Internetové bankovnictví v ČR

Ještě než se pustíme do popisu některých služeb internetového bankovnictví
dostupných v ČR, musíme se podívat na asi nejzásadnější problémy s tím spojené.

Prvním problémem je jak identifikovat klienta, který sedí u počítače,

vzdáleného možná desítky kilometrů od nejbližšího sídla banky. Jak mu důvěřovat

natolik, abychom jej pustili k jeho účtu odkud může ovlivňovat hodně peněz, a

jak jeho připojení zajistit před nežádoucími útočníky? Řešením prvního problému

může být buďto kombinace dvou znalostí, nebo certifikátu a znalosti jedné.

První řešení je technicky jednodušší. Klient má přiděleno své jméno nebo číslo

a heslo. Zatímco prvek, který říká bance kdo je (číslo), zůstává neměnný,

prvek, kterým se klient potvrzuje (že je ten, kdo říká, že je), tedy heslo,

může snadno měnit. Dvě jakkoliv složité textové nebo číselné informace si lze

po několika opakováních kvalitně zapamatovat, a tak se proces ověření

totožnosti stává pro klienta snadným a velmi průchodným.

Jinou možností je využití certifikátu. Přesněji kombinace veřejného a

soukromého klíče pro podepisování a šifrování dat. Tuto kombinaci umí

vygenerovat každý počítač, aby mohl být použit jako vstupní a ověřovací prvek

pro banku, musí jej banka autorizovat, o každém certifikátu musí vědět.

Certifikát je bezpečnější, protože je sám (respektive jeho soukromý klíč)

zajištěn heslem. Heslo musí uživatel znát, bez něj je podpis neupotřebitelný.

Problémem však je, že certifikát představuje fyzický soubor, se kterým je

potřeba manipulovat, archivovat jej, o který je třeba se starat a který na

cizím počítači, byť bez znalosti hesla, představuje vždy bezpečnostní riziko.

Proto se certifikáty často umisťují na bezpečné předměty, především se jedná o

čipové karty a USB tokeny, které je možné snadno přenášet, dát je na kroužek ke

klíčům a podobně. To částečně řeší komplikovanou manipulaci s nimi, avšak

vyžaduje speciální nároky na hardware (dostupný port USB, čtečku chytrých

karet) atd.

Co se bezpečnosti týče, komunikaci po internetu lze snadno šifrovat rovněž

prostřednictvím certifikátů/soukromých klíčů. Tato technologie je v současné

době na dostatečné úrovni, aby bylo možné zajistit bezpečnost serverů, klientů

i důvěryhodnost jejich propojení.



