MORAVSKÁ VYSOKÁ ŠKOLA OLOMOUC
Miroslav Roth
INTERNETOVÉ BANKOVNICTVÍ Bakalářská práce
Vedoucí práce: PaedDr. PhDr. Jiří Dostál, Ph.D.
Olomouc 2008
Prohlašuji, ţe jsem tuto bakalářskou diplomovou práci vypracoval samostatně a uvedl v ní veškerou literaturu a ostatní zdroje, které jsem pouţil.
V Olomouci dne 15. 6. 2008
…………………………
Děkuji vedoucímu mé bakalářské práce PaedDr. PhDr. Jiřímu Dostálovi, Ph.D. za odborné vedení a vstřícný přístup, který mi v průběhu psaní tohoto díla poskytoval. Jeho cenné rady a připomínky byly mou velkou pomocí a tak můj dík patří především jemu. Miroslav Roth
OBSAH ÚVOD .................................................................................................................................... 5 1
2
3
4
5
VÝVOJ INTERNETOVÉHO BANKOVNICTVÍ .................................................. 7 1.1
INTERNETOVÉ BANKOVNICTVÍ ................................................................................ 7
1.2
HISTORIE INTERNETOVÉHO BANKOVNICTVÍ ............................................................ 8
SOUČASNÉ MOŢNOSTI INTERNETOVÉHO BANKOVNICTVÍ ................. 14 2.1
PLATEBNÍ KARTY .................................................................................................. 15
2.2
TELEBANKING ...................................................................................................... 17
2.3
GSM BANKING ..................................................................................................... 21
RIZIKA ELEKTRONICKÉHO BANKOVNICTVÍ ............................................ 23 3.1
BEZPEČNOST INTERNETOVÉHO BANKOVNICTVÍ .................................................... 23
3.2
BEZPEČNOST INTERNETOVÉHO BANKOVNICTVÍ V ČR ........................................... 25
3.3
BEZPEČNOST INTERNETOVÉHO BANKOVNICTVÍ - OBAVY ZE STRANY BANKY ........ 28
NEOPRÁVNĚNÉ ZÍSKÁNÍ PŘIHLAŠOVACÍCH ÚDAJŮ ............................... 31 4.1
KEYLOGGER ......................................................................................................... 31
4.2
INSTALACE PROGRAMU......................................................................................... 31
4.3
SPUŠTĚNÍ A NASTAVENÍ PROGRAMU ..................................................................... 33
4.4
ZÍSKANÉ VÝSTUPY ................................................................................................ 35
ZÁVĚR ...................................................................................................................... 37
ANOTACE ......................................................................................................................... 38 SEZNAM POUŢITÉ LITERATURY A ELEKTRONICKÝCH ZDROJŮ ................ 39 SEZNAM GRAFŮ A TABULEK ..................................................................................... 40 SEZNAM PŘÍLOH............................................................................................................ 41
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
5
ÚVOD
V průběhu několika předešlých let prošly informační systémy nebývale rychlým vývojem. Díky jiţ zmíněnému technologickému rozvoji je dnes moţné vyuţívat prostředky, které nebyly v minulosti k dispozici vůbec, anebo jen ve velmi omezené míře. S ohledem na zachování konkurenceschopnosti je trh nucen na tyto změny reagovat. Jednou z novinek souvisejících s rozvojem moderních informačních a komunikačních technologií je internetové bankovnictví, které se úspěšně rozvíjí nejen v České republice, ale i v zahraničí. Mobilní telefon a internet je samozřejmostí této doby a je zcela jisté, ţe sluţeb těchto technologií vyuţívá téměř kaţdý. Internetové sluţby (především www) ovlivnily bankovnictví mnohem více neţ ostatní. V obchodním světě se totiţ obvykle fyzické produkty nemění na virtuální. Při příchodu internetu byly bankovní instituce nuceny poloţit si otázky: co chtějí produkovat, pro koho a jak klient bude k těmto produktům přistupovat. Internet je vhodné médium, které je díky své dostupnosti účinným nástrojem při distribuci bankovních sluţeb na trh. Důvodem, proč jsem si zvolil téma internetové bankovnictví, bylo nejen získat široké informace – znalosti internetového bankovnictví, ale i analyzovat vznik a vývoj internetového bankovnictví a dále provést rozbor současných komunikačních moţností klienta (uţivatele) se svou bankou, jejíţ sluţby vyuţívá. Jedním z dílčích cílů bylo taktéţ přinést aktuální pohled na moţná rizika, jenţ se k řešené problematice váţí a provést návrh moţností rozvoje obecného vyuţívání bankovních sluţeb prostřednictvím internetového připojení. V kapitole 1. se zabývám významem internetového bankovnictví a moţnostmi zprostředkování dat mezi jednotlivými částmi „internetového obchodování“. Nástupem elektronického světa pronikla internetová komunikace do téměř všech oblastí kaţdodenního ţivota lidí. Neustále nově vznikající komunikační jednotky přináší především příleţitostí pro podnikatelské sféry. Pro podnikové sféry nového druhu můţe tento způsob nabízet nové, kvalitnější a spolehlivější sluţby pro větší mnoţství klientů. Do blízké souvislosti s tímto pokrokem se dostává i infrastruktura plateb za tyto sluţby. Z tohoto důvodu se v 1. kapitole mé práce hodlám zabývat vývojem internetového bankovnictví. Nástup do systému běţně nabízených produktů a sluţeb kaţdé banky byl pomalý, avšak v souvislosti
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
6
s neustálým vývojem v oblastech IT, byly bankovní organizace nuceny implementovat mezi své produkty přímé internetové bankovnictví. V kapitole 2. se zaměřuji na současný stav internetového bankovnictví v ČR. Popisuji zde, v porovnání s dnešní dobou, produkty vzdálených přístupů k bankovním účtům klienta banky a jejich moţnou správu a vyuţití. V kapitole 3. shrnuji klady a zápory bankovnictví nejen z pohledu bank, ale i uţivatelů – klientů bank. S celosvětovým vývojem byly banky nuceny implementovat své předměty podnikání do prostoru internetu tak, aby uspokojily potřeby svých klientů. Tak jak banky pomalu přistupovaly na vyuţívání svých sluţeb elektronickou cestou ke klientovi, doba ukázala, ţe na dnešním trhu si banky konkurují. Začíná být podstatné, jaké portfolio sluţeb je nabízeno, aby je klient mohl vyuţívat vzdáleně z pohodlí svého domova. Internetový přístup k datům však vytváří neustále nová rizika, kterými se v této kapitole, kromě jiného, hodlám podrobněji zabývat. V závěrečné kapitole se věnuji programu Keylogger, ve kterém popisuji moţnost snadného a nelegálního získání přihlašovacích údajů do portálu internetového bankovnictví. Bakalářská práce nenabízí úplný přehled moţností internetového bankovnictví se všemi částmi, které tomu patří – v souvislosti s rozsahem by to ani nebylo moţné. Práce má však představovat analytický pohled v dnešní době aktuální, nejen teoretické, ale i praktické, otázky související s rozvojem internetového bankovnictví.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
1
7
VÝVOJ INTERNETOVÉHO BANKOVNICTVÍ Kapitola č. 1 je věnována vývoji internetového bankovnictví. Pojem internetové ban-
kovnictví je v současné době běţně vyuţívaný, občas se však stává, ţe jej lidé zaměňují s pojmy e-commerce a e-business. Proto nejprve objasním rozdíly mezi těmito termíny, následně nastíním podmínky vzniku a vývoje elektronického bankovnictví.
