Internetové bankovnictví v ČR

1. 4. 2004

Sdílet

Ještě než se pustíme do popisu některých služeb internetového bankovnictvídostupných v ČR, musíme se podívat na asi nejzásadnější problémy s tím spojené. Prvním problémem je ja...
Ještě než se pustíme do popisu některých služeb internetového bankovnictví
dostupných v ČR, musíme se podívat na asi nejzásadnější problémy s tím spojené.
Prvním problémem je jak identifikovat klienta, který sedí u počítače,
vzdáleného možná desítky kilometrů od nejbližšího sídla banky. Jak mu důvěřovat
natolik, abychom jej pustili k jeho účtu odkud může ovlivňovat hodně peněz, a
jak jeho připojení zajistit před nežádoucími útočníky? Řešením prvního problému
může být buďto kombinace dvou znalostí, nebo certifikátu a znalosti jedné.
První řešení je technicky jednodušší. Klient má přiděleno své jméno nebo číslo
a heslo. Zatímco prvek, který říká bance kdo je (číslo), zůstává neměnný,
prvek, kterým se klient potvrzuje (že je ten, kdo říká, že je), tedy heslo,
může snadno měnit. Dvě jakkoliv složité textové nebo číselné informace si lze
po několika opakováních kvalitně zapamatovat, a tak se proces ověření
totožnosti stává pro klienta snadným a velmi průchodným.
Jinou možností je využití certifikátu. Přesněji kombinace veřejného a
soukromého klíče pro podepisování a šifrování dat. Tuto kombinaci umí
vygenerovat každý počítač, aby mohl být použit jako vstupní a ověřovací prvek
pro banku, musí jej banka autorizovat, o každém certifikátu musí vědět.
Certifikát je bezpečnější, protože je sám (respektive jeho soukromý klíč)
zajištěn heslem. Heslo musí uživatel znát, bez něj je podpis neupotřebitelný.
Problémem však je, že certifikát představuje fyzický soubor, se kterým je
potřeba manipulovat, archivovat jej, o který je třeba se starat a který na
cizím počítači, byť bez znalosti hesla, představuje vždy bezpečnostní riziko.
Proto se certifikáty často umisťují na bezpečné předměty, především se jedná o
čipové karty a USB tokeny, které je možné snadno přenášet, dát je na kroužek ke
klíčům a podobně. To částečně řeší komplikovanou manipulaci s nimi, avšak
vyžaduje speciální nároky na hardware (dostupný port USB, čtečku chytrých
karet) atd.
Co se bezpečnosti týče, komunikaci po internetu lze snadno šifrovat rovněž
prostřednictvím certifikátů/soukromých klíčů. Tato technologie je v současné
době na dostatečné úrovni, aby bylo možné zajistit bezpečnost serverů, klientů
i důvěryhodnost jejich propojení.

