Pohled klienta na Internetové bankovnictví v České republice

Pohled klienta na Internetové bankovnictví v České republice

Na mnoha frontách nás bombardují jednotlivé bankovní ústavy o svých výhodách i nevýhodách. Počínaje televizí, rozhlasem přes Internet až po osobní nabídky a kontakty – všichni se nás snaží přesvědčit zejména o výhodách, proč přejít zrovna "k nim". Jedním z lákadel je i "kvalitní internetové bankovnictví". A na tento bod se chci nyní zaměřit.

Tento pohled bude nyní laický, má ukázat zkušenosti z použití několika internetových bankovnictví a názor na zabezpečení a výhody toho kterého internetového bankovnictví bez speciálního zaměření na technické pozadí zabezpečení. Dále nás v této chvíli nezajímá cena jednotlivých bankovních ústavů. To se lze dočíst v jiných rubrikách tohoto serveru.

Nejprve několik definic:

- elektronický klíč – speciální zařízení (tzv. "kalkulačka"), přes kterou se provádí ověřování operací v rámci elektronického bankovnictví;

- mobilní klíč – provádění ověřování prostřednictvím softwaru nahraného do SIM karty mobilního telefonu;

- ověřování prostřednictvím SMS – podobné řešení jako mobilní klíč, ale bez speciálního software;

- elektronický podpis – použití prostřednictvím souboru či elektronického zařízení na čtení bezpečnostních karet;

- heslo – heslo sloužící k potvrzení uživatele;

- přihlašovací jméno – jméno pro stanovení uživatele, používá se ve všech případech přihlašování a někdy ověřování;

- Internetový prohlížeč – jakákoliv varianta dnes používaných prohlížečů: Microsoft Internet Explorer, Mozilla, Opera atd.

Přihlašování, ověřování a kombinace prvků bezpečnosti

Z hlediska bezpečnosti mi připadá jako nejlepší použití elektronického klíče a to z několika důvodů: kromě samotného ověřování přes Internet nevyžaduje žádnou další závislost na komunikacích (viz dále mobilní a SMS klíč) a systému je víceméně jedno, odkud se přihlášení provádí (tuzemsko, Evropa, svět). Dále není nutno instalovat žádný dodatečný software jak do mobilního telefonu (u mobilního klíče) či do PC (většinou u elektronického podpisu). Nabourání této možnosti zabezpečení je možné pouze při fyzické krádeži tohoto klíče od jeho držitele a vyzrazení PIN kódu pro přístup do těchto elektronických kalkulaček.

Použití mobilního klíče je obdobou předchozího ověřování, ale je závislé na komunikaci prostřednictvím mobilního operátora a je závislé jak na dostupnosti signálu, tak na případných problémech např. v zahraničí, kdy nemusí být komunikace 100% zajištěna (banky jí obvykle nezaručují ani v podmínkách). Nabourání této možnosti je opět možné fyzickým odcizením mobilního telefonu (přímo SIM karty) s nainstalovaným softwarem a vyzrazení jak PIN kódu na přístup na kartu, tak tzv. bankovní PIN pro přístup do bankovní části SIM karty. Uživatelé si občas usnadňují přístup do mobilu bez PIN kódů, což může být potenciální problém.

Použití SMS zpráv je obdobou předchozího ověřování, přičemž nositelem ověření je SMS zpráva od banky; tato metoda je opět závislá na komunikaci prostřednictvím mobilního operátora (signál, zahraničí apod., jako v předchozím případě). Prolomení této metody je možné prostřednictvím jednorázového přístupu při odcizení jedné konkrétní zprávy (půjčený, zapomenutý či ukradený telefon) a prostřednictvím samotného internetového bankovnictví následná změna příslušného mobilního čísla na číslo útočníka – tím se majitel dostane zcela mimo hru. Banky v poslední době tento problém řeší nezbytnou osobní přítomností oprávněného uživatele v bankovním ústavu pro změnu telefonního čísla, což je poněkud nepohodlné.