1.1 Internetové bankovnictví Objasněme tedy význam mezi pojmy zmíněnými v předchozím odstavci. Pojem ebusiness vyjadřuje obecné uţívání IT se záměrem zefektivnit podnikatelskou činnost. Ecommerce je srovnávána s internetovým obchodem, také vyjadřuje internetový marketing. Vlastně se jedná o jednu z několika větví na stromě e-business. Termín e-commerce vyjadřuje internetové obchodování ve smyslu nákupu nebo prodeje sluţeb či zboţí. Zkráceně řečeno transakční rozhranní společnosti na internetu a to na webových stránkách, kde je umoţněno např. rezervace vstupenek, nákup elektroniky, objednání oblečení, stahování hudby apod. Mnohem nově vznikajících firem dokonce mívá v předmětu podnikání internetový prodej a vůbec se tedy nemusí zabývat prodejem svého zboţí v kamenných obchodech. Proti e-commerci je termín e-business, který je svým významem mnohem širší – nezahrnuje pouze internetový obchod, avšak i procesy s ním spojené. Jedná se o určité zefektivnění veškerých činností, které se k obchodu pojí, a tím mám na mysli procesy uvnitř firmy. Tento pojem obsahuje plnohodnotnou transformaci veškerých firemních procesů s vyuţitím moderních technologií. Kaţdý proces v rámci firmy obsahuje část informace, které dohromady tvoří celková data. A právě celková data dostávají ze situace jakousi hodnotu, jelikoţ jsou všechna přístupná v jednom místě, tak jsou přesnější, detailnější a rychlejší na vyhledávání. A těmito všemi příslovci tak vzbuzují vysoký stupeň efektivnosti u lidských zdrojů, které s nimi pracují. Nejen tyto zmíněné procesy jsou obsaţeny v termínu e-business. Internetové bankovnictví neboli zkráceně e-banking se řadí pod e-commerci a v zásadě se jedná pouze o poskytování sluţeb, ale v normálním případě nezahrnuje e-banking
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
8
prodeje zboţí. Internetové bankovnictví je efektivní nástroj pro obsluhu existujících klientů finančních institucí. E-banking lze vyuţívat několika způsoby, samozřejmě za předpokladu podstaty IT. Pro sluţby e-bankingu je dnes zcela běţné vyuţití těchto sluţeb prostřednictvím osobního počítače nebo mobilního telefonu (GSM banking). Ač klient vyuţívá jakékoliv ze zmíněných zařízení na zprostředkování finančních informací nebo operací, je zcela jisté, ţe fyzická návštěvnost bank neustále klesá. Bankovní ústavy mají jedinečnou moţnost centralizovat své sluţby klientům a následně tak sníţit velikost svých poboček a tím dosáhnou sníţení provozních nákladů. Pobočky se mohou zaměřit na získávání nových klientů a na školení klientů o vyuţívání sluţeb přes internet.(1)
1.2 Historie internetového bankovnictví E-banking je nový pojem. Většina lidí se pod tímto pojmem představí provádění bankovních plateb nebo elektronickou formu bankovního výpisu. Avšak některé sluţby, které dnes povaţujeme za sluţby internetového bankovnictví, jsou starší neţ samotný pojem. Odborníci se shodují, ţe za počátky internetového bankovnictví lze povaţovat příchod debetních platebních karet, u nichţ jsou transakce účtovány ihned nebo s jen krátkým časovým zpoţděním. Vůbec první platební karta, kterou vydala firma Western Union Telegraphy Company, byla vydána v roce 1914 – umoţňovala klientům zasílat telegramy bez okamţitého placení. První univerzální platební karta byla zavedena v roce 1950 společností Diners Club International. Platební kartu obdrţelo 200 vybraných klientů. Při pouţití karty stačilo předloţit identifikační kartu a podepsat účet. Prodávající ověřil, jestli se podpis kupujícího shoduje se vzorem na kartě. Později přibyla kontrola na seznamu zablokovaných karet. Nejen vytvoření účtenky, ale i kontrola seznamu blokovaných karet probíhala bez pomoci IT. Ačkoliv vývoj počítačů byl motivován a financován především vojenským sektorem, banky se brzo staly významnými zákazníky výrobců samočinných počítačů a elektronických komunikačních zařízení. Tato technika byla nejprve vyuţita pro vnitřní systémy bank. Zanedlouho přišly na svět první bankomaty, také obchodníci začali platby pomocí platebních karet zpracovávat elektronicky a s komercializací internetu se objevilo i internetové bankovnictví. První světový automat navrhl a postavil Luther George Simjian. Tento auto-
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
9
mat byl instalován v New Yorku v roce 1939 a jeho schopnosti mohli vyuţívat klienti City Bank of New York(1). Bohuţel byl ale po šesti měsících provozu odstraněn z důvodu nezájmu zákazníků. Přes dalších 25 let se historie automatů zastavila a aţ v roce 1967 zprovoznila banka Barclays Bank v Enfield Town v Londýně svůj automat, který jiţ byl klienty vyuţíván ve větší míře. Vynález bankovního automatu je připisován Johnu ShepardBaronovi, i kdyţ Simjian registroval patent v New Yorku jiţ v roce 1930. První typy bankomatů však nebyly bez problémů. Bankomaty první generace ještě nepouţívaly ani magnetický prouţek. Informace o čísle účtu a PIN – tehdy identifikačního čísla - byly zaznamenány na děrném štítku, komunikaci se zákazníkem nezajišťovala televizní obrazovka, ale otočný válec s předem připravenými pokyny. O něco málo později se však technické obtíţe podařilo vyřešit a bankomaty se začaly vyrábět sériově. V České republice je dnes pouţívání platebních karet poměrně rozšířené pro výběr hotovosti z bankomatu a bezhotovostní platbu za zboţí a sluţby. Nejrozšířenější kartové společnosti jsou Eurocard/ Mastercard a VISA. Debetní kartu má více neţ 61 % obyvatel starších 15 let, kreditní kartu více neţ 5 % obyvatel. V České republice se nachází zhruba 3 000 bankomatů a na cca 50 000 místech je moţno platit kartou. Česká republika má v regionu střední a východní Evropy vedoucí postavení, alespoň co do počtu bankomatů. Zatímco průměrem zmíněného regionu je 22 000 obyvatel na jeden bankomat, u nás je to 5 000. Stále si však drţíme odstup za našimi západními sousedy, kde na jeden přístroj připadá přibliţně 1 700 obyvatel. Se zvyšujícím se počtem vydaných platebních karet a jimi prováděných transakcí však klasické papírové zpracování nebylo příliš pohodlné. Jiţ začátkem 80. let minulého století se objevily první elektronické platební terminály umoţňující zpracovávat nákupy u obchodníků elektronicky. Nejprve to byly off-line platební terminály, které ověřovaly transakci samy bez připojení k nějakému centrálnímu systému. Později se objevily on-line platební terminály připojené na autorizační střediska. Počet platebních karet v České republice loni vzrostl na 7,4 milionu. Banky vydaly během roku 2005 více neţ půl milionu karet. Největší zájem byl loni o kreditní karty, meziročně se jejich počet zvýšil o téměř čtvrt milionu na 615 000.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
10
Graf 1: Podíl společností na trhu vydaných platebních karet v r. 2006
Zdroj: http:\\www.bankovnikarty.cz (SBK) Z celkového počtu karet klesá vyuţívání tuzemských platebních karet na úkor karet s mezinárodní platností. Zatímco v roce 2004 vlastnili klienti bank téměř 600 000 tuzemských platebních karet, v roce 2005 to bylo jiţ necelých 375 000 karet. Počet mezinárodních karet loni přesáhl sedm milionů.
