Anotace Klíčová slova Abstract Key words

INTERNETOVÉ BANKOVNICTVÍ A KYBERNETICKÁ BEZPEČNOST
Ing. Vladimír Šulc Ph.D.
doc. JUDr. Štěpán Kalamár Ph.D.
Anotace
Současná společnost spoléhá na informační a komunikační systémy (ICT) a začíná
být na nich závislá. Ohrožení funkčnosti může způsobit i ohrožení fungování základní
infrastruktury potřebné pro život. Prosazením zákona o kybernetické bezpečnosti
bylo zásadním počinem pro řešení bezpečnosti ve vztahu k informačním systémům,
ale především ke kybernetickému prostoru současné informační a budoucí znalostní
společnosti. Cílem článku je stručně vyjádřit možnosti „Internetového bankovnictví a
kybernetické bezpečnosti“ a popsat vybraná rizika a hesla používaná v on-line
bankovnictví z hlediska kybernetické bezpečnosti (kyberbezpečnosti) v prostředí
moderního elektronického bankovnictví (kyberprostoru e-bankovnictví) a uvést
některé vybrané útoky na klienty.
Klíčová slova
Infrastruktura, informační společnost, kybernetická bezpečnost, veřejná správa
Abstract
The current society relies on information and communication technologies (ICT)
systems and becomes to be dependent on them. Its operability jeopardizing may
even cause some problems to basic infrastructure functioning needed for our lives.
Enforcing the law on cyber security was a major achievement for addressing security
in relation to information systems, but also to cyberspace of current information and
future knowledge society. This article aims to briefly express the "Internet banking
and cyber-security" and describe particular risks and passwords used in online
banking in terms of cyber security (cyber security) in the environment of modern
electronic banking (cyberspace e-banking) and introduce some specific attacks on
clients .
Key words
Infrastructure, the information society, cyber security, public administration
Úvod
Na prahu 21. století je světová ekonomika konfrontována s řadou výzev v prostředí
charakterizovaném procesy informatiky (informačních a komunikačních technologií –
ICT), kybernetiky (teoretické, technické a aplikační), robotiky (robototechnikou,
mechatronikou a umělou inteligencí učících se robotických systémů), globalizace,
technologie (fyzika, matematika, teoretické a praktické nástroje kybernetiky –
simulace) a je také významně ovlivňována dynamikou zavádění nových vědeckých
poznatků do praxe a rozvíjením progresivních technologických postupů a nových
systémových poznatků procesního inženýrství1 .
V globalizovaném ekonomickém prostoru2 soutěží podniky o zdroje - investice, lidský
kapitál a technologie. Klíčem k úspěchu se stávají vedle informací a dat - především
jsou to nově znalosti a nové formy jejich šíření, které charakterizují přechod
ke znalostně založené ekonomice a společnosti. Rozmach využívání informatiky
významně mění i vnímání charakteru procesů. Informační a inovační schopnost je
rostoucí měrou hodnocena podle schopnosti systematicky využívat nové znalosti.
Ve znalostně založené ekonomice se informační a komunikační technologie (ICT)
vyvíjí do komplexnější struktury, kde se oslabuje dřívější rozdělení na subjekty
vytvářející a využívající nové znalosti a dochází tak k vytváření učících se organizací
s prostředky umělé inteligence.
Cílem příspěvku je stručně vyjádřit možnosti „Internetového bankovnictví a
kybernetické bezpečnosti“ a popsat vybraná rizika a hesla používaná v on-line
bankovnictví z hlediska kybernetické bezpečnosti (kyberbezpečnosti) v prostředí
moderního elektronického bankovnictví (kyberprostoru e-bankovnictví) a uvést
některé útoky na klienty a jejich peníze a to nejen na internetu. Pachatelé
internetových podvodů ke své trestné činnosti využívají převodu finančních
prostředků na jimi ovládaný bankovní účet.
1 JANKOVÁ, M. Internetové nástroje pro celoživotní vzdělávání v sektoru IT. Téze DDP 2016. VUT v Brně FP.
2
KADEŘÁBKOVÁ, A. Výzvy pro podnikání- inovace a vzdělání. 1.vyd. Praha: Linde, 2004. 199 s. ISBN 80-86141-50-5.
2
Současný stav řešené problematiky
V případě, že pachatel ke své trestné činnosti využívá bankovního účtu, je možné
ze zprávy bankovní instituce obhospodařující předmětný účet, získané na základě
žádosti dle § 8/2 trestního řádu zjistit IP adresy používané při nakládání s finančními
prostředky disponovanými na účtu, či při využívání dalších služeb internetbankingu.