Druhou otázkou je, zda má smysl spoléhat se při internetovém bankingu na

aplikace, které jsou instalovány na počítačích, nebo zda vytvořit pro tento

účel vlastní. Typickým tenkým klientem mnoha aplikací a služeb internetu je

webový prohlížeč. Lze v něm při použití moderních technologií provozovat velmi

sofistikované služby, včetně zajištění jejich bezpečnosti. I když existují

univerzální standardy pro provoz těchto služeb, technologie jako ActiveX, Java,

JavaScript, WBScript a další, nelze se na ně zcela spolehnout. Webové

prohlížeče jsou poměrně různorodé a počítače, na nichž běží, také. I když zde

především hovoříme o Microsoft Internet Exploreru, jemuž jen málo šlapou na

záda konkurenční produkty, i ten existuje v mnoha různých, různě vybavených a

také různě zajištěných verzích. Jestliže například použití některých funkcí je

ve vyšší verzi IE zcela bezpečné, v nižší nebo nezáplatované verzi stejného

produktu to může představovat vážné ohrožení banky, soukromí klienta nebo

přinejhorším jeho financí. To ovšem výběr dostupných technologií poněkud

redukuje, zejména když vezmeme v úvahu uživatele jiných značek prohlížečů. Co

problémy obvykle nezpůsobuje, je rychlost připojení. Při používání

elektronického bankovnictví se přenáší jen poměrně malé množství dat, která

jsou silně zašifrována. Zvětšování jejich objemu by způsobovalo problémy, a

proto na ně autoři bankovních aplikací příliš netlačí. Jinou variantou je

naprogramovat si vlastní bankovní aplikaci. Výhodou tohoto řešení je kontrola

nad vším, co se děje od příjmu a šifrování dat až po jejich přenos, přes

zobrazení uživatelského rozhraní a komunikace s klientem. Zdálo by se tedy, že

nespoléhání se na software, který již v nějakém počítači je, a vytvoření nového

je ideální cestou. Žel, není tomu tak. Vytvoření nové aplikace, která běží

samostatně na operačním systému klienta, ušetří něco z nákladů na servery

banky, avšak má také mnoho záludností. Znamená to například, že nová aplikace

může mít mnoho vlastních bezpečnostních děr a vestavěných rizik. V závislosti

na použitém jazyce, nebo jejich kombinacích s sebou může přinášet nedostatky

těchto jazyků, respektive jejich implementací. Aplikace je svázána s počítačem,

na němž je nainstalována, a tak klient přichází o to, co již částečně ztrácí s

použitím certifikátu o flexibilitu využívat služeb bankovnictví teoreticky na

jakémkoliv stroji. A tak se často využívá kompromisu. Tam, kde jsou kladeny

speciální nároky, třeba na zadávání hromadných platebních příkazů, výplat a

podobně, se využívají speciální klientské aplikace, tam kde individuální

klienti ovládají své individuální účty, je výhodnější webový přístup. Obojí má

své klady a nedostatky, ale to nevadí, protože obojího lze dostatečně kvalitně

využívat. Existuje mnohem více bankovních aplikací, stejně tak jako mnohem více

bank. Elektronické bankovnictví se vyvíjí a jeho pravá síla spočívá v propojení

s jinými metodami komunikace klient banka, především pak při využití mobilních

telefonů a dalších mobilních zařízení. Doba, kdy bychom si vybírali bankovní

ústav podle kvality jeho e-bankingu, zřejmě ještě nenastala, nicméně se

dozajista blíží. Jak je vzdálená, to však nelze říci.



Bezpečně na internetu



Silná hesla

Bez ohledu na to, jaký způsob přihlašování k bankovní aplikaci využíváme, nikdy

se nezbavíme nutnosti prověřit znalost nějakého hesla, nebo PIN. PIN je obvykle

čtyřmístné číslo, zde je věc jasná, s heslem je to složitější. Především by jej

nemělo být snadné odhadnout. Použít jako heslo jméno manželky či datum narození

je velice nemoudré, to jsou věci, které případný útočník vyzkouší jako první.

Stejné je to se všemi dalšími slovy, s nimiž se běžně setkáváme, i s

kombinacemi čísel (dát si jako heslo do bankovní aplikace SPZ svého auta je

také sebevražda financí). Jak by tedy mělo správné heslo vypadat? Měla by to

být kombinace malých písmen s velkými a s čísly. Některé aplikace přímo

vyžadují zadávání zvláštních znaků, mezi ně patří %, ! apod. To sice posiluje

heslo (snižuje možnost jeho odhalení), avšak zároveň komplikuje jeho zadávání,

heslo totiž při zadávání nevidíme, aby jej nešlo opsat z obrazovky. Optimální

délka se pohybuje mezi 8–10 znaky, to je úroveň, která je již považována za

bezpečnou, nicméně je stále ještě snadno zapamatovatelná.

I to nejbezpečnější heslo je zcela k ničemu, pokud si je napíšeme na papírek a

přilepíme na monitor. Je nebezpečné si důležitá hesla, zejména k bankovním

aplikacím, kamkoliv vůbec psát, mnohem praktičtější je si tato hesla

zapamatovat. Kromě dalšího snížení rizika odhalení tak totiž učiníme naši práci

s nimi pohodlnější.

K bezpečnosti hesel a hygieně jejich používání patří také pravidelná změna.

Správně by to mělo vypadat tak, že po nějaké době, týdnu, měsíci podle

frekvence používání důležité heslo změníme. Nové by mělo být naprosto odlišné.

Nemělo by být možné ze starého vyvodit nové, ani z nového další. Hesla by se

neměla opakovat, a to ani „napřeskáčku“. Je velmi riskantní používat jedno, byť

i velmi bezpečné heslo zároveň pro více aplikací, především tehdy, mají-li tyto

aplikace rozdílný stupeň utajení. Příkladem toho je, že heslo, které máme do

e-mailové schránky na freemailu, by v žádném případě nemělo být heslem do

elektronického bankovnictví (v prvním případě se přenáší zcela nezašifrované a

vidí jej kdokoliv!).



Pozor na spyware!

