David Lorenc, ředitel úseku přímého bankovnictví České spořitelny

Nový typ útoků na bankovní účty se vždy objevuje ve velkých anglicky mluvících zemích, kde je úspěšnost i kvůli komunikaci s klienty v tomto jazyce pro podvodníky snazší. Podle ředitele úseku přímého bankovnictví ČS Davida Lorence je ale jen otázkou času, než se pokusy začnou objevovat v dalších zemích.
* HN: Připravujete velké změny v internetovém bankovnictví?

V polovině příštího roku chceme začít nabízet dvě různé verze internetového bankovnictví. Jednak jednodušší aplikaci, protože mnoho lidí z té dnešní využívá třeba jen dvě funkce – dívají se na zůstatek a provádějí jednoduchý příkaz k úhradě. Na druhou stranu máme bohatší klienty, kteří chtějí peníze hodně investovat a uvítali by, kdyby viděli, jak se například vyvíjí jejich portfolio podílových fondů nebo jiné formy investic. To v současné aplikaci nejde. Směřujeme i k tomu, aby si klienti mohli nakupovat nejen podílové fondy, ale i další cenné papíry. Nabídneme prostě předdefinované dvě verze, ke kterým si klienti zvolí další služby a upraví si je podle sebe.

* HN: Plánujete změnu i v rychlosti a zabezpečení internetového bankovnictví?

S výjimkou situací, ke které došlo před dvěma týdny, nám klienti nedávají najevo, že bychom měli něco dělat s rychlostí. V zabezpečení internetového bankovnictví ale určitě ke změnám dojde. Připravujeme například něco, čemu se říká CAP EMV. Je to zabezpečení postavené na standardní čipové platební kartě, na které jsou uloženy bezpečnostní prvky. Chceme klienty vybavit jednoduchou čtečkou, aby kartu mohli používat jak k přihlašování do internetového bankovnictví, tak k autorizaci transakcí. Začneme to nabízet na podzim příštího roku.

* HN: Chcete tím nahradit autorizaci transakcí pomocí SMS zpráv?

V první fázi půjde o nabídku. Předpokládáme, že se pro tento nový typ autorizace rozhodne zhruba třetina klientů. Do dvou let od spuštění by na něj ale měli přejít všichni uživatelé našeho internetového bankovnictví.

* HN: Budou klienti za čtečku platit?

Výrobní cena je pět eur. Jestli to zaplatíme my, nebo budeme chtít, aby se na tom klienti nějak podíleli, to jsme se ještě nerozhodli. Dá se předpokládat, že pro aktivnější klienty, kteří dělají více transakcí, to bude součástí nějakého balíčku služeb za zvýhodněnou cenu.

* HN: Proti jakým útokům chcete internetové bankovnictví více zabezpečit?

Je potřeba se vracet k základním principům zabezpečení internetových aplikací, mezi které patří například dvoufaktorová autentizace. Tedy že klient něco má, v našem případě mobilní telefon pro zasílání SMS, a něco ví, například přihlašovací jméno a heslo, které zadává na svém počítači. U chytrých telefonů se ale toto všechno chování klientů, to změnilo i metody podvodníků – a banky na to musí reagovat. Nemusí přitom vždy jít o změnu zabezpečení, které používají klienti, ale banky mohou investovat i do vylepšení svých monitorovacích systémů.

* HN: Jaké nové útoky se objevily?

Klient si může prohlížet internetové stránky, které obsahují škodlivý software, a nechtěně se mu tak dostane do mobilu. Druhým způsobem, jak si stáhnout vir na chytrý mobil, je přes e-mail. Tyto škodlivé programy pak například mohou přeposílat přihlašovací SMS do internetového bankovnictví na mobil útočníka. Banky se proti tomu brání. Přihlašovací SMS mají omezenou časovou platnost. Autorizační SMS, které slouží k potvrzování transakcí, pak v sobě obsahují detail o zadaném příkazu k úhradě. Pokud by útočník změnil například číslo účtu, kam mají být peníze převedeny, tak by tomu zaslaná SMS neodpovídala a peníze by se nepřevedly.

* HN: Kde a kdy k nim došlo?

Vloni a začátkem letošního roku je zaznamenaly banky v USA a ve Velké Británii. Šlo o první případy, o kterých se psalo v odborném tisku. Nový typ útoků se vždycky objevuje ve velkých anglicky mluvících zemích, kde je úspěšnost i kvůli komunikaci s klienty v tomto jazyce pro podvodníky snazší. Je to ale jen otázka času, než se pokusy začnou objevovat v dalších zemích.

* HN: Je současné zabezpečení autorizace pomocí SMS bezpečné?

Ano. V praxi totiž nejde jen o ně, ale i o pokročilé monitorovací systémy na straně banky. Ty například umožňují identifikovat nestandardní chování klienta typu, že dva roky se přihlašoval vždy z Česka, a najednou to dělá z Ukrajiny nebo z Číny. Banka takovou operaci vyhodnotí jako rizikovou a před převedením peněz provádí dodatečná ověření. Investujeme hodně i do prevence. Například využíváme služby pro monitoring počítačových virů zaměřených na banky. To nám umožňuje zjistit, že je klientův počítač napaden, dřív, než dojde k jakékoliv škodě.