Když jsou policejním orgánem získány IP adresy použité při páchání trestné činnosti,
jsou jejich poskytovatelé zjistitelní poměrně jednoduchým způsobem. Na internetové
adrese www.ripe.net/whois postačí do formuláře "Query the RIPE Whois Database"
je možné zadat získanou IP adresu a kliknout na tlačítko "Search". Po provedení
těchto úkonů se objeví stránka, na které bývá adresa poskytovatele internetového
připojení nebo alespoň jeho telefonní číslo. Je zřejmé, že poskytovatel IP adresy
není totožný s jejím uživatelem. Většinou se jedná o registrovanou společnost, která
svým zákazníkům, zpravidla za úplatu, poskytuje připojení k počítačové síti internet.
Tito poskytovatelé internetového připojení pak mají povědomí o svých zákaznících
a zde záleží už jen na tom, jakým způsobem své internetové služby poskytují.
Jednou z možností je, kdy poskytovatel internetového připojení své služby poskytuje
konkrétní fyzické nebo právnické osobě, jíž je zároveň poskytnuta převážně statická
ale výjimečně i dynamická IP adresa. S tímto zákazníkem má uzavřenu smlouvu
o poskytování služeb a to zpravidla za úplatu. Fyzikální způsob poskytnutí připojení,
zda pevnou linkou nebo Wi-Fi signálem, v tomto případě nerozhoduje. Toto bývá
ve většině případů příznivá situace pro orgány činné v trestním řízení, protože
v těchto případech bývá snazší zjistit konkrétního koncového uživatel dané IP
adresy. Ale i zde jsou některá úskalí, zejména v případech, když se u uživatele
IP adresy jedná o právnickou osobu poskytující svým vlastním zákazníkům tzv. Wi-Fi
FREE připojení například v internetových kavárnách, obchodních centrech a
podobně. Dalším úskalím v takovémto případě může být i využívání tzv. domácích
Wi-Fi sítí s vlastním, řádným způsobem nezabezpečeným routerem. K takovéto síti
je totiž možné se připojit jakýmkoliv zařízením s Wi-Fi připojením a v tom případě
je opět nemožné zjistit konkrétního koncového uživatele dané IP adresy.
Další z možností je, že poskytovatel své služby poskytuje v podstatě komukoliv,
kdo je schopen se k jeho službám připojit. Své zákazníky takovýto poskytovatel
3
zpravidla
nezná,
nemá
s nimi uzavřeny žádné
smlouvy a
používání jím
poskytovaného internetového připojení podmiňuje například jen sledováním reklam a
podobně. Zde případné pátrání po potencionálním pachateli zpravidla končí.
Návrh modelu na možné řešení dané problematiky
V české republice jsou občané málo poučitelní a při zacházení se svými financemi na
internetu hodně riskují. Například jen každý šestý uživatel internetového bankovnictví
si aktivně mění přístupové heslo, třetina Čechů pak někdy svou platební kartu půjčila
někomu blízkému. Ukázalo to šetření ČSOB3, které je součástí kampaně poukazující
na nástrahy číhající na klienty a jejich peníze nejen na internetu.
I přesto, že jsou lidé na internetu jako doma, finanční gramotnost je v této oblasti
dlouhodobě na špatné úrovni. Jen čtvrtina dotázaných například ví, co je skimming
(podvodné kopírování platebních karet pomocí speciálního snímacího zařízení
umístěného na bankomatu). Nejhůř si vedeme, pokud jde o pohyb v on-line světě.
Používání hesel do IB
„Téměř dvě třetiny dotázaných respondentů si myslí, že používání internetového
a mobilního bankovnictví4 je bezpečné při dodržení základních pravidel. Právě
v jejich dodržování však máme zásadní mezery. Nejslabším článkem je přitom vždy
člověk. Stačí chvilka nepozornosti, aby se stal obětí důmyslných praktik zlodějů5.
Každý sedmý až osmý člověk dokonce do internetového bankovnictví (IB) vstupuje
přes internetový vyhledávač (např. Seznam či Google), přičemž ženy tento způsob
volí více než dvakrát častěji než muži.
3
INTERNÍ MATERIÁLY: ČSOB a Era Poštovní spořitelna – příklady z praxe
Novinky.cz ze dne 8.6.2016
5
Tomáš Kořínek - ČSOB
4
4
Pravidelně každé tři měsíce
4%
29%
12%
Alespoň jednou za půl roku
15%
40%
Jen v případě, že mě k tomu
systém vyzve
Heslo si neměním, abych si ho
pamatoval/a
Jak často si češi mění hesla do internetového bankovnictví
Zdroj6: David Ryneš, Novinky.cz
Více než dvě pětiny lidí si heslo do IB vůbec nemění. Jako důvod každý zhruba
sedmý udává špatnou paměť a tři z deseti lidí se při přihlašování spoléhají
na potvrzovací SMS. Každý šestý člověk dokonce své heslo do internetového
bankovnictví používá i pro přístup do jiných aplikací. Dvě pětiny lidí si heslo změní
