Nová bezpečnostní opatření v ABO-K Informace pro klienty
1. Úvod Česká národní banka klade při vedení účtů a poskytování platebních služeb velký důraz na bezpečnost. V rámci interních systémů ČNB (včetně aplikace ABO-K internetové bankovnictví) jsou bezpečnostní rizika ošetřena v maximální možné míře. Systém ABO-K je postaven tak, že klientům umožňuje maximálně bezpečné předávání dat. V bezpečnostní příloze Podmínek pro ABO-K je již delší dobu stanovena řada povinností z oblasti bezpečnosti, které mají klienti dodržovat. Podle řady konkrétních zjištění a nepřímých indicií bylo zjištěno, že na straně klientů ČNB nejsou v mnohých případech bezpečnostní zásady dodržovány, uživatelé ABO-K nemají dostatečné povědomí o bezpečnostních zásadách a v některých případech nejsou ani stanoveny správné postupy po stránce organizační a technické. Předmětem tohoto dokumentu je přehled základních opatření, která zavede Česká národní banka za účelem minimalizace rizik, která byla identifikována na straně klientů ČNB při používání služby ABO-K internetové bankovnictví. Jde o kombinaci opatření - administrativních (stanovení povinnosti klienta, kterou nelze v rámci systému ABO-K softwarově ošetřit), - organizačních (umožněny jen některé parametry smluvních nastavení - podpisových vzorů) a - technických (některé dosavadní funkčnosti ABO-K budou omezeny, některé budou rozšířeny). Konkrétně jde o tyto problémové okruhy: 1. důraz na ochranu certifikátů používaných pro elektronický podpis (resp. elektronickou značku) – kap 2.1 2. ochrana proti zneužití certifikátů používaných pro předávání dávek s příkazy pomocí potvrzovací SMS – kap. 2.2 3. provádění elektronického podpisu (resp. elektronické značky) souboru s příkazy v interním bezpečném prostředí klienta – kap. 2.3 4. používání systémového kvalifikovaného certifikátu pro podpis datových souborů s příkazy – kap. 2.4 5. ověřování elektronické značky ČNB, kterou je opatřen soubor s výpisy, v interním bezpečném prostředí klienta – kap. 2.5 Jsou vydávány nové Podmínky pro ABO-K. Povinnosti klientů uvedené v Příloze č. 1 nových Podmínek pro ABO-K jsou rozšířeny o další bezpečnostní ustanovení a technická opatření budou postupně implementována. Vedle nově zaváděných opatření doporučuje ČNB klientům (zvláště větším organizacím) používání webových služeb (ABO-K/WS), které umožňují efektivní přenos dat bez ručního
Strana 1
4. 3. 2013
předávání a tím zároveň lepší zajištění důvěrnosti předávaných dat (ochranu před neoprávněným přístupem k důvěrným informacím klienta).
2. Bezpečnostní opatření U každého bezpečnostního opatření je úvodní vysvětlující část, kde jsou popsána rizika a způsoby jejich snížení či eliminace. Následně jsou v samostatné podkapitole uvedena opatření, která ČNB zavede. Opatření uvedená v kapitolách 2.1 a 2.2 se týkají všech klientů. Opatření uvedená v kapitolách 2.3 a 2.4 se týkají pouze klientů, kteří předávají soubory s příkazy podle Přílohy č. 3 k Podmínkám pro ABO-K. Opatření uvedená v kap. 2.5 se týkají především klientů, kteří přebírají datové soubory s výpisy.
