BEZKONTAKTNÍ PLATEBNÍ STYK Z HLEDISKA KYBERNETICKÉ

BEZKONTAKTNÍ PLATEBNÍ STYK Z HLEDISKA KYBERNETICKÉ

BEZKONTAKTNÍ PLATEBNÍ STYK Z HLEDISKA KYBERNETICKÉ BEZPEČNOSTI
V PROSTŘEDÍ ELEKTRONICKÉHO BANKOVNICTVÍ
doc. RNDr. Josef Požár, CSc.
Ing. Vladimír Šulc Ph.D.
Anotace
Cílem článku bylo poskytnout pohled na problematiku bezpečnosti v bezhotovostním
bezkontaktním platebním styku a uvést kontrolní mechanismy, které vedou
k nastavení pravidel, aby finanční ztráta byla pro klienta co nejmenší.
Klíčová slova
platební karta, kybernetická bezpečnost, bezkontaktní platební styk.
Abstract
The aim of the article was to provide a perspective on the issue of security in
contactless payment systems and indicate the control mechanisms that lead to
setting up rules to make the clients financial loss aslow possible.
Key words
payment card, cyber security, contactless payments.
Úvod
Cílem článku je stručně vyjádřit moderní bezkontaktní platební styk z hlediska
kybernetické bezpečnosti (kyberbezpečnosti) v prostředí elektronického bankovnictví
a uvést některé pohledy na vybrané principy systémového a kybernetického
přístupu1 k nově pojaté kybernetické bezpečnosti aplikovatelné pro praxi, zahrnující
také činnost manažerů v této oblasti a také samozřejmě informační a komunikační
technologie (ICT představující informační aktiva, která mají důležitou roli v informační
a v budoucnu ve znalostní společnosti). Dále je v tomto článku popisováno
systémové vyjádření kybernetického modelování pro reálný systém při aplikacích
profesního inženýrství v manažerské práci a také k možné a předpokládané
identifikaci zranitelných míst informačních aktiv při bezkontaktním platebním styku.
Předpokladem celého systémového vymezení problematiky je pochopení logiky
aplikací kybernetického zákona pro reálné prostředí jako kybernetického modelu
a jeho dílčích podsystémů při předpokládaných kybernetických útocích a možného
ovládání rizik pro krizová řešení v kyberprostoru aplikací kybernetické bezpečnosti –
například kybernetické hrozby (kyberhrozby) vnímané dnes nesystémově jako
finanční ztráty v elektronickém bankovnictví (e-banking), dále jako ztráty a zneužití
osobních dat v elektronickém podsystému státní a veřejné správy (e-government),
narušení elektronického podnikání (e-business), znemožnění rozvoje elektronických
obchodů a obchodování (e-commerce, e-shop na Internetu apod.) nebo při užití
kybernetického terorismu (kyberterorismu) v oblasti aktivit organizovaného zločinu
nebo šíření desinformací. Důležitou součástí je také role nutných systémových
integrací prostředků bezpečnosti v kyberprostoru a jejich možného zneužívání
k průmyslové, vojenské a politické špionáži.
Článek se řadí do oblasti praktického využívání vybraných teoretických základů
informací, informatiky, aplikované matematiky, řízení, operačního výzkumu, metod
kybernetiky, tvorby modelů a modelování reálných systémů, kryptografie, robotiky
a základních principů umělé inteligence a také základní orientace v dynamice
1
DVOŘÁK,J. a kol. Possibilities of system integration in applied cybernetics. In Vision 2020: Sustainable
Growth, Economic Development, and Global Competitiveness. 20. Valencia: IBIMA, 2014. s. 1469-1476. ISBN:
978-0-9860419-2- 1.
současných aplikací informačních technologií (IT) s ohledem na uživatelské prostředí
informačních a komunikačních technologií (ICT) a informační bezpečnost (HW a SW)
a užití inteligentních ICT a počítačových sítí v dynamice vývoje nových prostředků
kybernetické bezpečnosti.
Výchozí předpoklady řešení problematiky
V české republice stále více přichází do popředí bezhotovostní bezkontaktní platební
styk. Je to především rychlé a pohodlné, protože při placení částek nižších než 500
korun se nemusí zadávat PIN. Najdou se ale i takoví klienti, kteří stále upřednostňují
kontaktní platební karty, ale u mnoha bank už v současné době narazí. Bankovní
statistiky ukazují, že více než polovina karetních transakcí je provedena
bezkontaktními platebními kartami, ty už nyní vlastní čtyři pětiny obyvatel u nás.