Rostoucí oblibu zaznamenává u klientů v České republice platba u obchodníků, která na rozdíl od výběru z bankomatů není zpoplatněná. V meziročním srovnání lidé loni utratili o 21 miliard více neţ v roce 2004, tedy 115 miliard korun.(2) Počet transakcí u obchodníků meziročně stoupl o 15 milionů na více neţ 100 milionů transakcí. Roste i počet výběrů z bankomatů. Češi v roce 2005 vybrali 422 miliard korun, coţ je o deset procent více neţ rok předtím. Trh s platebními kartami se v ČR vyvíjí opačně neţ v ostatních evropských zemích. Tuzemskému trhu vládnou debetní karty, které nedovolují příliš přečerpat zůstatek na účtu. Kreditní karty, jeţ umoţňují půjčovat si peníze, naopak dominují v Evropě a zejména v USA. V Česku zaţívají boom teprve v posledních letech. Podle údajů tuzemských bank z počátku března se celkový počet aktivních kreditních karet ke konci loňského roku pohyboval kolem 700 000. (Zdroj:
ČTK)
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
11
Mimo nákupy u obchodníků a výběru hotovosti z bankomatů však bylo nutné provádět většinu ostatních bankovních sluţeb aţ do poloviny 90. let minulého století na pobočkách bank. Často navíc pouze na té pobočce, která vedla účet klienta. Existovaly případy, kdy bylo moţné posílat podepsané platební příkazy klasickou poštou, případně faxem, to však byly spíše výjimečné případy, rozhodně se nejednalo o běţnou praxi. Ta právě spočívala v tom, ţe klient musel v případě klasických papírových transakcí přijít na pobočku banky, tam vyplnit správný formulář pro bankovní sluţbu, kterou chtěl pouţít. Dále musel vystát frontu před bankovní přepáţkou a podepsaný formulář předloţit bankovnímu úředníkovi. Ten zkontroloval údaje, klientův podpis podle podpisového vzoru a zadal klientův poţadavek do informačního systému banky. Mnoţství uţivatelů vyuţívající různých bankovních sluţeb se u nás začal radikálně zvyšovat aţ po roce 1989 a s rozvojem komunikačních technologií v devadesátých letech ještě více narůstal. Tehdy banky začaly zavádět nové formy komunikace se svými zákazníky. Do té doby byla pro většinu obyvatel jediným běţně dostupným bankovním produktem vkladní kníţka. Současný vývoj platebního styku a zúčtování směřuje čím dál rozhodněji k pouţívání elektronického bankovnictví. O co déle rozvoj bankovních sluţeb stagnoval, o to rychleji se nyní rozvíjí. Zatímco ještě před pár lety pro většinu z nás nebylo jiné řešení, jak se dostat ke svým penězům, neţ vystát frontu před přepáţkou, dnes je situace mnohem příznivější. První zjednodušení v provádění bankovních transakcí přišlo s vynecháním fronty. Ještě i dnes je moţné vyplnit v bance formulář, podepsat jej a bez čekání jej vhodit do sběrného boxu. Formuláře jsou jednou za čas vybrány a hromadně zpracovány do informačního systému banky. Dalším krokem ve vývoji elektronického bankovnictví bylo telefonní bankovnictví. To nevyţaduje kromě běţného telefonu ţádné speciální komunikační prostředky, a proto se začalo objevovat mezi prvními formami elektronického bankovnictví. Telefonní přístroje umoţnily propojit efektivně, rychle a spolehlivě lokální sítě. Jednou z dalších podmínek vývoje phonebankingu bylo zavedení digitálních ústředen a telefonních přístrojů s tónovou volbou. To nabídlo další prostor pro různé automatizovaně poskytované sluţby. S příchodem mobilních technologií začínají banky komunikovat i pomocí mobilní telefonní sítě. Objevuje se především GSM banking. Při vyuţívání tohoto typu elektronického spojení klient nejčastěji komunikuje se svou bankou pomocí SMS zpráv.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
12
V zájmu zjednodušení automatizace, jak na straně klienta, tak na straně banky, bylo a je výhodné pro komunikaci s bankou vyuţít osobní počítače. Výpočetní technika zaznamenala v posledních několika desetiletích nejmarkantnější pokrok ze všech souvisejících oborů. Z počátku byly počítače velkým přínosem pro klasický bankovní systém. Automatizace a spolu s ní i urychlení a zpřesnění většiny nezbytných rutinních operací na sebe nenechaly dlouho čekat. Další vývoj v této oblasti umoţnil vznik velkých informačních systémů, které zdokonalily fungování mezibankovního a obecně finančního trhu. V současné době proniká výpočetní technika do běţného kaţdodenního ţivota (jak pracovního, tak i soukromého), a to díky stále silnější konkurenci stlačující ceny na minimum. Toto zpřístupnění nových technologií široké veřejnosti vytváří trţní segment, který svým rozsahem a specifickými vlastnostmi (např. aktivní ţivotní styl, vyšší příjmové kategorie apod.) představuje zajímavou cílovou skupinu pro společnosti, nabízející zboţí a sluţby a tedy i pro banky. Počítač umoţňuje předat poţadavky klienta bance v elektronické podobě a odpadá tím nutnost převádět slovní poţadavky klienta bankovním úředníkem do elektronicky zpracovatelných dat. Tím výpočetní technika sniţuje chybovost a zvyšuje efektivnost práce. Počítač je také výhodný při hromadném zadávaní údajů. Velký zlom v pouţívání počítačů přišel v roce 1993, kdy byla část sítě internet, respektive americká páteřní síť zprivatizována a sluţby začaly být nabízeny veřejnosti. V tomtéţ roce se objevil i první webový prohlíţeč a s ním samozřejmě i první webové stránky. V 80tých letech byly připojeny jen tisíce uzlů, v roce 1992 dosáhl počet připojených uzlů jednoho milionu a v současné době je k internetu připojeno několik desítek milionů uzlů, které jsou schopny mezi sebou komunikovat. Podle způsobu komunikace počítače s bankou rozlišujeme homebanking a internetové bankovnictví. Homebankingový přístup klienta ke svému účtu v bance vyuţívá nejčastěji telefonní linky nebo jiné datové sítě a modem. Oproti tomu internetové bankovnictví vyuţívá veřejnou síť internet a běţný prohlíţeč webových stránek spolu s nějakou bezpečnostní nástavbou (nejčastěji SSL – Secure Sockets Layer).(Zdroj: )
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
13