2.1. Ochrana soukromých klíčů Je třeba v maximální možné míře minimalizovat riziko, že se soukromý klíč používaný k elektronickému podpisu (elektronické značce) dostane pod kontrolu jiné osoby, než je majitel soukromého klíče (jde-li o klíč fyzické osoby, tj. klíč pro elektronický podpis) nebo osoba pověřená správou soukromého klíče (jde-li o klíč právnické osoby, tj. klíč pro elektronickou značku). Soukromý klíč by neměl být uložen v „softwarovém úložišti“ na disku počítače, je-li tento počítač připojen do sítě (intranet, internet) nebo není zcela pod kontrolou majitele klíče. Je-li soukromý klíč generován na disk počítače (ač do bezpečného úložiště Windows) a následně dochází k exportu klíče do datového souboru, vždy existuje riziko, že dojde ke zkopírování (odcizení) klíče, zvláště když majitel klíče nedodržuje důsledně všechny bezpečnostní zásady pro manipulaci s klíčem (bezpečný počítač, důsledné používání hesel, samostatná práce majitele klíče bez přítomnosti jiné osoby). Problém klíče uloženého v „softwarovém úložišti“ je v tom, že majitel klíče o odcizení klíče nemusí vědět (pokud se o něm dozví, měl by okamžitě zneplatnit příslušný certifikát) a útočník má dostatek času k určení vhodného okamžiku pro zneužití klíče. V případě klíče uloženého na hardwarovém úložišti (USB token, čipová karta) útočník nemůže klíč zkopírovat, může jej získat pouze odcizením hardwaru (přičemž musí znát též přístupové heslo ke klíči). Majitel klíče tak má větší šanci, že se o odcizení dozví, a může okamžitě zneplatnit příslušný certifikát.
2.1.1. Opatření – hardwarové úložiště pro soukromý klíč Je zaváděna povinnost ukládat soukromý klíč příslušející kvalifikovanému certifikátu resp. kvalifikovanému systémovému certifikátu na hardwarové úložiště, na kterém je soukromý klíč vygenerován při vytváření žádosti o certifikát a ze kterého nemůže být žádným způsobem exportován. Povinnost je stanovena od účinnosti nových Podmínek pro ABO-K. Jde o opatření čistě administrativní. ČNB nemůže dodržování tohoto opatření kontrolovat (a to ani v případě, že se provádí podpis dat uložených v ABO-K, tj. u ručně zadávaných příkazů), neboť se podpis provádí v prostředí klienta mimo kontrolu systému ABO-K. Dodržování tohoto opatření je tedy plně pod kontrolou klienta a klient nese veškerou zodpovědnost v případě, kdy není toto opatření dodržováno. Strana 2
4. 3. 2013
2.2. Používání potvrzovací SMS při předávání dávek s příkazy Je třeba omezit riziko zneužití soukromého klíče, který slouží k předávání dávek s příkazy, v případě, že je soukromý klíč útočníkem odcizen. Zvláště v případech, kdy je soukromý klíč příslušející kvalifikovanému certifikátu používán jak pro elektronický podpis, tak pro předání dávky s příkazy, může útočník, který klíč odcizil, bez problému zadat podvodný příkaz k převodu prostředků z účtu. Již od roku 2011 je klientům volitelně k dispozici možnost zaregistrovat certifikát s číslem mobilního telefonu, na které je při ručním předání dávky s příkazy ke zpracování zaslána potvrzovací SMS obsahující číselný kód.Tento kód je nutno zadat do ABO-K během předávání dávky. Tím je sníženo riziko zneužití odcizeného soukromého klíče, kterým se uživatel přihlašuje do ABO-K, když předává dávku s příkazy.
2.2.1. Opatření – potvrzovací SMS Ochrana před tímto rizikem bude zajištěna povinným používáním potvrzovací SMS při ručním předávání dávky 1 ve všech případech, kdy předávající disponent používá pro přístup do ABO-K certifikát, který je zároveň použitelný pro podpis dávek. Potvrzovací SMS bude v těchto případech povinně používána od 1. 6. 2013. ČNB doporučuje klientům zavést používání potvrzovacích SMS bez zbytečného odkladu, a to i pro certifikáty, které se používají pouze pro předávání dávek (tj. nepoužívají se pro podpis). Pokud je certifikát disponenta používán pro předávání dávek a zároveň pro podpis dávek a disponent dosud nepoužívá potvrzovací SMS, musí klient dodat nové podpisové vzory pro ABOK. Přístupový certifikát takového disponenta musí být na tiskopisu s podpisovými vzory opatřen číslem mobilního telefonu pro potvrzovací SMS. Při automatizovaném předávání prostřednictvím rozhraní ABO-K/WS (webové služby) se potvrzovací SMS nepoužívá. Je-li certifikát používán pro přístup přes webové služby ABOK/WS, musí být zaregistrován pro předávání dávek, ale bez čísla mobilního telefonu. Takový certifikát pak nelze použít pro ruční předání dávky. Pokud z nějakého důvodu nemůže disponent používat potvrzovací SMS, musí mít komerční certifikát pro přístup do ABO-K a zároveň kvalifikovaný certifikát pro podepisování dávek s příkazy.