Druhou otázkou je, zda má smysl spoléhat se při internetovém bankingu na
aplikace, které jsou instalovány na počítačích, nebo zda vytvořit pro tento
účel vlastní. Typickým tenkým klientem mnoha aplikací a služeb internetu je
webový prohlížeč. Lze v něm při použití moderních technologií provozovat velmi
sofistikované služby, včetně zajištění jejich bezpečnosti. I když existují
univerzální standardy pro provoz těchto služeb, technologie jako ActiveX, Java,
JavaScript, WBScript a další, nelze se na ně zcela spolehnout. Webové
prohlížeče jsou poměrně různorodé a počítače, na nichž běží, také. I když zde
především hovoříme o Microsoft Internet Exploreru, jemuž jen málo šlapou na
záda konkurenční produkty, i ten existuje v mnoha různých, různě vybavených a
také různě zajištěných verzích. Jestliže například použití některých funkcí je
ve vyšší verzi IE zcela bezpečné, v nižší nebo nezáplatované verzi stejného
produktu to může představovat vážné ohrožení banky, soukromí klienta nebo
přinejhorším jeho financí. To ovšem výběr dostupných technologií poněkud
redukuje, zejména když vezmeme v úvahu uživatele jiných značek prohlížečů. Co
problémy obvykle nezpůsobuje, je rychlost připojení. Při používání
elektronického bankovnictví se přenáší jen poměrně malé množství dat, která
jsou silně zašifrována. Zvětšování jejich objemu by způsobovalo problémy, a
proto na ně autoři bankovních aplikací příliš netlačí. Jinou variantou je
naprogramovat si vlastní bankovní aplikaci. Výhodou tohoto řešení je kontrola
nad vším, co se děje od příjmu a šifrování dat až po jejich přenos, přes
zobrazení uživatelského rozhraní a komunikace s klientem. Zdálo by se tedy, že
nespoléhání se na software, který již v nějakém počítači je, a vytvoření nového
je ideální cestou. Žel, není tomu tak. Vytvoření nové aplikace, která běží
samostatně na operačním systému klienta, ušetří něco z nákladů na servery
banky, avšak má také mnoho záludností. Znamená to například, že nová aplikace
může mít mnoho vlastních bezpečnostních děr a vestavěných rizik. V závislosti
na použitém jazyce, nebo jejich kombinacích s sebou může přinášet nedostatky
těchto jazyků, respektive jejich implementací. Aplikace je svázána s počítačem,
na němž je nainstalována, a tak klient přichází o to, co již částečně ztrácí s
použitím certifikátu o flexibilitu využívat služeb bankovnictví teoreticky na
jakémkoliv stroji. A tak se často využívá kompromisu. Tam, kde jsou kladeny
speciální nároky, třeba na zadávání hromadných platebních příkazů, výplat a
podobně, se využívají speciální klientské aplikace, tam kde individuální
klienti ovládají své individuální účty, je výhodnější webový přístup. Obojí má
své klady a nedostatky, ale to nevadí, protože obojího lze dostatečně kvalitně
využívat. Existuje mnohem více bankovních aplikací, stejně tak jako mnohem více
bank. Elektronické bankovnictví se vyvíjí a jeho pravá síla spočívá v propojení
s jinými metodami komunikace klient banka, především pak při využití mobilních
telefonů a dalších mobilních zařízení. Doba, kdy bychom si vybírali bankovní
ústav podle kvality jeho e-bankingu, zřejmě ještě nenastala, nicméně se
dozajista blíží. Jak je vzdálená, to však nelze říci.

Bezpečně na internetu

Silná hesla
Bez ohledu na to, jaký způsob přihlašování k bankovní aplikaci využíváme, nikdy
se nezbavíme nutnosti prověřit znalost nějakého hesla, nebo PIN. PIN je obvykle
čtyřmístné číslo, zde je věc jasná, s heslem je to složitější. Především by jej
nemělo být snadné odhadnout. Použít jako heslo jméno manželky či datum narození
je velice nemoudré, to jsou věci, které případný útočník vyzkouší jako první.
Stejné je to se všemi dalšími slovy, s nimiž se běžně setkáváme, i s
kombinacemi čísel (dát si jako heslo do bankovní aplikace SPZ svého auta je
také sebevražda financí). Jak by tedy mělo správné heslo vypadat? Měla by to
být kombinace malých písmen s velkými a s čísly. Některé aplikace přímo
vyžadují zadávání zvláštních znaků, mezi ně patří %, ! apod. To sice posiluje
heslo (snižuje možnost jeho odhalení), avšak zároveň komplikuje jeho zadávání,
heslo totiž při zadávání nevidíme, aby jej nešlo opsat z obrazovky. Optimální
délka se pohybuje mezi 8-10 znaky, to je úroveň, která je již považována za
bezpečnou, nicméně je stále ještě snadno zapamatovatelná.
I to nejbezpečnější heslo je zcela k ničemu, pokud si je napíšeme na papírek a
přilepíme na monitor. Je nebezpečné si důležitá hesla, zejména k bankovním
aplikacím, kamkoliv vůbec psát, mnohem praktičtější je si tato hesla
zapamatovat. Kromě dalšího snížení rizika odhalení tak totiž učiníme naši práci
s nimi pohodlnější.
K bezpečnosti hesel a hygieně jejich používání patří také pravidelná změna.
Správně by to mělo vypadat tak, že po nějaké době, týdnu, měsíci podle
frekvence používání důležité heslo změníme. Nové by mělo být naprosto odlišné.
Nemělo by být možné ze starého vyvodit nové, ani z nového další. Hesla by se
neměla opakovat, a to ani "napřeskáčku". Je velmi riskantní používat jedno, byť
i velmi bezpečné heslo zároveň pro více aplikací, především tehdy, mají-li tyto
aplikace rozdílný stupeň utajení. Příkladem toho je, že heslo, které máme do
e-mailové schránky na freemailu, by v žádném případě nemělo být heslem do
elektronického bankovnictví (v prvním případě se přenáší zcela nezašifrované a
vidí jej kdokoliv!).