Trh s mobilními telefony se neustále rozvíjí a tak je jiţ zvykem, ţe se svou funkčností podobají osobním počítačům. Na tento trend samozřejmě bankovní instituce reagují a snaţí se své sluţby nabízet i v této oblasti a vyvíjí a objevují nové druhy komunikace. Přestoţe absolutní většinu tvoří na internetu banky klasické s jejich webovými prezentacemi, začaly od počátku rozvoje on-line plateb vznikat i banky čistě internetové. Pokud se podíváme do historie českého bankovnictví, tak první čistě internetovou bankou byla Expandia banka. Ta nabídla první skutečné internetové bankovnictví v roce 1999. Moţná i pod vlivem probíhajícího internetového boomu byla Expandia banka přesvědčena, ţe ke komunikaci s klienty jí budou stačit přímé kanály a pouhé čtyři pobočky na celou ČR. Vývoj od té doby sice trochu zchladil naděje na existenci virtuální banky, avšak nová konkurence udělala své a ostatní banky začaly velmi rychle internetové bankovnictví dosazovat mezi své sluţby. Na konci roku 2000 uţ měly internetové bankovnictví tři banky a vyuţívalo ho 41 390 klientů. Mnohem silnější pozici ale v té době mělo telefonní bankovnictví, které uţ vyuţívalo téměř půl miliónu klientů. Vývoj pak šel dopředu velmi rychle, v roce 2002 uţ bylo internetové bankovnictví samozřejmou součástí nabídky všech velkých bank, ačkoliv o jeho úrovni by se dalo občas diskutovat. Řada bank totiţ vytvářela řešení dost narychlo a se silným důrazem na vysokou míru zabezpečení.(3)
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
2
14
SOUČASNÉ MOŢNOSTI INTERNETOVÉHO BANKOVNICTVÍ
S ohledem na rychlý vývoj informačních technologií, jsou organizace nuceny na tyto změny reagovat. Ani ve světě konzervativního bankovnictví tomu není jinak. Internet je fenoménem dnešní doby a mobilní telefon uţ vlastní kaţdý. Při pohledu na nabídky bankovních domů je moţné zjistit, ţe dnes jiţ prakticky není peněţní ústav, který by opomíjel oblast přímého bankovnictví. Kaţdá banka klientovi můţe nabídnout některou z variant přímého bankovnictví. Většina peněţních domů přitom nabízí hned několik komunikačních kanálů, přes které se klienti dostanou na svůj účet. Omezená pracovní doba peněţních ústavů a stále časově náročnější zaměstnání jsou hlavními důvody, které rozhodují o tom, ţe čím dál tím více lidí začíná pociťovat potřebu provádět platební styk podstatně efektivněji a úsporněji, neţ aby kvůli kaţdému příkazu navštěvovali svoji banku. Téměř nezbytností se stávají sluţby přímého bankovnictví, které svým uţivatelům nabízejí maximální komfort a časovou nezávislost na kamenných pobočkách. Základní výhodou sluţeb přímého bankovnictví je moţnost 24 hodin denně provádět platební příkazy k úhradě a inkasu, zjišťovat aktuální stav na svém účtu a především mít dokonalý přehled o všech pohybech na kontě. Banky umoţňují touto formou i zakládat termínované vklady a celou řadu dalších operací. Většina sluţeb, které můţe klient získat na pobočce své banky je k dispozici i elektronickou cestou. Z toho důvodu jiţ vůbec není nutné ztrácet čas ve frontách na přepáţkách pošt či bankovních domů s cílem zaplatit sloţenku či fakturu, ale pohodlně je moţné tuto operaci provést z domova. Podmínkou je pouze zřídit si ve své bance některý z produktů přímého bankovnictví.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
15
Graf 2: Zájem o internetové bankovnictví u jednotlivých bank v r. 2004
Zdroj: http:\\www.nms.cz
Především podnikatelské subjektu přecházejí na pozice internetového bankovnictví, čímţ nabývají na síle. Začíná postupně vytlačovat klasické formy obhospodařování účtu, kdy klient je nucen chodit s kaţdou platbou do banky. Přesto se ale nedá mluvit o úplném vymizení kamenných poboček. Stále zde totiţ budou existovat klienti, kteří preferují osobní přístup a případně radu u sloţitějších transakcí, nechtějí se učit pouţívat nové technologie a při osobním jednání mají větší pocit bezpečí. Tyto klienty neodradí ani zvyšující se poplatky za sluţby poskytované na pobočce banky. Naopak banky sniţují poplatky spojené s bankovnictvím elektronickým. Právě proto si myslím, ţe kamenné pobočky bank budou v nadcházející době navštěvovat klienti, kteří potřebují poradit, tedy pobočky se stanou spíše poradenským místem a své účty budeme spravovat na dálku.
2.1 Platební karty Platební karta je identifikační doklad, jehoţ rozměry a fyzikální vlastnosti stanoví mezinárodní norma ISO 3554. Na přední straně je číslo karty, období její platnosti a jméno drţitele. Na straně zadní je podpisový a většinou i magnetický prouţek, ovšem bezpečnosti není nikdy dost a tak se postupně karty mění z magnetického prouţku na čipový kód.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
16
Na většině karet se tam také nachází číslo karty, mnohdy rozšířené o další trojčíslí, které slouţí jako heslo při některých elektronických transakcích. Karta je vţdy majetkem banky, nikoli drţitele. Proto často banky ţádají její navrácení po skončení doby platnosti. Do 1. poloviny roku 2006 vydaly banky svým klientům cca sedm milionů platebních karet, které byly první vlaštovkou v masovém vyuţívání vzdáleného přístupu k bankovnímu účtu. Vyuţívaly se především k výběru hotovosti z bankomatů, coţ nebylo původně zamýšleno jako primární funkce platebních karet. Primární funkcí měly být bezhotovostní platby za zboţí a sluţby. Z velké části za to můţe chabé rozšíření sítě platebních terminálů v obchodních řetězcích.
Jak jsem jiţ zmínil, postupně dochází k výměnám platebních karet za karty s čipem, ovšem co se týče vzdálenější budoucnosti, domnívám se, ţe trhu platebních karet budou dominovat optické paměťové karty. Dovolím si tak trochu prorokovat, ţe jednoho dne bude kaţdý z nás mít jednu takovou kartu doma, bude ji pouţívat pro placení, pro vstup do různých objektů, jako doklad totoţnosti, aţ půjde k lékaři, ponese si na této kartě svůj celoţivotní lékařský záznam a jistě ji vyuţije i při dalších příleţitostech. Moţnosti čipové technologie budou moci být vyuţity ve větším měřítku. Dosud ještě také nejsou rozšířené nabídky sluţeb v bankomatech a samoobsluţných zónách. Zde chybí především moţnost zaţádat o další platební kartu nebo převést část peněz z účtu na termínovaný vklad. Existují také automaty, které umí změnit PIN kód ke kartě, takţe klient si můţe na všech svých kartách uloţit stejný PIN pro snadnější zapamatování. Toto jsou jen příklady funkcí, které bankomaty mohou zvládnout a banky by tak rozšířily své sluţby. Co se týče bezpečnosti,
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
17
můţeme očekávat, ţe banky v konkurenčním boji budou nuceny přejít na bezpečnější autentizaci klientů, např. prostřednictvím čipů platebních karet, pro které není nutné online spojení.