2.3. Vytváření elektronického podpisu / značky souboru s příkazy v interním bezpečném prostředí klienta Elektronický podpis (resp. el. značku) datového souboru s příkazy je nutno provádět v maximálně bezpečném prostředí v rámci informačního systému klienta, a to nejlépe v okamžiku, kdy je soubor s příkazy tímto systémem vytvářen. Vytváření elektronického podpisu není považováno za bezpečné, když pracovník klienta podepisuje datový soubor s příkazy uložený na počítači, který je připojen na internet. Příkladem takového rizikového postupu je vkládání datového souboru s příkazy do ABO-K bez souboru
1
Ručním předáváním dávky se rozumí interaktivní předávání prostřednictvím ABO-K, tj. předáním ze stránky „Přehled dávek – předání dávky“ – viz Podmínky pro ABO-K kapitola 4.3.
Strana 3
4. 3. 2013
s elektronickým podpisem, neboť v takovém případě je elektronický podpis prováděn až v rámci vkládání dávky, tedy je elektronicky podepisován soubor uložený na disku uživatelova počítače připojeného do ABO-K přes internet. Soubor tak může být poměrně snadno útočníkem modifikován ještě před provedením podpisu. Pracovník klienta tak může nevědomky podepsat podvržený soubor. Stejně tak je rizikové vytvářet elektronický podpis souboru uloženého na osobním počítači klienta (i v případě, že počítač není připojen k internetu). Soubory uložené na osobním počítači mohou být snáze předmětem útoku než data uložená v interním systému (serveru, databázi) klienta, který bývá ochráněn s větší profesionalitou než běžný osobní počítač.
2.3.1. Opatření Bude zavedena povinnost provádět elektronický podpis datových souborů s příkazy v zabezpečeném interním systému klienta, tedy v prostředí, v němž je možno zajistit řádnou ochranu soukromého klíče používaného k elektronickému podpisu (elektronické značce) a datových souborů s příkazy (viz rovněž kapitola 2.1 tohoto dokumentu a Příloha č. 1 k novým Podmínkám pro ABO-K). Jde o administrativní opatření, které bude podpořeno níže uvedenými technickými úpravami. ČNB nemůže dodržování této povinnosti kontrolovat. Nelze ze strany ČNB zjistit, zda pracovník klienta neprovádí elektronický podpis souboru s příkazy na počítači připojeném k internetu či v jiném nedostatečně zabezpečeném prostředí. Dodržování tohoto opatření je plně v zodpovědnosti klienta. Na obrazovce „Vložení dávky“ bude odstraněna možnost podepisovat datový soubor s příkazy „v rámci ABO-K“. Při vkládání souboru s příkazy bude nutno vložit zároveň soubor s elektronickým podpisem. Toto opatření bude zavedeno s účinností od 1.7.2013. ČNB však doporučuje klientům zavést odpovídající postupy bez zbytečného odkladu. Zároveň již nebude poskytován nástroj pro off-line podpis dávky s příkazy. Klient je plně zodpovědný za zajištění elektronického podpisu (elektronické značky) a software pro tyto účely musí být plně pod kontrolou klienta a v jeho zodpovědnosti.