až poté, kdy je k tomu vyzve systém.
Kontrola platebních karet
Lidé nejčastěji nosí svou platební kartu v peněžence spolu s dalšími doklady
a hotovostí, v průzkumu se k tomu přiznaly tři čtvrtiny lidí. V případě krádeže by tak
přišli o vše. Více než polovina dotázaných by navíc krádež karty zjistila
až u pokladny, protože přítomnost karty v peněžence kontroluje pouze, když
potřebuje zaplatit.
6
RYNEŠ,D. Novinky.cz ze dne 8.6.2016
5
12%
Ne, kartu nikomu nepůjčují
26%
Ano, dělají to běžně
56%
Ano, ale jen zcela výjimečně
6%
Ne, ale v případě potřeby by to
udělali
Půjčují češi platební kartu někomu blízkému, aby s ní platil?
Zdroj:7 David Ryneš, Novinky cz
Jen zhruba třetina lidí se o tom, zda kartu má, přesvědčuje každý den, z toho 11
procent několikrát denně a čtvrtina alespoň jednou za den. Průzkum také ukázal,
že lidé si stále ještě neosvojili radu nedávat svou platební kartu nikdy z ruky. Třetina
dotázaných totiž přiznala, že už někdy půjčila kartu někomu jinému.
Platby v e-shopech kartou
Nakupování v e-shopech, platby on-line pomocí platební karty či přes internetové
bankovnictví nebo smartbanking se pro mnohé Čechy staly běžnou součástí života.
Podle Českého statistického úřadu měly loni zkušenost s e-shopem více než dvě
pětiny Čechů.
Příklady z praxe
Kamarádka Eva přes chat na Facebooku požádala Alici o půjčku 200 korun. Znaly
se ze školy, a protože se nejednalo o velkou částku, Alice se rozhodla kamarádce
peníze půjčit. Na platební bráně, na niž jí Eva poslala odkaz, vyplnila přihlašovací
údaje do internetového bankovnictví. Ovšem systém ohlásil chybu. Za chvíli se Eva
7
RYNEŠ,D. Novinky.cz ze dne 8.6.2016
6
ozvala s tím, že už peníze sehnala jinde, jen by si na Alicin telefon potřebovala
nechat zaslat SMS potvrzující platbu. Alice v dobré víře Evě poslala i kód, který jí
v SMS přišel. Bohužel netušila, že tím potvrzuje platbu, která odchází z jejího
vlastního účtu. Přišla celkem o 12 tisíc korun.
Petra na internetu zaujaly reklamní bannery lákající na značkové sluneční brýle
za extrémně nízké ceny. Na reklamu klikl a v e-shopu si vybral jedny z nich vybral.
Rozhodl se zaplatit kartou on-line. Do formuláře na webu zadal číslo karty i CVC kód.
Jenže autorizace prý nebyla úspěšná. Zkusil to tedy ještě dvakrát - pokaždé bez
úspěchu. Druhý den pro jistotu zavolal do banky a zjistil, že mu z účtu odešlo
celkem 87 500 korun za tři nákupy v různých zahraničních i tuzemských e-shopech
s elektronikou.
Magda si přihlašovací stránku do internetového bankovnictví jako vždy našla přes
vyhledávač. Klikla na první odkaz, vyplnila přihlašovací údaje, systém jí nabídl
možnost instalace bezpečnostní aplikace na telefon a vyzval ji k zadání telefonního
čísla, které rovněž vyplnila. Na telefon jí přišla SMS s odkazem vyzývajícím
ke stažení nové verze smartbankingu, kterou tedy Magda stáhla. Jaké ale bylo její
překvapení, když na konci měsíce z výpisu zjistila, že jí z účtu zmizelo 126 tisíc
korun.8
Tři z deseti lidí pak zboží koupené na internetu hradí on-line prostřednictvím platební
karty, bankovní příkaz využívá pětina Čechů a platební tlačítko (resp. rychlý on-line
převod přes IB) každý desátý. Třetina lidí platí za zboží až při dobírce. Celá polovina
lidí do 30 let platí na internetu kartou, naopak 46 procent respondentů nad 60 let
preferuje dobírku. Muži platí přibližně třikrát častěji než ženy přes PayPal či podobné
platební systémy.
Věkové využívání bezpečnostní službou
Průzkum ukázal i slabiny některých Čechů při placení na internetu. Například více
než třetina lidí nemá aktivovanou službu 3D Secure - bezpečnostní systém,
kdy údaje o své kartě nakupující neposkytuje obchodníkovi, ale přímo bance.Nejhůře
8
Zdroj: Interní materiály ČSOB a Era Poštovní spořitelna
7
jsou na tom ženy (bezpečnostní službu nevyužívá téměř polovina z nich) a starší lidé
nad 60 let (64 procent). Pouhá pětina respondentů si pro své nákupy vybírá
výhradně online obchodníky s 3D Secure zabezpečením. Pokud obchodník tuto
službu nepodporuje, nakoupí jinde. Tento přístup zastávají hlavně muži a nejmladší
dotázaní.
Výhody zabezpečení osobních dat
Naštěstí v některých oblastech si Češi vedou dobře. „Například, e-mail s žádostí
o vyplnění citlivých údajů, jako jsou PIN nebo číslo karty, by rovnou smazaly dvě
třetiny dotázaných. Data by bez problémů vyplnilo jen necelé procento,“ upozornil
Tomáš Kořínek:

Tři pětiny dotázaných využívají pro správu financí v on-line světě výhradně
svůj počítač, telefon nebo tablet. Další třetina pak používá i pracovní počítač.

Devět z deseti Čechů si kontroluje změny na svém účtu alespoň jednou
měsíčně.

Více než tři čtvrtiny lidí si pamatují PIN ke kartě.

Při zadávání PIN v bankomatu si tři pětiny lidí vždy zakrývají klávesnici rukou.

Unikátní heslo pro internetové bankovnictví má 85 procent dotázaných.

E-maily od neznámého adresáta by smazala třetina dotázaných.

Informační SMS zprávy o stavu peněz na účtu dostává 45 procent
dotázaných. 9
Závěr
V příspěvku byly stručně vyjádřeny možné trendy v elektronickém internetovém
bankovnictví a také pohled na současnou problematiku aplikované kybernetické
bezpečnosti. Ve výsledcích výzkumu byla systémově ověřena nová podstata řešení
kybernetického rozhraní sociálního a technického systému ICT a to také v souladu
s přijatým Kybernetickým zákonem v ČR a mezinárodními smlouvami realizovanými
vládní Agenturou kybernetické bezpečnosti.
9
Zdroj: Barbora Buřínská, Novinky, Právo
8
Použité informační zdroje

BAJURA, Jan. Spojitosti práva soukromého a práva trestního u kriminality
páchané v rámci činnosti právnických osob. In Quo vadis soukromé právo.
Eds. Tomáš Horáček, Jan Bajura. Praha: Agentura Dům, 2009, s. 81-89. ISBN
978-80-903139-1-0.

INTERNÍ MATERIÁLY: ČSOB a Era Poštovní spořitelna – příklady z praxe

JANKOVÁ, M. Internetové nástroje pro celoživotní vzdělávání v sektoru IT. Téze
DDP 2016. VUT v Brně FP.

KADEŘÁBKOVÁ, A. Výzvy pro podnikání- inovace a vzdělání. 1.vyd. Praha:
Linde, 2004. 199 s. ISBN 80-86141-50-5.

KOŘÍNEK.T.

KUČERA, Petr. Nejslabším článkem při ochraně účtů jsou sami klienti, varuje
ČSOB. Lidé podceňují zabezpečení. Hospodářské noviny:
www.ihned.cz [online]. [cit. 2016-06-23]. Dostupné z: http://byznys.ihned.cz/c165286040-nejslabsim-clankem-pri-ochrane-uctu-jsou-sami-klienti-varuje-csoblide-podcenuji-zabezpeceni

Novinky.cz ze dne 8. 6. 2016

RYNEŠ,D. Novinky.cz ze dne 8. 6. 2016
9