2.2 Telebanking Telebanking se stalo po platebních kartách historicky druhou formou elektronického bankovnictví. Vyuţívá pro komunikaci klienta s bankou telefonní síť a přístroj. Telefonním přístrojem při této komunikaci vyuţívaným se rozumí buď pevná linka nebo mobilní telefon. V telefonním bankovnictví typ přístroje nehraje aţ tak velkou roli. Klienti mohou tuto formu spojení se svou bankou vyuţít všude tam, kde normálně pouţívají svůj telefon. Sluţby telefonního bankovnictví nabízí k osobním účtům téměř všechny banky v České republice. Liší se v rozsahu sluţeb poskytovaných po telefonu a poplatcích za ně. Někde můţe klient jen zjistit stav na účtu a poslat sumu na jiný účet, jinde zvládne po telefonu téměř totéţ co osobně na pobočce. Operace můţeme rozdělit na dvě skupiny – aktivní a pasivní. Dá se obecně říct, ţe pasivní operace nemění stav účtu klienta. Řadíme mezi ně jak údaje o bance a jejich produktech, tak i autorizované informace z informačního systému banky, např. zůstatek na účtu, transakční historii apod. Naopak aktivní operace se týkají účtu klienta a zůstatku na něm. Mezi tyto operace řadíme například příkazy k úhradě. Ve smlouvě o elektronickém bankovnictví, kterou klient podepíše s bankou, je mimo jiné uvedeno, které aktivní operace lze pomocí telefonního bankovnictví provádět a také jaký je peněţní limit buď pro jednotlivé operace, nebo pro určité období. Telebanking můţeme rozdělit do dvou skupin, podle toho kdo přijímá klientské údaje ke zpracování. Rozlišujeme tedy mezi těmito typy: Call centrum (telefonní bankéř) a IVR systém (Interactive Voice Response).(4) Pro jednodušší operace je moţno pouţívat hlasový automat (počítač na druhé straně linky), pro sloţitější operace je nutno mluvit s ţivým telefonním bankéřem. Hlasový automat bývá zpravidla levnější jak pro banku, tak pro klienta.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
18
Graf 3: Vyuţití kanálů (telebanking, internetbanking a GSM banking) jednotlivých bank
Zdroj: http:\\www.idnes.cz
Vyuţívá-li klient sluţeb Call centra, ţádá prostřednictvím svého telefonu operátora/ku o vykonání konkrétní bankovní operace. Pro tento typ telefonního bankovnictví není potřeba ţádné zvláštní vybavení, pouze jakýkoliv funkční telefon. Další výhodou je (díky slovnímu kontaktu s operátorem) široká nabídka poskytovaných sluţeb od podávání detailních informací o produktech a sluţbách banky přes poskytování rad nebo nabízení nových produktů po provádění platebních operací (po předchozí autentizaci). Nevýhodou naopak je relativně vysoká finanční nákladovost provozu této sluţby z pohledu banky, protoţe práci
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
19
vykonávají telefonní bankéři a ti jakoţto lidská pracovní síla jsou značným nákladem. Proto se banky snaţí motivovat své klienty k pouţívání automatického systému. Většina bank dnes provozuje svá call centra nepřetrţitě, příp. i v anglickém či jiném cizím jazyce. Většina bank poskytuje kompromis mezi dvěma způsoby telefonního bankovnictví Banky pouţívají různá zabezpečení proti zneuţití. V zásadě se přihlášení do telefonního systému kaţdé banky skládá ze dvou částí: zadání identifikačních znaků klienta a osobního bezpečnostního hesla klienta. Pro zvýšení bezpečnosti mají některé banky třístupňové přihlášení do systému (identifikační číslo, PIN a heslo). Po správném ověření je klientovi umoţněn přístup do menu, kde můţe vyuţít funkce, jako je např. aktuální zůstatek na účtu. V případě, ţe se má uskutečnit sloţitější operace, je spojen s telefonním operátorem, který poţadavek vyřídí osobně. Takto banka sniţuje náklady spojené s provozem call centra, čímţ operátoři nejsou zbytečně zatěţováni jednoduchými operacemi. Provozovat oba typy telefonního bankovnictví je z hlediska marketingu banky výhodné, protoţe někteří klienti preferují kontakt s operátorem, jiní raději vyuţijí hlasové menu systému. K dalším výhodám patří spojení obou typů telefonního bankovnictví, ţe v menu systému se můţe klient ztratit a operátor v takové situaci je jediný, kdo můţe pomoci.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
Graf 4: Schéma hlasové sluţby ČSOB Mobil 24
Zdroj: http:\\www.csob.cz
20
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
21
2.3 GSM banking Telefonní bankovnictví se dlouhodobě vyvíjelo a s příchodem digitálních technologií doznalo značných změn. Tím mohl vzniknout i GSM banking (GSM bankovnictví). Jedná se o vyuţití sluţeb dostupných v mobilních telefonních sítích prostřednictvím mobilních telefonů. Klient tak můţe odkudkoliv a především kdykoliv ovládat svůj účet, aniţ by musel navštívit banku. Tento druh elektronického bankovnictví ale není tolik vyuţívaným kanálem jako telefonní nebo internetové bankovnictví. Klienti mohou GSM banking pouţívat nejčastěji k základním platebním operacím a ke zjišťování informací o svém účtu. Co se týče zabezpečení GSM bankingu, tak princip bezpečnosti funguje na základě „klíč“. Jeden klíče má k dispozici banka a druhý je uloţen na straně uţivatele, a to na kartě SIM. Tam je pouţívání bankovních aplikací ještě chráněno autorizací, která probíhá na základě zadání zvláštního čísla BPIN. Svoji funkci tu má i druhé bezpečnostní číslo BPUK, podobně jako tomu je u klasických hesel k SIM kartě. Touto cestou je zajištěna bezpečnost bankovních operací i v případě, ţe se mobilní telefon nějakým způsobem dostane do rukou nepovolané osobě GSM bankovnictví je moţné vyuţívat pouze z jedné SIM karty. Tím se sniţuje pravděpodobnost zneuţití a zjednodušuje ověření totoţnosti klienta. Navíc je aplikace chráněna bankovním PINem. Zpráva, která odchází z telefonu klienta do banky, i ta je šifrována, kdyţ se vrací z banky do telefonu. Jednou z několika moţností vyuţití sluţby GSM bankingu je SMS banking. Jeho předností je jeho vyuţitelnost u veškerých mobilních telefonů podporující zasílání krátkých textových zpráv SMS. Bez ohledu na operátora a typ telefonního přístroje, probíhá komunikace pouze prostřednictvím SMS zpráv. Protoţe je mobilní telefon dnes jiţ téměř součástí kaţdého člověka, mohou být klienti informování o dění na jejich účtu buď automaticky (SMS zprávami, zaslanými ihned po provedení transakce) nebo na vyţádání (po zaslání správně formátované SMS zprávy ji banka zpracuje a následně pošle klientovi zprávu s odpovědí na jeho poţadavek). Ačkoliv se nedávno začalo vyuţít ověřování platebního
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
22
příkazu, zadaného prostřednictvím internet bankingu, identifikačním číslem zaslaným SMS, stále se ale jedná spíše o doplňkovou sluţbu, jenţ je v neustálém vývoji.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
3
23
RIZIKA ELEKTRONICKÉHO BANKOVNICTVÍ Vývoj nových informačních technologií přináší do bankovnictví velký přínos a ná-
sledně na zákazníka, potaţmo uţivatele sluţeb. Tím se ale také otevírá prostor pro neoprávněné přístupy k cizím účtům a další rizikové situace spojené s tímto typem moderního bankovnictví.