2.4. Elektronická značka – používání systémového kvalifikovaného certifikátu pro právnickou osobu (organizaci) ČNB nepovažuje za vhodné, aby elektronický podpis datového souboru s příkazy prováděl ručně pracovník klienta, neboť vizuální kontrola správnosti souboru s příkazy podepisujícím pracovníkem je značně problematická. Datový soubor s příkazy (externí dávku) vytváří informační systém klienta na základě podkladů uložených v tomto informačním systému. Pracovník, který provádí elektronický podpis dávky (účetní, operátor), svým podpisem stvrzuje a garantuje, že dávka obsahuje pouze správné a úplné příkazy, tj. není v ní podvržen žádný podvodný příkaz. Soubor s příkazy obsahuje obvykle velké množství příkazů (často desítky až desítky tisíc) a je vytvořen v datovém formátu, který je pro vizuální kontrolu značně nevhodný. Za této situace je prakticky nemožné, aby daný pracovník kontrolu datového souboru řádně provedl, a je proto nevhodné, aby zodpovědnost za správnost dávky byla na tohoto pracovníka přenesena. Kontrola by byla teoreticky možná v případě velmi malého množství příkazů, kdy zároveň pracovník dokonale zná datový formát příkazů, avšak i v tomto případě je dosti nevhodné tuto zodpovědnost na pracovníka přenášet. Strana 4
4. 3. 2013
Zodpovědnost za podklady k příkazům, uložené v informačním systému klienta, musí být samozřejmě jednoznačně dána (to je však interní záležitost klienta, která je zcela mimo problematiku předávání příkazů mezi klientem a ČNB). Zodpovědnost za správné vytvoření dávky s příkazy z interních podkladů klienta a za elektronický podpis dávky nemůže ležet na provozním pracovníkovi (účetním, operátorovi), ale musí ji převzít informační systém klienta, potažmo softwaroví experti, odborníci na bezpečnost informačních technologií a správci informačního systému. Pro účely takového automatizovaného podepisování dat vydávají certifikační autority kvalifikované systémové certifikáty pro právnickou osobu (organizaci) a v takovém případě se nepoužívá pojem „elektronický podpis“ (ten je vyhrazen pro podpis konkrétní fyzickou osobu, které byl vydán kvalifikovaný osobní certifikát), ale pojem „elektronická značka“. Je-li kvalifikovaný systémový certifikát vydán pro právnickou osobu (organizaci), je elektronická značka v podstatě „podpisem za organizaci“. Zodpovědnost za bezpečné zacházení s příslušným soukromým klíčem je interní záležitostí majitele kvalifikovaného systémového certifikátu (právnické osoby) a musí být svěřena softwarovým expertům a expertům na bezpečnost informačních technologií. Není vhodné ji svěřit běžnému provoznímu pracovníkovi (účetní, ekonom, operátor).
2.4.1. Opatření – používání elektronické značky Z výše uvedených důvodů bude vyžadováno od klienta, který je právnickou osobu, opatřovat datové soubory s příkazy elektronickou značkou, tj. používat kvalifikovaný systémový certifikát vydaný pro právnickou osobu (organizaci). Toto opatření bude zavedeno s účinností od 1.2.2014.