Zadávání PIN i při bezkontaktním placení
Přesto, že při placení menších částek není zapotřebí platbu potvrdit svým PINem,
může se stát, že platbu bez zadání bezpečnostního hesla nelze provést. Banky totiž
mají pro případy zneužití nastaveny kontrolní mechanismy, kdy čas od času musíte
i při bezhotovostní platbě do 500 korun zadat PIN. V současné době jsou i takoví
klienti, kteří o bezkontaktní karty nemají zájem a PIN kód chtějí zadávat i při menších
platbách. Ovšem většina tuzemských bank už klientům vydává pouze bezkontaktní
platební karty z důvodu malého zájmu o kontaktní karty.
V současné době jen některé banky (například ČSOB, Era, GE Money Bank, mBank
nebo Raiffeisenbank) vydají klientům kontaktní kartu jen v případě, že nemá zájem
o bezkontaktní kartu. Banky standardně klientovi po expiraci jeho původní platební
karty vydají bezkontaktní, pokud má ale zájem o kartu kontaktní, na vyžádání mu
jí vydají - nabízí kontaktní variantu u kreditních karet (kartu MasterCard Fix)
a u debetních karet (kartu Maestro). Některé banky i přesto, že v nabídce mají jen
bezkontaktní karty, vycházejí klientům vstříc a umožňují jim vypnutí bezkontaktní
funkce. S tímto je možné se setkat například u České spořitelny, mBank, UniCredit
Bank nebo Zuno.
Vypnutí bezkontaktní funkce probíhá při výrobě karty - tedy v případě její automatické
výměny, nebo žádosti o vydání nové či náhradní karty. Možnost vypnutí
bezkontaktnosti u platební karty je zdarma a klient o ní může požádat buď
v pobočce, nebo na informační lince. Klient má na výběr - buď si vybrat čistě
kontaktní kartu, nebo si u bezkontaktní karty nechat tuto funkci vypnout. Liší se to
podle karetní asociace a typu karty. Obecně u Visa debetních karet nabízí možnost
volby kontaktní či bezkontaktní, u MasterCard je možnost funkci vypnout.
U některých debetních karet umožňují bezkontaktní platby deaktivovat, stačí zavolat
na infolinku bankovního sektoru.
Ochrana klientů
Bezkontaktní karty v České republice zdomácněly. Jejich obliba roste i díky rychlosti
transakcí, kdy při platbě částky menší než 500 korun se nemusí zadávat PIN.
Na druhou stranu se však někteří klienti obávají zneužití karty, pokud ji ztratí nebo jim
ji někdo odcizí. Proto mají v současné době banky nastavený bezpečnostní systém,
kdy je čas od času nutné zadat při placení malé i částky PIN.
Ztrátu platební karty nemusí každý z nás hned zaregistrovat, a tak se může snadno
stát, že karta bude ještě před zablokováním zneužita. Banky mají nastavená interní
pravidla hlídající, aby v těchto případech byla finanční ztráta pro klienta co nejmenší.
Sledují například počet za sebou jdoucích karetních transakcí finančních částek
do 500 korun či objem uskutečněných transakcí a podobně. Z bezpečnostních
důvodů však podrobnosti ohledně pravidel a nastavených limitů nesdělují.
Pokud zjistí, že se kartou platí vícekrát, než je běžné, nebo zaznamenávají více
transakcí rychle za sebou, platební terminál si může vyžádat zadání PIN kódu.
V podstatě to funguje tak, že se vyhodnocuje několik parametrů, jako je výše částky,
geografické místo platby, typ obchodníka a podobně. Bezkontaktní karta obvykle
umožní několik plateb pomocí jejího přiložení k platebnímu terminálu bez zadání PIN
kódu, ale jednou za čas vyžaduje ověření, proto vyzve klienta k jeho zadání, a to
třeba i při platbě finanční částky nižší než 500 korun. Z bezpečnostních důvodů je
nastavený čítač na sumu objemů po sobě jdoucích bezkontaktních transakcí
bez zadání PINu. Po dosažení maximální hodnoty tohoto čítače je nutné, aby klient
při použití karty zadal PIN, poté jsou opět umožněny další platby bezkontaktně bez
zadání PIN kódu.
Z důvodů bezpečnosti je u banky Zuno nastaven limit pro za sebou jdoucí
bezkontaktní karetní transakce. Po vyčerpání tohoto limitu je potřeba při placení
zadat PIN kód nebo vybrat hotovost z bankomatu. V UniCredit Bank nastavují limit
podle toho, jak klient běžně svou kartu využívá. Pokud je zjištěno, že se kartou platí
vícekrát, než je běžné, nebo se zaznamená více transakcí rychle jdoucí za sebou,
platební terminál si může vyžádat od klienta zadání PIN kódu.