3.1 Bezpečnost internetového bankovnictví Elektronické bankovnictví má mnoho částí, kterých se bezpečnost značně dotýká, avšak v této práci se chci zabývat pouze bezpečností internetového bankovnictví. Zaměříme-li se tedy na internetové bankovnictví, velmi úzce souvisí jeho bezpečnost s bezpečností samotného internetu. Řešení zabezpečení lze rozdělit na dva základní úkoly. Prvním je zajištění bezpečné datové cesty po sítích internetu mezi systémem internetového bankovnictví a na straně banky a webových prohlíţečem na straně uţivatele (klienta banky). A druhým úkolem je docílit maximálně bezpečnou identifikaci klienta. Pro zabezpečení komunikace klienta s bankou je k prohlíţeči běţně pouţívanému protokolu HTTP ještě třeba vyuţít nadstavbu SSL, protoţe samotné HTTP umí provést pouze autentizaci uţivatele na základě hesla. HTTP kombinovaný s SSL tvoří dohromady protokol HTTPS. Všechny běţné prohlíţeče umí tento protokol pouţívat a navíc pouţívají bezpečné 128 bitové šifrování. Pro případného útočníka sice není podle expertů velký problém získat kompletní komunikaci mezi bankou a klientem, ale obdrţí ji v dobře šifrované podobě a není v jeho silách data rozluštit. Úroveň zabezpečení poskytovaná touto technologií je ze strany bank povaţována za dostatečnou. Navíc za celou dobu existence internetových aplikací všech českých bank nevznikl doposud ţádný problém, který by dokázal nedostatky v zabezpečení těchto internetových sluţeb. Míra bezpečnosti závisí především na způsobu identifikace klienta. V současnosti se nabízí pět bezpečnostních nástrojů pro vstupní identifikaci: o uţivatelské jméno a heslo o digitální certifikát o čipová karta
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
24
o mobilní telefon o PIN kalkulátor Graf 5: Vyuţití dostupné ochrany internetového bankovnictví na českém trhu
Zdroj: Agentura MNS
Výše zmíněné způsoby zabezpečení lze rozdělit i podle jejich úrovně. Např. méně bezpečné způsoby přístupu do systému jsou vyuţívány pouze pro pasivní operace, jako je sdělení zůstatku na účtu a výpis účetních operací. Společným atributem je však vyuţití špičkové úrovně zabezpečení pro aktivní operace, např. zadávání příkazů k úhradě a podobně. Certifikáty nebo elektronický podpis jsou generovány s platností aţ jednoho roku, coţ sice přináší klientům jistý komfort (nemusí se stále starat o častou obnovu certifikátů), ale klade vyšší poţadavky na bezpečné uloţení a pouţívání těchto klíčů. Pokud uţivatel opatruje svoje přístupové kódy, hesla a certifikáty, moţnost zneuţití přístupu k účtu přes internet je nízká. Ostatně dokládá to i skutečnost, ţe za celou dobu existence internetového bankovnictví nedošlo k ţádnému váţnějšímu incidentu. Mnohem větší riziko spočívá v pouţívání klasických platebních karet, coţ mimo jiné dosvědčují zprávy o zneuţívání a krádeţích s databázemi čísel platebních karet.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
25
3.2 Bezpečnost internetového bankovnictví v ČR Odborníci se shodují, ţe v současné době největším limitujícím faktorem bezpečnosti internetového bankovnictví je chování klienta. Banky obyčejně nedoporučují pouţívat k přihlášení na svůj účet počítače, o nichţ klient nic neví – typicky v internetových kavárnách. Cizí počítač je pro klienta potenciálně nebezpečný, neboť můţe bez jeho vědomí zcizit certifikát / soukromý klíč a heslo. Dalším nebezpečím je tzv. phishing, kdy jsou klienti prostřednictvím e-mailové zprávy vyzváni k vyplnění a odeslání citlivých údajů. Záměrem těchto zpráv jé získání osobních anebo finančních informací o klientovi, které se dají většinou jednoduše zneuţít. Naštěstí ale o tomto riziku ví čím dál více klientů a i banky na tento jev upozorňují na svých stránkách. Úrovní zabezpečení se mohou banky zásadně lišit. U dvou (Česká spořitelna a Citibank) stačí k přihlášení do sluţby internetbanking přihlašovací jméno (číslo) a heslo. Tento způsob je sice pohodlný, nicméně z uvedených způsobů nejméně bezpečný. Česká spořitelna umoţňuje těm klientům, kterým tento způsob zabezpečení nestačí, moţnost pouţívat PIN kalkulátor, tedy zařízení, které po zadání PIN vygeneruje jedinečný kód pro danou transakci. Další banky standardně pouţívají k zabezpečení certifikáty či specifické předměty (PIN kalkulátory, mobilní telefony). ČSOB a Raiffeisenbank tak činí pouze pro aktivní transakce. V ČSOB se klient přihlásí do internetbankingu pomocí identifikačního čísla a PIN, aktivní operace jsou pak zabezpečeny pomocí „SMS klíče“ – klient si nechá zaslat na svůj mobilní telefon kód, který je vygenerován právě pro tuto transakci. Jeho zadáním poté operaci potvrzuje. Zpráva ovšem není chráněna bankovním PINem. Klientům s vyššími poţadavky na bezpečnost nabízí banka bezpečnostní certifikát uloţený společně se soukromým klíčem na čipové kartě (viz níţe). U Raiffeisenbank stačí klientům pro pasivní transakce rovněţ pouze přihlašovací jméno a heslo. Pro provedení aktivních operací ovšem jiţ potřebují certifikát. Po zadání hesla, které si při jeho generování zvolili, je transakce provedena. Mezi operace, které lze provést bez pouţití certifikátu, však patří např. i změna hesla.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
26
3 banky zabezpečily přístup na účet i identifikaci aktivních operací pomocí certifikátu. Jedná se o Komerční banku, GE Capital Bank a Ţivnostenskou banka. U Komerční banky si klient vygeneruje jeden certifikát, který pouţije pro přihlášení i potvrzení transakce. U GE Capital Bank a Ţivnostenské banky je třeba vygenerovat certifikáty dva – SSL certifikát a podpisový certifikát. SSL certifikát je třeba importovat do prohlíţeče (slouţí k přihlášení), podpisový je poté zapotřebí pro autorizaci transakcí. Ţivnobanka chystá pro své klienty moţnost ukládat certifikáty na zařízení USB token. Klientům vyţadujícím vyšší zabezpečení nabízí Komerční banka a ČSOB bezpečnostní certifikát na čipové kartě. Nejde ovšem o zcela standardní a jednoduchou věc – čtečka čipových karet není obvyklou součástí vybavení počítače a také její cena není zrovna nízká. Klienti HVB Bank pouţívají pro přístup ke sluţbám internetového bankovnictví i jejich provádění vţdy PIN kalkulátor. Jednorázový poplatek za jeho získání a inicializaci elektronického bezpečnostního klíče činí 490 Kč. eBanka nabízí svým klientům tři druhy zabezpečení – mobilním, internetovým či osobním elektronickým klíčem. Nejběţnějším je mobilní – na mobilní telefon je klientovi po identifikaci klientským číslem zaslán autentizační kód. Pro potvrzení údajů k případné aktivní operaci je pak stejným kanálem zaslán ještě certifikační kód. Osobní elektronický klíč není nic jiného neţ PIN kalkulátor – stojí ovšem klienta přibliţně 90 Kč/měsíc. Internetový elektronický klíč je zaloţený na standardních certifikátech. Jádro klíče představuje soubor, ve kterém je bezpečně uloţen certifikát a soukromý klíč. Tento soubor si klient
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
27
vygeneruje a nainstaluje na svůj počítač a vyuţívá jej k přístupu na účet nebo zadávání aktivních operací. Samotný přístup k internetovému elektronickému klíči je zabezpečen heslem, které si uţivatel sám definuje. Graf 6: Autorizace klienta při vstupu na účet
Zdroj: http:\\www.lupa.cz
Různé způsoby zabezpečení mají své klady i zápory. U způsobu přihlášení formou přihlašovacího jména a hesla jiţ byly zmíněny. U certifikátu je nevýhodou nepohodlí spojené s generováním certifikátu a nutností nosit certifikát včetně soukromého klíče s sebou. Navíc v internetové kavárně hrozí zneuţití certifikátu, coţ se týká i případů, kdy klient v tomto prostředí pouţívá čipovou kartu. U některých bank je navíc jeden z certifikátů nutno importovat do prohlíţeče a poté mazat. Z tohoto hlediska jsou ostatní způsoby zabezpečení bezpečnější a pohodlnější. Nejpohodlnější je pak mobilní telefon, neboť ten má jeho uţivatel u sebe stále a nemusí přenášet nic navíc. Samozřejmostí internetbankingu je šifrovaná komunikace mezi bankou a klientem. Dalšími bezpečnostními opatřeními mohou být tyto prvky: automatické odhlášení při nečinnosti, limity operací, zablokování při několika špatných zadáních hesla či moţnost zasílání informačních zpráv. Banky navíc radí hesla často měnit. Jednorázová hesla (generovaná PIN kalkulátory či rozesílaná pomocí mobilu) mívají potom omezenou platnost. Některé banky ovšem mohou ale překvapit při pouţívání internetového bankovnictví negativně. Pokud se totiţ klient z účtu neodhlásí a přejde rov-
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
28
nou na jiné stránky, dostane se tlačítkem „Zpět“ zpátky na svůj účet. U Komerční banky a ČSOB alespoň nemůţe případný útočník bez dalších prvků provádět aktivní operace, u České spořitelny by ale klienti měli dát pozor – pokud nepouţívají autentizační kalkulátor, mohli by o své peníze snadno přijít.