Dalším důležitým faktorem bezpečného používání elektronického bankovnictví je

vyčištění počítače nejen od virových a červových nákaz, ale i od spywarových

komponent. Mnoho z nich je schopno aktivně monitorovat používání myši a

klávesnice, zaznamenávat je a odesílat spolu s informacemi o používané aplikaci

nebo webové stránce. Tak lze snadno odchytit vaše heslo, ukrást váš certifikát,

a co hůře, asociovat jej s místem, kde byl použit, tedy s bankovní aplikací.

Řešením je např. použití programu Ad Aware (http://www.lavasoft.de).



Pohodlí versus nepozornost

Elektronické a internetové bankovnictví rozhodně není pro roztržité lidi.

Přestože každá aplikace, bez ohledu na svou technickou konstrukci, se uživatele

vždy několikrát zeptá, než provede libovolnou operaci, stačí malé přehmátnutí a

např. pošlete peníze někomu, komu jste je rozhodně poslat nechtěli. Totéž platí

pro mnoho dalších funkcí. Vždy je dobré, a aplikace k tomu přímo vyzývají, si

několikrát přečíst vše, co se nám píše. Je dobré využít co nejvíce možností

potvrzení každé transakce, ideální je to pomocí SMS či e-mailu. Internetové

bankovnictví nám šetří tolik času, že tu trochu ho na ověření toho, co přesně

děláme, musíme investovat. Jinak totiž můžeme o své finance přijít přesně ve

stylu internetu snadno a rychle.



Porovnání internetových bankovních aplikací



V následující části se podíváme na několik málo aplikací internetového

bankovnictví, které využívají velké české banky. Aplikace jsou si většinou

velice podobné, přesto existují i klíčové odlišnosti. Smůlou zákazníka je, že

pokud již vlastní účet u jedné z bank, nemůže se rozhodnout pro aplikaci jiné,

i když dílčí možnosti výběru existují. Celkově jsou všechny aplikace na vysoké

úrovni. Umožňují komfortní zacházení, snadnou práci se základními úkoly a

obvykle i administraci náročnějších aktivit, jako je ovládání více účtů z

jednoho prostředí. Co je různé, je jejich technické provedení a také občasné

nedostatky, na které se nám podařilo přijít. Dalo by se říct, že v ČR

neexistuje bankovní aplikace, jež by byla vyloženě nebezpečná, nebo zcela

nepoužitelná. A to je pochopitelně dobře.



Česká Spořitelna

URL: http://www.csas.cz, http://www.servis24.cz

Česká Spořitelna je největší tuzemskou bankou, která se specializuje mimo jiné

na domácí klienty a malé společnosti. Jejími zákazníky jsou tisíce „obyčejných“

lidí, studentů, důchodců, živnostníků. Mimo jiné i proto je základní

uživatelské rozhraní jejího systému pro internetové/domácí bankovnictví

Servis24 navrženo velmi jednoduše. Identifikace zákazníka se provádí kombinací

dvou znalostí, přičemž první z nich je klientské číslo a druhou variabilní

heslo, jedná se tedy o jednodušší, i když relativně méně bezpečné řešení.

Po přihlášení se klient dostane na základní obrazovku vyvedenou v barvách

banky. Zde si může v horizontálních záložkách vybrat požadovaný okruh služeb. V

základní nabídce „Účty“ provádíme management. Ke svému profilu můžeme přidávat

různé typy účtů, které máme u banky aktivovány, a odebírat ty, které již k

profilu přiřazeny jsou. Nabízí se také základní informace o posledním

přihlášení (užitečná, můžeme tak zjistit, zda se nám někdo nepokoušel prolomit

profil), možnost změnit si heslo a informace o jeho stáří.

Z dalších nabídek lze provádět elementární operace. Jsou to především klasické

platební příkazy, které využijeme při platbě běžných záležitostí, faktur a

podobně. Dále pak sem patří souhlasy s inkasem, tedy situací, kdy je platba z

našeho účtu vyvolána jiným účtem. Nabízí se také možnost příkazů k inkasu na

jiný účet a velice užitečná věc, nazvaná Seznam příjemců. Jeho prostřednictvím

můžeme ukládat subjekty, se kterými máme běžný platební styk, do virtuálního

adresáře. Odpadá tak nutnost pokaždé ručně znovu zadávat dlouhé informace, jako

jsou čísla jejich účtů, konstantní symboly a podobně.

Aplikace Servis24 funguje kromě toho jako vstupní brána k dalším službám banky.

Zejména se jedná o různé typy úvěrů a pojištění. Výhodou je zde možnost mít

„vše pod jednou střechou“.

