Problematika elektronického bankovnictví v ČR a jeho bezpečnost

24.09.1999 | Odborné konference

Problems of electronic banking and its security

Dagmar Brechlerová

Adresa autorky:

RNDR. Dagmar Brechlerová, Česká zemědělská univerzita, PEF- KIT, Praha 6 -Suchdol, 165 21, tel.: 02 2438 2356, e-mail brechlerova@pef.czu.cz

Anotace:

Nabídka elektronického bankovnictví v ČR se rozšiřuje. Příspěvek se zabývá základními otázkami elektronického bankovnictví a otázkou bezpečnosti zejména Internetového bankovnictví.

Summary:

There is a possibility to use an electronic banking at Czech republic now. This contribution deals with basic questions of electronic banking and with questions of security especially of Internet banking.

Klíčová slova:

šifrování, symetrické šifrování, veřejný klíč, soukromý klíč, banka, Internet

Key words:

cryptography, symmetric cryptography, public key, private key, bank, Internet

Bankovnictví můžeme v zásadě rozdělit do dvou typů: bankovnictví přímé a bankovnictví pobočkové. V bankovnictví pobočkovém musí klient banku osobně navštívit a zde u přepážky komunikovat ( bohužel občas ještě s málo vstřícným zaměstnancem banky). Je tedy možno banku navštívit pouze v pracovní době a v jejím sídle. To může zejména na venkově vzhledem ke vzdálenosti i nevhodným otevíracím dobám ( Komerční banka - obvykle do 17 hodin ) představovat ztrátu času a peněz. Zde si tedy vlastně banka diktuje, kdy a kde bude svým zákazníkům služby poskytovat. V zemědělství např. v době vrcholící sklizně může být tato návštěva velmi problematická.

Uvedené problémy času i místa ( nebo alespoň času nebo místa) odstraňuje bankovnictví přímé. Zde je možno komunikovat s bankou obvykle několika různými způsoby, různými telekomunikačními kanály. Pro osobní návštěvu zůstávají zachovány i pobočky. Zde odpadají návštěvy banky a bankovní služby jsou přístupné kdykoliv, tedy kdy se to hodí zákazníkovi a nikoliv bance. Navíc služby poskytované přímým bankovnictvím jsou často i levnější pro zákazníka i pro banku. Dle [1] v USA náklady na jednu transakci ( pro banku) činí:

Pobočka 1,07$

Telefon 0,54$

Internet 0,01$

Protože banka samozřejmě své náklady nakonec vyúčtuje zákazníkům i pro ně může být přímé bankovnictví levnější. Porovnání nákladů Internetového bankovnictví pro klienty v ČR viz [2] . Dalším velmi výrazným kladem zejména u Internetové banky je v některých případech možnost komunikace( a navíc levné ) ze zahraničí. Přímé bankovnictví dále umožňuje různé nové typy bankovních služeb, ale tato oblast není předmětem zájmu našeho příspěvku.

Vzhledem k výše uvedeným skutečnostem se přímé bankovnictví a to zejména Internetové v následujích letech bude zcela jistě rychle rozvíjet. V současné době je jedním z problémů určitá nedůvěra v bezpečnost transakcí po Internetu. Neznalost základních pojmů, které často ani pracovníci bank nejsou schopni vysvětlit, totiž někdy vede k odmítání tohoto způsobu komunikace s bankou. Proto jsme např. na naší fakultě zavedli volitelný předmět Bezpečnost dat, který zájemce seznamuje s danou problematikou.

Krátký přehled možných komunikačních kanálů pro přímé bankovnictví:

Fax - zasílání zpráv, drahý provoz

Internet - možno využívat pro internetové bankovnictví, získání informací z WWW stránek, pošta pomocí e- mailu

Telefon - možnost komunikace buď s operátorkou nebo s hlasovým informačním centrem, možnost tzv. Home bankingu ( spojení počítače přes telefon)

Mobilní telefony: navíc možnost zpráv

Pošta: drahá, zasílání zpráv

Bankomaty: výběr pomocí karet, časté podvody, možnost užití jen tam, kde bankomat je

Samoobslužné terminály: pomocí terminálu se dají provádět bankovní transakce, mohou být přístupné stále ale obvykle jsou v sídle pobočky tj. neřeší problém místa pouze času

Využívání komunikačních kanálů se liší mezi jednotlivými bankami. Banka Expandia, která je orientovaná zásadně na přímé bankovnictví, využívá všech uvedených kanálů. O ostatních bankách je možno získat informace v lit. [4].

Bezpečnost:

Základním požadavkem na jakékoliv bankovní služby je jejich bezpečnost. Je nutno jednak zajistit citlivá data před zneužitím, napadením atd. a dále při přímém bankovnictví nějakým způsobem nahradit identifikaci klienta v pobočkovém bankovnictví. Při identifikaci klienta je nutno zajistit tyto činnosti:

Identifikaci ( kdo jste ?)

Autentizaci ( jste to skutečně vy ?)