3.3 Bezpečnost internetového bankovnictví - obavy ze strany banky Banka jakoţto peněţní ústav vyuţívá desítky pracovních procesů, v nichţ vstupuje do rizika. Toto riziko v mnoha případech není moţné či není efektivní zcela eliminovat a proto je tedy nutné je řídit.(5) Bankovní rizika se dělí na externí (politická, měnová, kurzová, úroková) a interní (podvody, technická a technologická rizika). Rizika lze charakterizovat vedle pravděpodobnosti výskytu bezpečnostního incidentu i velikostí potenciálně způsobené škody. Inovace v oblasti technologií a zvyšující se konkurence mezi bankami přinesla rozšíření nabídky bankovních sluţeb. Imperativem doby se stává poskytování sluţeb prostřednictvím elektronických distribučních kanálů jak podnikové, tak i retailové klientele. S rychlým rozvojem elektronického bankovnictví jsou však spojená i určitá rizika. V rámci zajištění bezpečných sluţeb nejen internetového bankovnictví je důleţité, aby kaţdý článek v řetězci poskytovatelů elektronického bankovnictví tato rizika identifikoval a přijal adekvátní opatření vedoucí k jejich eliminaci, resp. ke sníţení moţných následků. Zjednodušeně lze rizika pojící se s oblastí elektronického bankovnictví rozdělit na obecná, která se vyskytují i v oblasti klasického bankovnictví, a na rizika pro elektronické bankovnictví specifická. Specifická rizika jsou představována jednak novými druhy rizik a jednak zvýšenou mírou rizik existujících v klasickém bankovnictví. Pro vedoucí pracovníky bank tak vyplývá nový úkol zajistit revizi stávajících postupů řízení rizik v oblasti poskytování bankovních sluţeb a tyto postupy eventuálně upravit a přizpůsobit novým podmínkám. Charakteristické vlastnosti elektronického bankovnictví přinášejí následující skupiny rizik. Rychlost změny vyvolaná inovacemi v technologiích i potřebou rozšířené nabídky sluţeb poskytovaných klientům je mnohem větší neţ u klasických bankovních produktů. Systémy podporující produkty klasického bankovnictví byly tradičně implementovány v průběhu relativně dlouhého implementačního cyklu po důkladných detailních testech. Naproti tomu v případě elektronického bankovnictví jsou banky mnohdy tlačeny
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
29
konkurenčním bojem k co nejrychlejší implementaci nových řešení - často v době čítající pouze několik měsíců od okamţiku zrodu konceptu řešení do okamţiku jeho masivního nasazení. Tato skutečnost klade mimořádné nároky na kvalitu strategického zhodnocení záměru a provedení analýzy rizik a kvalitu bezpečnostních posudků před samotným zahájením implementace nové sluţby.
Transakční webové aplikace jsou úzce svázány s tradičními bankovními systému tak, aby bylo umoţněno tzv. straight-through processing (STP) elektronických transakcí. Automatizované STP na jedné straně eliminuje moţnost vzniku chyby způsobené lidským faktorem, na druhé straně dramaticky zvyšuje závislost na bezchybně navrţené systémové architektuře a provozní spolehlivosti jednotlivých částí komplexních informačních systémů. Elektronické bankovnictví zvyšuje závislost banky na informačních technologiích, a tím i komplexnost technických a bezpečnostních aspektů řešení, komplexnost partnerských vztahů, aliancí, dodavatelských vztahů, outsourcingu a jiných vztahů banky se třetími stranami. Globální síť internetu je otevřená síť, přístupná takřka odkudkoliv anonymními uţivateli, s posíláním zpráv přes neznámá místa, někdy i přes bezdrátová pojítka. Tento fakt zvyšuje potřebu důrazu kladeného na bezpečnostní opatření, techniky autentizace uţivatele a ochrany dat, standardy ochrany osobních údajů a procedury sběru a vyhodnocování auditních záznamů. K nezbytným bezpečnostním opatřením patří: o důvěrnost klíčových informací. Toto opatření je potřeba zajistit nejen při zpracování dat v bance, ale i při zpracování dat třetími stranami. o vytváření jednoznačných auditních záznamů o kaţdé jednotlivé transakci a jejich vyhodnocování.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
30
o zajištění integrity transakcí elektronického bankovnictví, záznamů a informací. Je potřeba si uvědomit, ţe STP v mnoha případech znesnadňuje proces detekce a nápravy programátorských chyb a podvodného jednání. Je proto důleţité věnovat dostatečnou pozornost zabezpečení a monitorování systémů, které pracují na bázi STP. o systémy elektronického bankovnictví musejí mít implementovány vhodné a dostatečné mechanismy pro kontrolu autorizačního procesu a procesu přidělování přístupových práv. o zajištění vhodného oddělení povinností s cílem zamezit přílišnému nebo nevhodnému kumulování oprávnění jednotlivých zaměstnanců. o zajištění autorství a odpovědnosti v případě transakcí elektronického bankovnictví s cílem dosaţení právní odpovědnosti. o autentizace klientů přistupujících prostřednictvím elektronického bankovnictví do informačního systému banky.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
4
31
NEOPRÁVNĚNÉ ZÍSKÁNÍ PŘIHLAŠOVACÍCH ÚDAJŮ V této kapitole budu prakticky demonstrovat, jak lze velmi snadno získat osobní úda-
je k Vašemu internetovému bankovnictví. Ne vţdy se ke svému bankovnímu účtu připojujete pouze ze svého osobního počítače doma a tak kdyţ vyuţijete moţnosti počítače např. v zaměstnání nebo v internetové kavárně, či kdekoliv jinde. Můţe se stát, ţe své osobní přihlašovací údaje k bankovnímu účtu snadno poskytnete třetí straně. Avšak ani doma nejste v bezpečí, jelikoţ i tam existuje riziko útoku ze strany rodinných příslušníků, příp. cizích osob.
4.1 Keylogger Keylogger je aplikace, která běţí na pozadí systému a sleduje a loguje veškerou činnost klávesnice. Lze tak snadno zjistit hesla k e-mailovým účtům, navštívené webové adresy, údaje z internetových formulářů a tím i samozřejmě přihlašovací údaje pro Vaše internetové bankovnictví. Keylogger loguje stisk veškerých kláves, dokonce i speciálních.
4.2 Instalace programu Demoverzi programu Key-logger V3.1 nainstalujeme z přiloţeného disku spuštěním aplikace „setup.exe“. Upozorňuji, ţe se jedná se o demoverzi, licencovanou pouze na 7 dní. V průběhu instalace pokračujeme stisknutím tlačítek Další. Na Obr. i2 je nutné po přečtení licenční smlouvy zaškrtnout „Souhlasím s podmínkami licenční smlouvy“.
Obr. i1
Obr. i2
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
32
Pro instalace programu, na kterou je třeba mít 6,5 MB volného místa na disku a pokud nechcete volit jiné místo pro uloţení, ve výchozím reţimu volí standardní cesta C:\Program Files\Celosubeikruyahk . Opět pokračujeme tlačítkem Další. Na Obr. i4 zatrţeními rozhodneme o umístění zástupce a o moţnosti smazání instalačního souboru, coţ však v našem případě, kdy program instalujeme z disku, není moţné. V průvodci instalace kliknutím na tlačítko Instalovat spustíme samotnou instalaci Obr. i6.
Obr. i3
Obr. i4
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
33
Obr. i5
Obr. i6
4.3 Spuštění a nastavení programu Program máme nainstalovaný. Spuštění můţeme provést několika způsoby, avšak záleţí na nastavení, které jsme provedli v průběhu instalace. Řekněme-ţe máme ikonu zástupce na ploše. Při prvním spuštění programu musíme definovat heslo, popřípadě kombinaci kláves, kterou budeme aplikaci spouštět a nastavovat (Obr. p1).