Jakmile klient zjistí ztrátu či odcizení své bezkontaktní karty, je potřeba ji ihned
zablokovat. V případě, že by kartou někdo stihl ještě před zablokováním zaplatit, mají
banky podle zákona o platebním styku možnost požadovat spoluúčast klienta až
do výše 150 eur (zhruba čtyři tisíce korun) za neautorizované transakce. Přístup
bank k požadované spoluúčasti je různý, jednotlivé případy posuzují často
individuálně. Některé (například ČSOB a Era, Equa bank, mBank či UniCredit Bank)
spoluúčast vyžadují. Další banky (například Air Bank, Cetelem, Expobank či Fio
banka) spoluúčast u transakcí, které nebyly potvrzeny zadáním bezpečnostního
kódu, nepožadují.
U bezkontaktního placení bez zadání PIN kódu spoluúčast nevyžaduje Air Bank, ale
spoluúčast klienta se vyžaduje v případě, že byla transakce verifikována PIN kódem,
u bankovní instituce Cetelem. V případě odcizení a prokazatelném zneužití karty,
pokud k němu dojede při bezkontaktní platbě bez zadání PIN, nevyžaduje spoluúčast
Expobank CZ. Reklamaci uznávají a spoluúčast nepožadují, pokud skutečně došlo
ke zneužití bez zadání PINu a klient dodržel pravidla bezpečného nakládání
s kartou, u Fio banky. Spoluúčasti se dá vyhnout i tím, že se karta pojistí proti ztrátě
či krádeži.
Monitoring podezřelých transakcí
Banky mají nastaveny mechanismy, pomocí nichž monitorují transakce kartou
a pohyb na účtu. V případě, že mají podezření na zneužití karty, klienta ihned
upozorní, popřípadě kartu rovnou zablokují. Banky vlastní systém automatického
hlídání podezřelých transakci, do kterého spadají všechny transakce kartami.
Při podezření kontaktují klienta, pokud jsou si jisti zneužitím, kartu preventivně
zablokují. Pokud dojde k nestandardnímu chování, spojí se s klientem, aby si ověřili,
zda operace opravdu dělá on, nebo zda došlo ke ztrátě či zcizení karty a kartu
zablokují.
Vydavatel platebních karet má povinnost sledovat autorizace z pohledu četnosti,
výše a typu transakcí. U bezkontaktních karet je nastaveno pravidlo, že pokud jsou
jednou kartou provedeny opakovaně bezkontaktní platby do částky 500 korun během
krátkého časového úseku, systém automaticky vygeneruje upozornění, operátor
kontaktuje telefonicky klienta a ověřuje, zda se nejedná o zneužití. Jiné pravidlo je
postaveno na geografickém rozlišení. Pokud obdrží autorizační dotazy, které indikují,
že karta byla v rozmezí několika minut přítomna při platbách v České republice
a v zahraničí (například Česká republika a USA), opět je vygenerována notifikace.
Bankovní sektory mají seznam rizikových obchodních míst, kde se monitoruje
četnost použití platebních karet.
Praktické řešení dílčích problémů
Nové bankomaty nepotřebují karty, vystačí si s mobilem
Velkým bankám došla trpělivost s podvodníky, kteří na jejich bankomaty montují
nejrůznější skimmovací zařízení. Prostřednictvím nich dokážou zkopírovat platební
kartu včetně všech bezpečnostních prvků a vyčerpat finanční prostředky lidem
z účtů. V USA se tak začínají nově rozmáhat bankomaty, jež karty vůbec nepotřebují,
a peníze se vybírají pomocí mobilního telefonu (obr. 1).
Obr.1 Platební terminál
Zdroj: Novinky.cz 18. února 2016
Jak upozornil Národní bezpečnostní tým CSIRT, který je provozován sdružením
CZ.NIC, nahrazení karty mobilním telefonem je vcelku logickým bezpečnostním
krokem. Banky tím reagují na vysoké ztráty způsobené tzv. skimmingem, tedy
odcizením autentizačních údajů platebních karet.
Nové bankomaty se vyznačují tím, že nemají štěrbinu pro vložení platební karty, ale
disponují čtečkami pro mobilní technologie umožňující autentizaci pomocí aplikace
v chytrém telefonu (obr. 2).
Obr.2 Bez kartové bankomaty od banky Chase
Zdroj: Novinky.cz 18. února 2016
Nové bankomaty podle serveru Tech Times dovolují používat nové platební metody,
jako je například Apple Pay či Samsung Pay. V USA se pro jejich instalaci rozhodlo
již několik finančních institucí, jako jsou například Bank of America, Wells Fargo či
Chase. Jen během ledna a února 2016 bylo nainstalováno několik stovek nových
bankomatů. Během nadcházejících 18 měsíců jich chtějí banky po USA rozmístit
na 80 000.