Certifikaci ( potvrďte, že jste odeslal tato data !) - provádí kontrolní součet přenášených dat před přenosem dat, ten zašle bance spolu s přenášenými daty a zde se porovná s kontrolním součtem došlých dat.

Uvedené bezpečnostní operace je možno provádět řadou způsobů, ale při přímém bankovnictví je nutné je bezpodmínečně zajistit.

Například Expandia banka uvedené operace zajišťuje tzv. elektronickým klíčem, což je hardwarové zařízení, které klient od banky obdží. U telefonu, faxu a pošty se jedná o jediné zabezpečení. Internet ( a tedy i e- mail ) je možno navíc zabezpečit šifrováním, které při vhodné délce klíčů a vhodně vybrané metodě poskytuje vysoký stupeň bezpečnosti. Zde navíc nutno podotknout, že tolik obávané napadení dat není obvykle způsobeno mladými hackery ( jak se veřejnost domnívá ) , ale z 80% zaměstnanci banky. A proti tomu je nechráněna stejně banka “kamenná” jako elektronická. Zde již bezpečnost spočívá v různých organizačních opatřeních ze strany banky.

Šifrování ( kryptografie): banky často u nabízených produktů hovoří o zabezpečení jednotlivými typy šifer, aniž blíže klientům vysvětlí, o co se vlastně jedná. Proto zde uvádíme velmi krátkou zmínku o šifrování.

Šifrování je dnes v zásadě dvojího druhu: symetrické ( s tajným klíčem)

s veřejným klíčem

Symetrické šifrování: odesílatel i příjemce mají stejný tzv. klíč ( obvykle řadu čísel) , které použijí k nějaké matematické operaci ( operacím), kterou aplikují na odesílaná data. Tato data se tak stanou nečitelná. Příjemce užije stejný klíč a aplikací obvykle stejných operací dostane původní data. Nejznámějším a nejpoužívanějším zástupcem tohot druhu šifer je šifra DES, která je v USA uznána jako standard. U DESu jsou užité matematické operace substituce, permutace a logické operace. Výhodou těchto šifer je jejich rychlost, nevýhodou nutnost předat nějakým způsoben tajný klíč. Dále pro n klientů musíme mít n klíčů, protože pro danou dvojici musí být klíč jedinečný. Dalším problémem je autentizace: jak vyřešit problém původce zprávy. Některé z těchto problémů odstranilo šifrování ( kryptografie) s tzv. veřejným klíčem.

Šifrování s veřejným klíčem: existují dva klíče, veřejný a soukromý. V podstatě se jedná o aplikaci dvou opačných matematických operací, pomocí jedné jsme schopni data zašifrovat s použitím jednoho klíče, pomocí druhé odšifrovat s použitím druhého klíče. Klient má svůj soukromý klíč, který nezveřejňuje a naopak chrání a veřejný klíč, který může znát každý. Klient data zašifruje svým soukromým klíčem a pošle bance, ta je rozšifruje veřejným klíčem klienta. Zde je typickým představitelem šifra RSA, která má ale tu nevýhodu, že je velmi pomalá. V softwarové podobě 100 krát a v HW podobě až 1000 krát než symetrické šifry. Proto se ve skutečnosti často šifry kombinují.

Krátká zmínka o šifrování měla pouze ukázat, že i Internet jde zabezpečit ( lépe než telefon ) vhodným užíváním šifrování. Klient se těchto operací nemusí nijak obávat, protože pro něj jsou zabezpečeny používaným softwarem .

Protože Internetové bankovnictví jistě čeká i v ČR velký rozvoj, podáváme přehled těchto služeb na našem trhu. Nabízené produkty Internetového bankovnictví ( situace ke dni 1.7.1999) a postup přidělení bezpečnostních klíčů:

IPB od 2/1999

Postup připojení: základní vklad 1000 Kč, nutný výpis z obchodního rejstříku či živnostenský list, od IPB dostaneme instalační CD - ROM, nainstalujeme do svého počítače, na disketu se vygeneruje žádost o bezpečnostní certifikát, tuto disketu odneseme do IPB, zde přidělen certifikát, ten si přehrajeme do svého počítače

Expandia banka od 4/1998

Postup připojení: žádost možno odeslat po Internetu, poté nutná osobní návštěva tzv. Klientského centra ( tj. pobočky), zde uzavřena smlouva, klient dostává elektronický klíč; možnost osobních i firmeních účtů

Citibank od 4/1999

Nutný roční obrat 50 milionů Kč, při osobní návštěvě předány kódy a hesla

Z výše uvedených skutečností vyplývá, že pro soukromé osoby ( které nevlastní živnostenský list) tuto službu k 1.7 .1999 poskytovala pouze Expandia. Situace se ale rychle mění a během krátké doby jistě Internetové bankovnictví bude patřit k běžně nabízené službě . V době psaní příspěvku nabízí elektronické bankovnictví dále Raiffeisenbank.

V našem příspěvku jsme chtěli upozornit na novou formu bankovnictví a to bankovnictví nepřímé. Tento druh bankovnictví se rychle rozvijí a jeho snadná dosažitelnost jej činí velmi vhodným i pro pracovníky v zemědělství.