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
34
Obr. p1 V základním nastavení (Obr. p2) lze nastavit chování programu po startu počítače tak, aby uţivatel nepoznal spuštění špionáţního softwaru, např. skrýt ikonu, skrýt záznam z nabídky Po spuštění apod. Ve Správě záznamů (Obr. p3) je vidět moţnost nastavení ukládání zaznamenaných dat do cílového adresáře nebo uloţení na externí paměťový disk. Rovněţ definovat počet dnů, po jejichţ uplynutí dojde ke smazání historie záznamů.
Obr. p2
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
35
Obr. p3
4.4 Získané výstupy Nastavení špehovacího programu jsme provedli a nyní jen stačí vyčkat, neţ se někdo chytí. Představme si, ţe jsem provozovatel veřejného internetu – internetové kavárny. Vy jste hostem. Zaplatíte si pouţití počítače s internetem za účelem kontroly stavu Vašeho bankovního účtu. Nic netušíc jsou Vaše činnosti na počítači monitorovány keyllogerem. Po dokončení své práce odejdete a co po Vás zůstalo si teď ukaţme na následujícím snímku.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
36
Keylogger zaznamenává aktivity jednak dle uţivatelských účtů, ale také je řadí podle data a hodiny, kdy byly provedeny. Na obrázku je vidět, kdy a v kolik hodin se uţivatel „mirek“ připojil na internetovou aplikaci servis24 internetbanking a následně jaké klávesy byly stisknuty, resp. co napsal. Je vidět jednak klientské číslo a následně heslo. Takţe teď uţ stačí jen otevřít webový prohlíţeč, připojit se na webový portál Servis24 a vloţením nelegálně získaných dat vstoupit na Váš účet.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
5
37
ZÁVĚR V mé bakalářské práci jsem se snaţil popsat a analyzovat současnou situaci v oblasti
elektronického bankovnictví, vyhodnotit jednotlivé jeho formy a vyzdvihnout jejich výhody a nevýhody a upozornit na konkrétní rizika spjatá s jejich pouţíváním. Za hlavní přednost přímého bankovnictví je moţné povaţovat časově neomezený přístup klienta ke svému účtu. Platební transakce je moţné odkudkoliv a kdykoliv vyřídit za několik málo minut, coţ vyjadřuje značnou úsporu času v porovnání s návštěvou pobočky banky. Vedle časové úspory přináší vyuţívání sluţeb přímého bankovnictví také niţší poplatky za platební transakce. Elektronický komunikační kanál je pro všechny banky podstatně levnější neţ klasická cesta podávání platebních příkazů na papírovém formuláři. Proto také banky tuto formu platebního styku poplatkově zvýhodňují, aby klienty motivovaly vyuţívat co nejlépe a především efektivně přímé bankovnictví. Rozdíl mezi poplatek za elektronický a papírový příkaz dosahuje aţ několika desítek korun. Osobní návštěvu na pobočce banky dnes preferují uţ jen klienti staršího věku. V dnešní době představuje elektronické bankovnictví nejmodernější formu poskytování bankovních sluţeb a je jiţ povaţováno za standardní distribuční kanál a nepovaţuje se samo o sobě za výraznou konkurenční výhodu. Elektronické bankovnictví je však ale i něco víc – přináší změnu v celém chodu a chování banky, jejich zaměstnanců i klientů. Patří mezi nejdynamičtěji rozvíjející se oblasti bankovních sluţeb. Zpočátku existence elektronického bankovnictví byly obavy o jeho bezpečnost, s postupem času se ale bezpečnostní systémy neustále zdokonalují a jiţ dnes lze elektronické bankovnictví povaţovat za bezpečnější neţ klasické bankovnictví, ovšem za předpokladu dodrţování dostatečných bezpečnostních opatření, aby nedocházelo k okrádání klienta na základě zjištění jeho přihlašovacích osobních údajů např. prostřednictvím špehovacího softwaru, jak jsem demonstroval v kapitole 4. Za dostatečná bezpečnostní opatření lze pokládat: připojování se k aplikaci ze známého počítače (domácího osobního počítače), mít aktualizovanou verzi antivirového softwaru – antivirové softwary jsou dnes nastaveny tak, aby rozpoznaly keylloger, pouţití certifikátu (pokud jej banka nabízí), často měnit své heslo apod. Většina lidí má na svém bankovním účtu veškeré své finanční prostředky a tak je vysokou prioritou bezpečnost účtu udrţovat v aktualizovaném stavu.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
38
ANOTACE
Příjmení a jméno autora:
Roth Miroslav
Instituce:
Moravská vysoká škola Olomouc o.p.s.
Název práce:
Internetové bankovnictví
Vedoucí práce:
PaedDr. PhDr. Jiří Dostál, Ph.D.
Počet stran:
41
Počet příloh:
2
Rok obhajoby:
2008
Klíčová slova:
Internetové bankovnictví, bezpečnost internetového bankovnictví.
anotace v českém jazyce Ve své bakalářské práci jsem se zabýval tématem internetového bankovnictví a jeho bezpečnosti. Analyzoval jsem vznik a vývoj internetového bankovnictví a provedl rozbor současných komunikačních moţností klienta. V jednom z dílčích cílů jsem poukázal na moţná rizika, jenţ se k problematice bezpečnosti váţí.
anotace v anglickém jazyce The thesis is about the internet banking and his security. I analyzed creation and progress of internet banking along with I realized dissection of current client’s communications possibilities with the bank. In one of the particular unit I have refer to possibly diversification that relate to problems of security.
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
39
SEZNAM POUŢITÉ LITERATURY A ELEKTRONICKÝCH ZDROJŮ
(1) PARDUBICKÝ, T. Elektronické bankovnictví není tak snadné, jak se zdá. Virtuální inovační park [online]. 2001. [cit. 10. 6. 2008]. Dostupné z: . (2) NACHER, P. Platby kartou [online]. [cit. 10. 6. 2008] Dostupné z: . (3) VYKOUKAL, P. Nechoďte do banky, vždyť nemusíte. Penize CZ [online]. [cit. 10. 6. 2008] Dostupné z: < http://penize.cz/info/zpravy/zprava.asp?IDP=1&NewsID=174>. (4) PETRJÁNOŠOVÁ, B. - PEČÍNKOVÁ, M. Bankovnictví I. 1. vyd. Brno: ESF MU, 1998. 178 s. ISBN 80-210-2503-4. (5) John, E. Historie bankomatů. [cit. 10. 6. 2008]. Dostuné z: . (6) SŮVOVÁ, H. a kolektiv. Specializované bankovnictví. 1. vyd. Praha: Bankovní institut, 1997. 398 s. ISBN 80-902243-2-6. (7) LANCE, J. Phishing bez záhad. 1. vyd. Praha: Grada, 2007. 281 s. ISBN: 978-80-2471766-1. (8) MÁČE, M. Platební styk: klasický a elektronický. 1. vyd. Praha: Grada, 2006. 220 s. ISBN 80-247-1725-5. (9) ČTK [online]. 2008. [cit. 10. 6. 2008]. Dostupné z: .
(10) Finance CZ [online]. 2008. [cit. 10. 6. 2008]. Dostupné z: .
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
SEZNAM GRAFŮ A TABULEK Graf 1: Podíl společností na trhu vydaných platebních karet v r. 2006 Graf 2: Zájem o internetové bankovnictví u jednotlivých bank v r. 2004 Graf 3: Vyuţití kanálů (telebanking, internetbanking a GSM banking) jednotlivých bank Graf 4: Schéma hlasové sluţby ČSOB Mobil 24 Graf 5: Vyuţití dostupné ochrany internetového bankovnictví na českém trhu Graf 6: Autorizace klienta při vstupu na účet
40
Moravská vysoká škola Olomouc, Ekonomika a Management ve veřejném sektoru
SEZNAM PŘÍLOH CD s demoverzí programu Keylloger V 3.1 CD s elektronickou verzí této bakalářské práce (*.pdf)
41