Použití elektronického podpisu je z hlediska bezpečnosti na obdobné úrovni jako elektronický klíč. V případě elektronického podpisu v souboru je vyžadován soubor v počítači či na přenosném zařízení (např. USB Flash apod.), bezpečnostní karta vyžaduje připojené a NAINSTALOVANÉ elektronické zařízení na čtení těchto karet. Bezpečnostní karta není prakticky využitelná mimo jeden počítač uživatele, instalace na jiný počítač je buď přímo zakázána, nebo je velmi složitá. Osobní zkušeností mohu potvrdit, že samotná instalace byla ve dvou bankovních ústavech navíc velmi problematická i při dodržování veškerých pokynů pro instalaci (viz dále). Nabourání této možnosti je možné po fyzické krádeži karty a znalosti přístupových PINů/hesel. Elektronický podpis v souboru je na druhou stranu možné ukrást/zkopírovat z počítače uživatele bez fyzické přítomnosti útočníka např. spywarem, neautorizovaným vzdáleným přístupem apod.

Kombinace přihlašovacího jména a hesla je sice velmi rychlá, opět nezávislá na mobilních operátorech, ale prolomení je velmi jednoduché – stačí byť jen opsání dat z klávesnice ať kamerou či technicky prostřednictvím spyware v počítači a je zaděláno na průšvih.

Jednotlivé banky používají jak jednotlivě tyto prvky bezpečnosti, tak i jejich vzájemné kombinace či kombinace podle požadované činnosti – přihlášení, ověření platby/trvalého příkazu/inkasa atd.

Zkušenosti s některými bankovními ústavy

Nynější soupis je na základě vlastních zkušeností s některými internetovými bankovnictví bez ohledu na pořadí (účelem není banky vyhodnotit podle úrovně), ale na základě subjektivního hodnocení bezpečnosti a některých zajímavých vlastností. Přednost zde mají osobní účty (nikoliv firemní). Výčet se zabývá pouze vztahem Banka <--> Klient a provádění plateb. Víceméně u všech bank je k dispozici možnost přístupu přes jeden elektronický klíč (resp. podpis, heslo apod.) na všechny oprávněné účty uživatele. Také nebudu rozebírat dnes již běžná avíza o provedených platbách na e-mail klienta, možnosti elektronických výpisů apod.

eBanka, a.s.

Od počátku využívá interně vyvíjený software a banka vlastně vznikla původně jako internetová; bezpečnost byla od počátku zajišťována elektronickým klíčem, později dále doplněný např. o mobilní klíč. Mezi zajímavosti patří např. podmíněná splatnost jednorázového i trvalého příkazu (do doby dostatku peněz na účtu), řešení většiny záležitostí přes internet (správa platebních karet, jednoduchý úvěr), využití internetové platební karty (možnost platby přes internet bez skutečné plastové karty s vyšší úrovní zabezpečení). Oficiálně jsem nezaregistroval žádné ohrožení bezpečnosti v této bance.

Banka má jednu zásadní vlastnost – přesuny peněz provádí prakticky okamžitě tzn. přesuny mimo banku provede v nejbližší možný zúčtovací clearing mezi všemi bankami, obdobně připisuje peníze na účet – okamžitě po příchodu peněz do banky z clearingu! Pojem "nezaúčtované operace" prakticky nezná, využívá pouze tzv. blokace (již provedené platby kreditními kartami bez doručeného potvrzení od obchodníka). Toto jsou vlastnosti skutečné On-Line banky.

Česká spořitelna, a.s.

Banka přišla na trh s Internetovým bankovnictvím na základě elektronického klíče, který po čase vystřídala kombinace přihlášení/heslo a SMS autorizace jednotlivých úkonů (příkazy, inkasa apod.). Banka dále nabízí možnost využití bezpečnostní karty s elektronickým podpisem (podle dosavadních zkušeností byly s instalací těchto zařízení velké problémy, ale nepřipisoval bych je tak bance, jako výrobcům těchto zařízení). Banka asi jako první reagovala na možnost ohrožení čísla na potvrzování SMS a změna čísla je provedena tuším až po 48 hodinách, takže oprávněný uživatel má čas zareagovat v případě snahy útočníka změnit "kmenový" mobilní telefon. Banka vyznává nezaúčtované operace, tzn. v den, kdy dorazili peníze již do banky nevíte, od koho jsou, je pouze ve vlastnostech účtu vidět nezaúčtovaná částka (souběh i více částek), konkrétní popis se objeví na účtu až další den. Odeslání peněz z účtu je provedeno až následující den a prakticky do další banky dorazí až další den, tj. celkem až za dva dny (což je v mezích zákona, dále nekomentuji).

Citibank, a.s.