Všechny přehledy jsou rychlé a věcné, elektronické bankovnictví běží svižně a

vykazuje minimum chyb. Aplikace České Spořitelny je sice pouze základní

aplikací, avšak velmi kvalitní a pro „obyčejného člověka“ snad nejpoužitelnější.



Komerční banka

http://www.koba.cz, http://www.mojebanka.cz

Mojebanka, tak se jmenuje internetová aplikace Komerční Banky. Ve srovnání se

Servisem24 České Spořitelny je aplikace viditelně „těžkotonážní“. K

přihlašování se používá certifikát a striktně vyžadován je Internet Explorer

(na rozdíl od S24, který funguje i s Mozillami). Aplikace běžící v rámci

webového prohlížeče je rozdělena vertikálou na dvě části. V levém pruhu se

nachází hlavní panel nabídek. Ty jsou rozbalovací, je možné vybrat jednu hlavní

skupinu a v jejím rámci se pak rozhodneme pro konkrétní položku. Menu jsou

aktivní a poměrně rychlá, bohužel někdy při jejich načítání dochází k potížím,

především na pomalejším připojení.

Aplikace rozpoznává několik typů bankovních příkazů, přičemž práce s nimi je

velmi jednoduchá. Každou operaci, kterou provedeme, musíme autorizovat pomocí

certifikátu, jímž jsme se přihlásili, zde je vidět, že autoři na bezpečnost

celé aplikace a jejího použití velmi dbali. Bohužel, nedostatkem tohoto jevu je

zkomplikovaní práce s celým bankovnictvím. Přesto zůstává na poměrně kvalitní a

použitelné úrovni.

Aplikace Mojebanka nemá adresář tak jako S24, avšak umožňuje vytvářet šablony

příkazů. Ty pokrývají běžné operace, které provádíme často. Bohatá je též

nabídka oznámení o změnách na účtu a provedených transakcích, stejně tak jako

výpisy aktivity účtu. Ty jsou, subjektivně měřeno, dokonce na vyšší úrovni než

u České Spořitelny.

Alternativou k systému Mojebanka je aplikace Profibanka. Ta je ukázkou

klientského programu a používá se především tam, kde je třeba administrovat

velké množství operací zároveň.



eBanka

http://www.ebanka.cz

eBanka, dříve Expandia Banka, byla prvním tuzemským bankovním ústavem, který

zavedl internetové bankovnictví. K autorizacím transakcí používá zvláštní

prvek. Takzvaný elektronický klíč, neboli kalkulačku. Je to velmi složitý

generátor čísel, který s sebou nosíme jako klíč. V současné době se podle

některých teoretiků jedná o systém zastaralý, avšak stále poskytuje velmi

kvalitní a silné zabezpečení kombinované s vyšší mobilitou, než jaké dosáhneme

u certifikátu (netřeba speciální hardware na straně PC). Nedostatkem tohoto

řešení je nutnost, aby uživatel zadával množství čísel, četl je z displeje

elektronického klíče a podobně zvyšuje to riziko chyby.

V horní části do tmava laděné aplikace si vybíráme účet a měnu, ve které je

veden. Následuje lišta podobná jako u S24 s výběrem hlavních produktů a

vertikála nabízející prostřednictvím vyskakujících (rychlejších) nabídek

jednotlivé funkce bankovnictví asociované s aktuálně zvoleným účtem nebo

službou.

Elektronickým bankovnictvím eBanky je možné řešit ohromné množství různých

úloh, od jednoduchých přesunů peněz až po žádosti o úvěry. Každý nabízený

produkt obsahuje jak popis, tak i aktivní možnosti (správu, žádosti).

Aplikace je neobyčejně stabilní a rychlá. Jediné, co komplikuje komfort jejího

využití, je přítomnost autorizačního klíče, jinak se ovšem blíží k dokonalosti.



ČSOB

http://www.csob.cz

Československá Obchodní Banka nabízí také svou verzi elektronického

bankovnictví. Přihlašování se děje buďto identifikačním číslem (jednoduchá

verze), nebo pomocí čipové karty. Aplikace je poměrně jednoduchá, nabízí

základní funkčnost, možnost ověřit zůstatek nebo zadat příkaz k úhradě, či

ovládat inkaso. Pro složitější práci je taktéž k dispozici klientský program.

Podle jejich uživatelů je banking ČSOB velmi stabilní a spolehlivý, problémy

někdy vyvstávají, podobně jako u KB, při použití velmi pomalého připojení.