Bezpečnější a pohodlnější transakce
Podle bezpečnostních expertů představují nové bez kartové bankomaty rychlejší
a bezpečnější transakce. Zároveň jsou pro uživatele pohodlnější, protože při výběru
nemusejí myslet na to, jestli mají zrovna u sebe kartu. Naopak mobil nosí většina lidí
neustále u sebe.
Obr.3 Bez kartové bankomaty od Bank of America
Zdroj: Novinky. cz 20. února 2016
Doposud bylo s chytrými telefony možné platit pouze v obchodních řetězcích. Vybírat
skutečné peníze z bankomatů je ale možné až nyní (obr. 3). Patrně i proto zahraniční
média popisují novou technologii jako jednu z nejlepších inovací bankovních služeb
v letošním roce. Tomu nasvědčují i reakce uživatelů, kteří měli možnost již nové
bankomaty vyzkoušet. Je ale patrně jen otázkou času, než kybernetické podsvětí
přijde na nový způsob, jak obelstít i tento systém. 2
Dílčí závěr
V budoucnosti lze očekávat bouřlivý vývoj nejen v oblasti využití platebních karet, ale
také v marketingové oblasti. Zvláště v nových systémových přístupech při tvorbě
výhodných aliančních vztahů v kybernetickém prostoru nové ekonomiky. Tento trend
bude ještě umocněn technologickým vývojem (již současnou technologickou revolucí
ve všech oblastech civilizovaného světa). Společnosti vydávající různé karty budou
moci využívat nejen současných možností čipové technologie, která je schopna
2
Novinky.cz: Nové bankomaty nepotřebují karty, vystačí si s mobilem [online]. 2016 [cit. 2016-02-26]. Dostupné z:
http://www.novinky.cz/internet-a-pc/bezpecnost/395920-nove-bankomaty-nepotrebuji-karty-vystaci-si-s-mobilem.html
v sobě vést různé marketingové a věrnostní programy a v blízké budoucnosti tyto
programy i měnit a adaptovat se na nové podmínky kybernetických útoků 3 a dále
rozvíjet prostředí inteligentních robotických systémů pro bezhotovostní platby.
Závěr
Cílem tohoto příspěvku bylo stručně vyjádřit vývojové trendy v elektronickém
bankovnictví
a
také
pohled
na
problematiku
kybernetické
bezpečnosti
bezhotovostního bezkontaktního platebního styku a ukázat přehled možných
základních bezpečnostních systémů a postupů, které vedou k monitoringu
jednotlivých transakcí a pohybu na účtu především pro oblast informačních
a komunikačních technologií, systémů manažerského řízení 4 a dát základní námět
na nový směr budování elektronického a optoelektronického pozadí inteligentního
a učícího se kyberprostoru znalostní společnosti.
3
DVOŘÁK,J. a kol. Trends in Integration of the Electronic Banking. In European Financial Systems 2013.
Nové Město nad Metují: Tiskárna KNOPP, s.r. o, 2013. s. 87-90. ISBN: 978-80-210-6294- 8. 104742.
4
DVOŘÁK,J. a kol. Options of modern tools in cyberspaces management of e-banking. In European
Financial Systems 2014. Vyd. 1. Brno: Masarykova univerzita, 2014. ISBN 978-80-210-7153-7, s. 159-165.
12.6.2014, Lednice
Literatura
1. DVOŘÁK, J. a kol. Possibilities of system integration in applied cybernetics. In
Vision
2020:
Sustainable
Growth,
Economic
Development,
and
Global
Competitiveness. 20. Valencia: IBIMA, 2014. s. 1469-1476. ISBN: 978-0-98604192- 1.
2. DVOŘÁK, J. a kol. Trends in Integration of the Electronic Banking. In European
Financial Systems 2013. Nové Město nad Metují: Tiskárna KNOPP, s.r. o, 2013. s.
87-90. ISBN: 978-80-210-6294- 8. 104742.
3. DVOŘÁK, J. a kol. Options of modern tools in cyberspaces management of ebanking. In European Financial Systems 2014. Vyd. 1. Brno: Masarykova
univerzita, 2014. ISBN 978-80-210-7153-7, s. 159-165. 12.6.2014, Lednice.
Použité internetové odkazy:
4. Novinky.cz: Nové bankomaty nepotřebují karty, vystačí si s mobilem [online]. 2016
[cit. 2016-02-26]. Dostupné z:
http://www.novinky.cz/internet-a-pc/bezpecnost/395920-nove-bankomatynepotrebuji-karty-vystaci-si-s-mobilem.html