nízké ceny. Na reklamu klikl a v e-shopu si vybral jedny z nich vybral. Rozhodl se zaplatit kartou on-line. Do formuláře na webu zadal číslo karty i CVC kód. Jenže autorizace prý nebyla úspěšná. Zkusil to tedy ještě dvakrát - pokaždé bez úspěchu. Druhý den pro jistotu zavolal do banky a zjistil, že mu z účtu odešlo celkem 87 500 korun za tři nákupy v různých zahraničních i tuzemských e-shopech s elektronikou. Magda si přihlašovací stránku do internetového bankovnictví jako vždy našla přes vyhledávač. Klikla na první odkaz, vyplnila přihlašovací údaje, systém jí nabídl možnost instalace bezpečnostní aplikace na telefon a vyzval ji k zadání telefonního čísla, které rovněž vyplnila. Na telefon jí přišla SMS s odkazem vyzývajícím ke stažení nové verze smartbankingu, kterou tedy Magda stáhla. Jaké ale bylo její překvapení, když na konci měsíce z výpisu zjistila, že jí z účtu zmizelo 126 tisíc korun.8 Tři z deseti lidí pak zboží koupené na internetu hradí on-line prostřednictvím platební karty, bankovní příkaz využívá pětina Čechů a platební tlačítko (resp. rychlý on-line převod přes IB) každý desátý. Třetina lidí platí za zboží až při dobírce. Celá polovina lidí do 30 let platí na internetu kartou, naopak 46 procent respondentů nad 60 let preferuje dobírku. Muži platí přibližně třikrát častěji než ženy přes PayPal či podobné platební systémy. Věkové využívání bezpečnostní službou Průzkum ukázal i slabiny některých Čechů při placení na internetu. Například více než třetina lidí nemá aktivovanou službu 3D Secure - bezpečnostní systém, kdy údaje o své kartě nakupující neposkytuje obchodníkovi, ale přímo bance.Nejhůře 8
Zdroj: Interní materiály ČSOB a Era Poštovní spořitelna
7
jsou na tom ženy (bezpečnostní službu nevyužívá téměř polovina z nich) a starší lidé nad 60 let (64 procent). Pouhá pětina respondentů si pro své nákupy vybírá výhradně online obchodníky s 3D Secure zabezpečením. Pokud obchodník tuto službu nepodporuje, nakoupí jinde. Tento přístup zastávají hlavně muži a nejmladší dotázaní. Výhody zabezpečení osobních dat Naštěstí v některých oblastech si Češi vedou dobře. „Například, e-mail s žádostí o vyplnění citlivých údajů, jako jsou PIN nebo číslo karty, by rovnou smazaly dvě třetiny dotázaných. Data by bez problémů vyplnilo jen necelé procento,“ upozornil Tomáš Kořínek:
Tři pětiny dotázaných využívají pro správu financí v on-line světě výhradně svůj počítač, telefon nebo tablet. Další třetina pak používá i pracovní počítač.
Devět z deseti Čechů si kontroluje změny na svém účtu alespoň jednou měsíčně.
Více než tři čtvrtiny lidí si pamatují PIN ke kartě.
Při zadávání PIN v bankomatu si tři pětiny lidí vždy zakrývají klávesnici rukou.
Unikátní heslo pro internetové bankovnictví má 85 procent dotázaných.
E-maily od neznámého adresáta by smazala třetina dotázaných.
Informační SMS zprávy o stavu peněz na účtu dostává 45 procent dotázaných. 9
Závěr V příspěvku byly stručně vyjádřeny možné trendy v elektronickém internetovém bankovnictví a také pohled na současnou problematiku aplikované kybernetické bezpečnosti. Ve výsledcích výzkumu byla systémově ověřena nová podstata řešení kybernetického rozhraní sociálního a technického systému ICT a to také v souladu s přijatým Kybernetickým zákonem v ČR a mezinárodními smlouvami realizovanými vládní Agenturou kybernetické bezpečnosti.
9
Zdroj: Barbora Buřínská, Novinky, Právo
8
Použité informační zdroje
BAJURA, Jan. Spojitosti práva soukromého a práva trestního u kriminality páchané v rámci činnosti právnických osob. In Quo vadis soukromé právo. Eds. Tomáš Horáček, Jan Bajura. Praha: Agentura Dům, 2009, s. 81-89. ISBN 978-80-903139-1-0.
INTERNÍ MATERIÁLY: ČSOB a Era Poštovní spořitelna – příklady z praxe
JANKOVÁ, M. Internetové nástroje pro celoživotní vzdělávání v sektoru IT. Téze DDP 2016. VUT v Brně FP.
KADEŘÁBKOVÁ, A. Výzvy pro podnikání- inovace a vzdělání. 1.vyd. Praha: Linde, 2004. 199 s. ISBN 80-86141-50-5.
KOŘÍNEK.T.
KUČERA, Petr. Nejslabším článkem při ochraně účtů jsou sami klienti, varuje ČSOB. Lidé podceňují zabezpečení. Hospodářské noviny: www.ihned.cz [online]. [cit. 2016-06-23]. Dostupné z: http://byznys.ihned.cz/c165286040-nejslabsim-clankem-pri-ochrane-uctu-jsou-sami-klienti-varuje-csoblide-podcenuji-zabezpeceni
Novinky.cz ze dne 8. 6. 2016
RYNEŠ,D. Novinky.cz ze dne 8. 6. 2016
9