Pozor na spyware!
Dalším důležitým faktorem bezpečného používání elektronického bankovnictví je
vyčištění počítače nejen od virových a červových nákaz, ale i od spywarových
komponent. Mnoho z nich je schopno aktivně monitorovat používání myši a
klávesnice, zaznamenávat je a odesílat spolu s informacemi o používané aplikaci
nebo webové stránce. Tak lze snadno odchytit vaše heslo, ukrást váš certifikát,
a co hůře, asociovat jej s místem, kde byl použit, tedy s bankovní aplikací.
Řešením je např. použití programu Ad Aware (http://www.lavasoft.de).

Pohodlí versus nepozornost
Elektronické a internetové bankovnictví rozhodně není pro roztržité lidi.
Přestože každá aplikace, bez ohledu na svou technickou konstrukci, se uživatele
vždy několikrát zeptá, než provede libovolnou operaci, stačí malé přehmátnutí a
např. pošlete peníze někomu, komu jste je rozhodně poslat nechtěli. Totéž platí
pro mnoho dalších funkcí. Vždy je dobré, a aplikace k tomu přímo vyzývají, si
několikrát přečíst vše, co se nám píše. Je dobré využít co nejvíce možností
potvrzení každé transakce, ideální je to pomocí SMS či e-mailu. Internetové
bankovnictví nám šetří tolik času, že tu trochu ho na ověření toho, co přesně
děláme, musíme investovat. Jinak totiž můžeme o své finance přijít přesně ve
stylu internetu snadno a rychle.

Porovnání internetových bankovních aplikací

V následující části se podíváme na několik málo aplikací internetového
bankovnictví, které využívají velké české banky. Aplikace jsou si většinou
velice podobné, přesto existují i klíčové odlišnosti. Smůlou zákazníka je, že
pokud již vlastní účet u jedné z bank, nemůže se rozhodnout pro aplikaci jiné,
i když dílčí možnosti výběru existují. Celkově jsou všechny aplikace na vysoké
úrovni. Umožňují komfortní zacházení, snadnou práci se základními úkoly a
obvykle i administraci náročnějších aktivit, jako je ovládání více účtů z
jednoho prostředí. Co je různé, je jejich technické provedení a také občasné
nedostatky, na které se nám podařilo přijít. Dalo by se říct, že v ČR
neexistuje bankovní aplikace, jež by byla vyloženě nebezpečná, nebo zcela
nepoužitelná. A to je pochopitelně dobře.

Česká Spořitelna
URL: http://www.csas.cz, http://www.servis24.cz
Česká Spořitelna je největší tuzemskou bankou, která se specializuje mimo jiné
na domácí klienty a malé společnosti. Jejími zákazníky jsou tisíce "obyčejných"
lidí, studentů, důchodců, živnostníků. Mimo jiné i proto je základní
uživatelské rozhraní jejího systému pro internetové/domácí bankovnictví
Servis24 navrženo velmi jednoduše. Identifikace zákazníka se provádí kombinací
dvou znalostí, přičemž první z nich je klientské číslo a druhou variabilní
heslo, jedná se tedy o jednodušší, i když relativně méně bezpečné řešení.
Po přihlášení se klient dostane na základní obrazovku vyvedenou v barvách
banky. Zde si může v horizontálních záložkách vybrat požadovaný okruh služeb. V
základní nabídce "Účty" provádíme management. Ke svému profilu můžeme přidávat
různé typy účtů, které máme u banky aktivovány, a odebírat ty, které již k
profilu přiřazeny jsou. Nabízí se také základní informace o posledním
přihlášení (užitečná, můžeme tak zjistit, zda se nám někdo nepokoušel prolomit
profil), možnost změnit si heslo a informace o jeho stáří.
Z dalších nabídek lze provádět elementární operace. Jsou to především klasické
platební příkazy, které využijeme při platbě běžných záležitostí, faktur a
podobně. Dále pak sem patří souhlasy s inkasem, tedy situací, kdy je platba z
našeho účtu vyvolána jiným účtem. Nabízí se také možnost příkazů k inkasu na
jiný účet a velice užitečná věc, nazvaná Seznam příjemců. Jeho prostřednictvím
můžeme ukládat subjekty, se kterými máme běžný platební styk, do virtuálního
adresáře. Odpadá tak nutnost pokaždé ručně znovu zadávat dlouhé informace, jako
jsou čísla jejich účtů, konstantní symboly a podobně.
Aplikace Servis24 funguje kromě toho jako vstupní brána k dalším službám banky.
Zejména se jedná o různé typy úvěrů a pojištění. Výhodou je zde možnost mít
"vše pod jednou střechou".
Všechny přehledy jsou rychlé a věcné, elektronické bankovnictví běží svižně a
vykazuje minimum chyb. Aplikace České Spořitelny je sice pouze základní
aplikací, avšak velmi kvalitní a pro "obyčejného člověka" snad nejpoužitelnější.

