Je dnes elektronické bankovnictví bezpečnější než, řekněme, před pěti lety?
Začal bych tím, že elektronické bankovnictví za posledních pět let roste; dle údajů Eurostatu v roce 2008 pouze 29 % příslušníků věkové skupiny mezi 16 až 74 lety používalo internet pro účely osobního bankovnictví, zatímco v roce 2013 jich bylo 40 %. Je elektronické bankovnictví skutečně bezpečnější? Podle mého názoru ano, jelikož se spolu s tímto růstem vyvíjí i doprovodné technologie (mj. právě bezpečnostní). Je si však třeba uvědomit, že tento rozmach s sebou nese další a další rizika, proto vyvíjení dodatečných bezpečnostních prvků považujeme za naprosto samozřejmé. Myslím si, že právě tato záležitost by se měla stát hlavní oblastí našeho zájmu.
Kde je míra mezi dostatečným zabezpečením a uživatelským komfortem?
Jedná se například o EPP (End Point Protection) řešení, které si uživatel může stáhnout na svoje zařízení a které běží na pozadí, aniž by jej při práci jakkoli vyrušovaly nebo omezovaly. Pokud bych zjistil, že je můj prohlížeč infikovaný a příslušný bezpečnostní prvek by jeho provoz omezil nebo přerušil, určitě bych to za omezení mého uživatelského komfortu nepovažoval. Co se týče peněžních ústavů, než se pro nějaké bezpečnostní řešení rozhodnou, měly by předem vyhodnotit jeho vliv na koncového uživatele; existují dostupné metodologie a nezávislí odborníci, kteří jim mohou pomoci. Klíčové jsou zde každopádně dvě otázky: flexibilita a spolehlivost, nejen pouhý komfort.
Jaký vliv na elektronické bankovnictví mají přenosná zařízení, kterých vlastníme několik a která většinou všechna pro přístup do účtu využíváme?
Naším primárním úkolem, jakožto vlastníků peněžního kapitálu, je zajistit bezpečné podmínky pro nákupy a platby; elektronické bankovnictví by mělo být založeno na spolupráci mezi zákazníkem a bankou. Výrobci bezpečnostního softwaru vyvinuli (a stále vyvíjejí) vynikající bezpečnostní programy pro mobilní zařízení, díky nimž jsou naše elektronické peníze ještě lépe chráněny. Na uživateli spočívá úkol vybrat si jeden z nich, nainstalovat a používat na svém zařízení, nejen pro mobilní bezpečnost. Například Evropská centrální banka vydala soubor doporučení pro poskytovatele platebních služeb, jejichž cílem je vzdělávat běžné uživatele a informovat je o rizicích plynoucích z aktivity na Internetu. I když jsou takovéto vzdělávací programy užitečné a potřebné, nejúčinnější metodou je vždy sebevzdělávání. Jak jsem se už zmínil, tato ochrana je založena na partnerském vztahu mezi klientem a bankou, měli bychom však dělat všechno pro to, abychom náš majetek udrželi v bezpečí. Tímto bych chtěl navrhnout všem uživatelům mobilního a elektronického bankovnictví, aby svou banku kontaktovali a zeptali se na bezpečnost online plateb – je to jedna z cest, na kterých lze toto partnerství posílit a získat konkrétní výsledky.
Přináší s sebou velká rizika nástup e-wallets a plateb prostřednictvím NFC?
Každá nová technologie s sebou přináší nová rizika. Pamatuji si počátky e-wallets a jsem si jist, že všechny zúčastněné subjekty (poskytovatelé karet, prodejci, vývojáři) se na tvorbě bezpečného platebního rozhraní podílejí. Například společnost Apple před několika lety vynaložila částku ve výši 350 milionů dolarů k nákupu technologie AuthenTec (bezpečnostní technologie založená na ověřování otisku prstů), aby vylepšila bezpečnost svých zařízení, přesněji řečeno – zařízení, na kterých ukládáme data k elektronickému bankovnictví. Nejsem si vědom žádných větších rizik nebo případů souvisejících s platbami prostřednictvím NFC nebo e-wallets. Chtěl bych však zdůraznit, že jedním z hlavních prvků, které spolutvoří bezpečné platební rozhraní je samotný uživatel – je to první a nejdůležitější linie obrany.
Co je typické rizikové chování, které si třeba ani neuvědomujeme?
Na straně zákazníka většinou vidíme především rizika plynoucí z nebezpečného procházení webu (včetně stahování) – pěkné a zdánlivě neškodné webové stránky mohou být infikované nebezpečným kódem. Pokud jde o malware, zařízení může být snadno nakaženo „škodlivým kódem“ schopným prolomit veškerá běžná zabezpečení. Osobně si však nemyslím, že by se všechna tato rizika kumulovala na jednom místě, spíše věřím, že problémem, kterému bychom měli věnovat zvýšenou pozornost je především mobilní bezpečnost – trh je v tomto ohledu velmi rozsáhlý. Dodavatelé bezpečnostního softwaru mají k dispozici výzkumná centra, postupně hledají a shromažďují informace k trestnému chování, a díky tomu odhalují skrytá nebezpečí. Neměla by to být však jediná linie obrany. Ani netušíme, jak snadné je naše autorizační postupy „infikovat“. Vezměte si třeba Android.Fakebank.B, který dokáže zařízení zmást a prolomit zabezpečení, stačí jedno kliknutí a trojan je tu.
Operují v EU nějaké organizované skupiny, které by s útoky na e-banking bojovaly?
Samozřejmě, je jich více. Všechno začíná na úrovni právního rámce nastaveného Evropskou komisí, speciálně zaměřeného na boj s kyberkriminalitou (živým důkazem je EC3 - European Cybercrime Centre). Jinou operační skupinou, která mě nyní napadá, je Evropská agentura pro bezpečnost sítí a informací (ENISA), jež posiluje bezpečnost elektronického bankovnictví a e-plateb (standardy a pravidla ENISA nadále platí i dnes a měly by být dodržovány, uplatňovány a posilovány všemi, počínaje peněžními ústavy a jejich zákazníky, až k poskytovatelům bezpečnostních opatření). Existují i další subjekty; EUROPOL a propojené organizace prosazování práva (policie apod.) hledají cesty, jak umožnit trestní řízení proti kyberkriminalitě a zvýšit bezpečnost uživatelského prostředí.
Je phishing skutečně nejrozšířenějším způsobem napadení?
Ano, dle mého názoru je (RSA Monthly Online Fraud Report – January 2014 je jedna z analýz, které toto potvrzují).
Kdo je Liviu Chirita
Manažer oddělení Finanční kriminality ve společnosti Deloitte. Liviu má hluboké znalosti v oblasti prevence podnikových ztrát vyplývajících z finanční kriminality a více než 9 let zkušeností s Enterprise Fraud Risk Managementem. Přednáší o počítačové kriminalitě a boji s korupcí po celém světě. Je členem ACFE (Asociace certifikovaných vyšetřovatelů podvodů). V říjnu 2014 se bude účastnit kongresu LawTech Europe.