2.5. Ověřování elektronické značky výpisů z účtu v interním bezpečném prostředí klienta Ověření elektronické značky ČNB, kterou jsou opatřeny datové soubory s výpisy, je nutno provádět v maximálně bezpečném prostředí, v rámci informačního systému klienta, a to současně s tím (nebo bezprostředně poté), co jsou data z výpisů vložena do interního systému klienta nebo použita pro kontrolu. Ověřování elektronické značky není považováno za bezpečné, pokud je prováděno v okamžiku, kdy je soubor s výpisy stažen z ABO-K (tj. na počítači připojeném k internetu) a zpracování výpisu v interním systému klienta je provedeno až následně. V době mezi ověřením elektronické značky a zpracováním souboru s výpisy může útočník tento soubor upravit (vymazat podvodnou transakci a upravit zůstatky na účtu) a tím zamést stopy. Klient tak při kontrole plateb (tj. při zpracování souboru s výpisy v interním systému) nepozná, že na účtu došlo k neoprávněnému odepsání z účtu. Při ověřování datového souboru s výpisy je dále nutno dbát na to, aby klient ověřil nejen to, že kontrola elektronické značky byla úspěšně provedena, ale že jde skutečně o elektronickou značku České národní banky. Je tedy třeba ověřit, že certifikát použitý pro ověření elektronické značky je skutečně certifikátem, který byl vydán České národní bance příslušnou akreditovanou certifikační autoritou a nejde o certifikát, který klientovi podvrhl útočník. Podvržený certifikát (a v praxi již jeden z klientů ČNB takový incident řešil) může vypadat jako certifikát ČNB, jedinečné jméno certifikátu může obsahovat identifikace České národní banky, ale kořenový certifikát, s jehož pomocí byl podvržený certifikát ČNB vytvořen, může být v systému klienta též podvržen, tj. zařazen mezi důvěryhodné certifikační autority. Navíc může tento kořenový certifikát obsahovat Strana 5
4. 3. 2013
jedinečné jméno shodné s jedinečným jménem skutečného kořenového certifikátu akreditované certifikační autority (např. PostSignum České pošty), takže na první pohled ani zkušený provozní pracovník nemusí odhalit podvrh. Obdobné kontroly je nutno zajistit i v případě, kdy klient provádí pouze vizuální kontrolu výpisů, které přebírá z ABO-K v PDF formátu. I tyto výpisy jsou opatřeny elektronickou značkou ČNB a i zde musí klient zajistit, že je pravost výpisu ověřována oproti pravým a nikoliv podvrženým certifikátům. Identifikační údaje kvalifikovaného systémového certifikátu, který ČNB používá pro vytváření elektronické značky pro datové soubory s výpisy, a vydávající certifikační autorita jsou uvedeny v Příloze č. 1 nových Podmínek pro ABO-K, která obsahuje bezpečnostní zásady. Kvalifikované systémové certifikáty akreditovaných poskytovatelů certifikačních služeb (tj. certifikačních autorit) jsou zveřejněny webových stránkách těchto poskytovatelů a na stránkách Ministerstva vnitra http://www.mvcr.cz/clanek/e-podpis-povinne-zverejnovane-informacevysledky-overeni-platnych-kvalifikovanych-systemovych-certifikatu-akreditovanychposkytovatelu-certifikacnich-sluzeb.aspx .
2.5.1. Opatření – ověřování elektronické značky výpisů Je zaváděna povinnost ověřovat elektronickou značku v zabezpečeném interním systému klienta, a to současně se zpracováním dat z výpisu. Toto opatření je čistě administrativní. ČNB nemůže dodržování výše uvedené povinnosti kontrolovat, její dodržování je plně v zodpovědnosti klienta. Nelze zjistit, kdy a jak klient provádí ověření elektronické značky výpisů. ČNB může pouze zjistit, že se klient ani nepokusil stáhnout soubor s elektronickou značkou. Na obrazovce „Ověření podpisu“ bude zřetelně vyznačeno, že slouží pouze pro nezávazné testovací použití a je nepřípustné používat tuto funkčnost pro závazné ověření podpisu provozních dat. Po určité relativně krátké době bude znemožněno používat tuto obrazovku pro ověřování elektronické značky datových souborů s výpisy.
3. Závěr Klient je povinen zajistit implementaci bezpečnostních opatření popsaných v tomto dokumentu, stejně jako bezpečnostních opatření uvedených v Příloze č. 1 nových Podmínek pro ABO-K. Z výše uvedených informací je zřejmé, že ochrana systémů klienta před hackerskými útoky je úkolem pro experty na bezpečnost informačních technologií a nelze ji svěřit běžným provozním pracovníkům. Některá z uvedených opatření podpořená technickým řešením v ABO-K pak vyžadují též včasné úpravy systémů a metodických postupů na straně klienta. Jde zejména o využívání potvrzovacích SMS (od 1. 6. 2013), elektronický podpis dávky s příkazy v interním systému klienta (od 1. 7. 2013) a používání elektronické značky (tj. používání kvalifikovaného systémového certifikátu) pro datové soubory s příkazy právnickými osobami (od 1. 2. 2014).
Strana 6
4. 3. 2013