Komerční banka
http://www.koba.cz, http://www.mojebanka.cz
Mojebanka, tak se jmenuje internetová aplikace Komerční Banky. Ve srovnání se
Servisem24 České Spořitelny je aplikace viditelně "těžkotonážní". K
přihlašování se používá certifikát a striktně vyžadován je Internet Explorer
(na rozdíl od S24, který funguje i s Mozillami). Aplikace běžící v rámci
webového prohlížeče je rozdělena vertikálou na dvě části. V levém pruhu se
nachází hlavní panel nabídek. Ty jsou rozbalovací, je možné vybrat jednu hlavní
skupinu a v jejím rámci se pak rozhodneme pro konkrétní položku. Menu jsou
aktivní a poměrně rychlá, bohužel někdy při jejich načítání dochází k potížím,
především na pomalejším připojení.
Aplikace rozpoznává několik typů bankovních příkazů, přičemž práce s nimi je
velmi jednoduchá. Každou operaci, kterou provedeme, musíme autorizovat pomocí
certifikátu, jímž jsme se přihlásili, zde je vidět, že autoři na bezpečnost
celé aplikace a jejího použití velmi dbali. Bohužel, nedostatkem tohoto jevu je
zkomplikovaní práce s celým bankovnictvím. Přesto zůstává na poměrně kvalitní a
použitelné úrovni.
Aplikace Mojebanka nemá adresář tak jako S24, avšak umožňuje vytvářet šablony
příkazů. Ty pokrývají běžné operace, které provádíme často. Bohatá je též
nabídka oznámení o změnách na účtu a provedených transakcích, stejně tak jako
výpisy aktivity účtu. Ty jsou, subjektivně měřeno, dokonce na vyšší úrovni než
u České Spořitelny.
Alternativou k systému Mojebanka je aplikace Profibanka. Ta je ukázkou
klientského programu a používá se především tam, kde je třeba administrovat
velké množství operací zároveň.

eBanka
http://www.ebanka.cz
eBanka, dříve Expandia Banka, byla prvním tuzemským bankovním ústavem, který
zavedl internetové bankovnictví. K autorizacím transakcí používá zvláštní
prvek. Takzvaný elektronický klíč, neboli kalkulačku. Je to velmi složitý
generátor čísel, který s sebou nosíme jako klíč. V současné době se podle
některých teoretiků jedná o systém zastaralý, avšak stále poskytuje velmi
kvalitní a silné zabezpečení kombinované s vyšší mobilitou, než jaké dosáhneme
u certifikátu (netřeba speciální hardware na straně PC). Nedostatkem tohoto
řešení je nutnost, aby uživatel zadával množství čísel, četl je z displeje
elektronického klíče a podobně zvyšuje to riziko chyby.
V horní části do tmava laděné aplikace si vybíráme účet a měnu, ve které je
veden. Následuje lišta podobná jako u S24 s výběrem hlavních produktů a
vertikála nabízející prostřednictvím vyskakujících (rychlejších) nabídek
jednotlivé funkce bankovnictví asociované s aktuálně zvoleným účtem nebo
službou.
Elektronickým bankovnictvím eBanky je možné řešit ohromné množství různých
úloh, od jednoduchých přesunů peněz až po žádosti o úvěry. Každý nabízený
produkt obsahuje jak popis, tak i aktivní možnosti (správu, žádosti).
Aplikace je neobyčejně stabilní a rychlá. Jediné, co komplikuje komfort jejího
využití, je přítomnost autorizačního klíče, jinak se ovšem blíží k dokonalosti.

ČSOB
http://www.csob.cz
Československá Obchodní Banka nabízí také svou verzi elektronického
bankovnictví. Přihlašování se děje buďto identifikačním číslem (jednoduchá
verze), nebo pomocí čipové karty. Aplikace je poměrně jednoduchá, nabízí
základní funkčnost, možnost ověřit zůstatek nebo zadat příkaz k úhradě, či
ovládat inkaso. Pro složitější práci je taktéž k dispozici klientský program.
Podle jejich uživatelů je banking ČSOB velmi stabilní a spolehlivý, problémy
někdy vyvstávají, podobně jako u KB, při použití velmi pomalého připojení.