Banka dlouho využívala systém přihlášení jméno/heslo (kde místo jména bylo využito číslo platební karty). Nyní zareagovala na různé hrozby, které se objevily v tisku a velmi rychle zavedla systém elektronického klíče (bez výjimek). Zajímavostí je informovanost i o úvěrových produktech a okamžitá možnost přesunu finančních prostředků mezi různými typy účtů (i kreditní kartou a běžným účtem atd.). Rychlost přesunu peněz mi není známa, nikdy jsem subjektivně nenarazil na problém, že by doba přesunu překročila zákonem stanovenou mez. Systém subjektivně působí poněkud jednoduchým dojmem (to ho nikterak nesnižuje).

Komerční banka, a.s.

Tato banka se velmi dlouho potýkala s vývojem internetového bankovnictví, několikrát měnila zaběhnutý systém, jednání s klienty vyžadující internetový přístup byl velmi neobratný a velmi klienty odrazoval (cca druhá polovina 90. let). Od té doby se systém velmi změnil. Bezpečnost je v základu řešena prostřednictvím elektronického podpisu v souboru, který se používá jak pro přístup k systému, tak k ověřování jednotlivých příkazů a dalších operací. Zkušenosti jsou jak s využitím souboru na pevném disku počítače, tak na přenosném USB-klíči (flash). Od srpna 2006 navíc vyžaduje autorizační SMS u potvrzení jednotlivých operací. Při příchodu peněz do banky opět používá nezaúčtované operace, vidíte pouze disponibilní částku, kterou sice můžete okamžitě využít, ale podrobnosti o příchodu částek vidíte na účtu až další den.

GE Money Bank, a.s.

Tato banka využívá pouze systém jméno/heslo, omezujícím prvkem zde slouží pouze výše částky, se kterou je možno denně nakládat (obvykle 10.000,- Kč). Novinkou je možnost použití i mobilního klíče při zvýšení denní disponibilní částky pro internetový provoz. Banka velmi rychle připisuje peníze na účet klientů, je obvyklé, že při odeslání peněz z jedné banky na několik bank najednou se peníze připsané v GE Money objeví o den dříve (stejně jako v eBance, kde je to také okamžitě).

Československá obchodní banka, a.s.

Tato banka využívá mobilní klíč a autorizaci prostřednictvím SMS zpráv. V těchto případech má omezenou manipulační výši. Zvýšení je možné prostřednictvím bezpečnostní karty s elektronickým podpisem. I zde jsem narazil na problém při instalaci, který byl ve spolupráci s bankou asi po 3 dnech vyřešen. Hlavní výhodou této banky je velmi levné (!) poukazování peněz na Slovensko (zde 9,- Kč, v jiných bankách až stovky Kč jako klasická platba do zahraničí).

Raiffeisen Bank, a.s. a Živnostenská banka, a.s.

Proč jsou obě banky v jedné kolonce? Čistě subjektivně – nemám úplně aktuální informace, v době cca před 2-3 lety využívali internetový software od stejného dodavatele. Zabezpečení prostřednictvím elektronického podpisu v souboru, stejné prvky, relativně pozdní reakce na skutečné akce na účtu (internetové bankovnictví zde bylo v té době pouze doplňkem k účtu a nedalo se na něj úplně spoléhat z hlediska aktuální informovanosti – stav cca před 2-3 lety). A nyní pouze SPEKULACE: Raiffeisen prý koupila eBanku zejména z důvodu kvalitního internetového bankovnictví a tím i struktury klientů. Čímž bych se nerad dotknul výrobce původního softwaru pro internetové bankovnictví.

Závěr

Je těžké si udělat jakýkoliv závěr z uvedených faktů z několika důvodů: každý klient preferuje tu či jinou vlastnost internetového bankovnictví, některé zde uvedené údaje jsou poněkud subjektivního charakteru vzhledem k pisateli (což je asi normální, ne?). Všechny informace zde uvedené nejsou čerpány ani z reklamních brožurek jednotlivých bank, jsou to skutečně osobní zkušenosti pisatele a jeho nejbližších přátel.

Uvedenou tematiku lze zpracovat na odborné technické úrovni včetně s podrobnostmi k poskytovaným možnostem internetového bankovnictví v návaznosti na vedení účtu a dalších možností využívání bankovních služeb. Ale o tom možná až v jiném článku někdy později.