Článek
Správa základních registrů (SZR) oznámila, že dočasně zablokovala poskytování služeb elektronické identifikace Komerční bance. Její klienti tak momentálně nemohou využívat bankovní identitu. Zpráva na Twitteru a webu SZR visela jen chvíli, pak byla stažena.
Důvodem měl být bezpečnostní incident spočívající v pravděpodobné záměně identity. „V tuto chvíli není jasný rozsah bezpečnostního incidentu, a tudíž je nutné přijmout takové kroky, které povedou k omezení případných škod a eliminaci případných dalších chybných pokusů o autentizaci klientů,“ uvedla SZR.
„Dnes odpoledne mělo dojít k masivnímu ztotožňování. U jednoho klienta jsme objevili chybu, takže jsem to nechal zablokovat. Musí to být stoprocentní,“ vysvětlil pro SZ Byznys ředitel odboru eGovernmentu na Ministerstvu vnitra Roman Vrba, který má akreditaci bank v rámci projektu bankovní identity na starosti. Doplnil, že nedošlo k žádnému útoku nebo zneužití a že Správa základních registrů udělala chybu, že bezpečnostní incident komunikovala veřejně.
Komerční banka, která bankovní identitu dnes spustila v ostrém provozu, informaci potvrdila. „O incidentu jsme byli informováni. Společně se Správou základních registrů analyzujeme jeho příčiny,“ uvedl pro SZ Byznys Michal Teubner.
Další podrobnosti doplnil odpoledne: „V průběhu předprodukčního testování jsme odhalili technický problém, který vedl k preventivnímu a dočasnému zastavení možnosti autentizace klientů Komerční banky. Masivní testování všech scénářů je důležité pro identifikaci a odstranění chyb, jenž se mohou v rámci ostrého provozu objevit. Zapojené subjekty nyní intenzivně pracují na odhalení příčiny incidentu a jeho následném odstranění.“
Správa základních registrů později odpoledne informaci na svůj web vrátila s dovětkem „Bezpečnost systému elektronické identifikace je pro nás zásadní a díky včasné reakci se podařilo zabránit případným škodám.“
Podle Miroslava Dvořáka, technického ředitele společnosti ESET, je ověření klienta přistupujícího k portálům státní správy prostřednictvím bankovní identity stejně bezpečné jako způsob ověření klienta banky, která ji poskytuje, v rámci jejího elektronického bankovnictví. „S ohledem na skutečnost, že banky k ověření používají i nějaký další faktor než jen kombinaci uživatelského jména a hesla, jde vyjma použití SMS jako dalšího ověřovacího faktoru, o poměrně bezpečný způsob ověření. I tak ale doporučujeme uživatelům dodržování základních bezpečnostních pravidel,“ říká.