Článek
Bankovní identita je technologicky tak bezpečná, jak jen může být. „Bankovní identitu považuji za zcela bezpečnou, ve srovnání s jinými možnostmi. Na rozdíl od občanského průkazu nestačí ke zneužití jenom to, že mi ho někdo ukradne a bude tvrdit, že fotka je jen prostě starší,“ míní expert na kyberbezpečnost Karel Obluk.
Banky nalily do IT bezpečnosti obrovské peníze. Nejenže digitalizace je jejich budoucnost, z projektu bankovní identity také budou mít slušné příjmy. Firmy jim budou platit za to, aby přes ně mohly zákazníky digitálně ověřovat.
Jde i o reputaci a důvěru. „Banky po staletí fungují jako trezor na peníze a s postupem digitalizace se bezpečnostní a ochranná role banky rozšířila i na data. Finanční, osobní, kontaktní a další,“ říká mluvčí České spořitelny František Bouc. Proto si žádný finanční dům nemůže dovolit bezpečnost digitálního přístupu podcenit.
Bankovní identita je však bezpečná jen do chvíle, než se do ní zapojí lidský faktor – bankovní klient. Právě on je nejsnadnějším cílem útočníků.
„Útočníci se nesnaží ani tak zneužít technické vlastnosti prostředku, ale volí jednodušší přístup přes člověka, od kterého se snaží vylákat přihlašovací údaje pod různou záminkou,“ potvrdil Jiří Korbel, mluvčí Ministerstva vnitra, které bankám k používání bankovní identity dává povolení.
„V současné době neočekáváme masové útoky na zneužívání bankovní identity, a to především kvůli tomu, že jde o lokální službu užívanou jen v Česku. Nicméně potenciální scénáře, jak by bylo možné neoprávněně získanou bankovní identitu zneužít, existují,“ podotýká Robert Šuman, vedoucí pražského výzkumného centra společnosti Eset. Nejsou nijak inovativní, podle Šumana je třeba být si vědom zejména rizik phishingu nebo malware manipulujícím s SMS.
Typický scénář ze Švédska
Cílem těchto praktik je prostřednictvím podvodných telefonátů, e-mailu nebo podvržených webových stránek získat citlivé údaje, jako jsou přihlašovací hesla. Malware v telefonu zas dokáže esemesku s přístupovým kódem přeposlat na jiný telefon. Proto je lepší potvrzovat přihlašovací údaje biometricky otiskem prstu nebo skenem obličeje v mobilní aplikaci než zaslaným SMS kódem.
Švédsko, které je v používání digitální identity spolu s ostatními skandinávskými zeměmi průkopníkem, už několik let zažívá útoky, při kterých lidé přišli v přepočtu řádově o miliony dolarů.
Typický scénář krádeže vypadá takto: Majiteli bankovního účtu zavolal útočník vydávající se za policistu s informací, že klientův účet mohl být napaden. A že má očekávat další telefonát ze své banky. Další útočník v roli falešného bankéře klienta požádal, aby se k účtu přihlásil prostřednictvím své bankovní identity. Mezitím už však útočníci zadali v bankovním formuláři ukradené osobní identifikační číslo klienta. Ten pak tedy nevědomky vstup na účet potvrdil ne sobě, ale jim. V dalším kroku se měl přihlásit znovu. V tu chvíli už však nevědomky potvrzoval převod svých peněz na jiný účet.
V tomto případě ale nejde jen o peníze. Když někdo ukradne cizí digitální identitu, může se s ní vydávat za toho, komu ji ukradl.
„V případě odcizení identity je možné nejen odcizit peněžní prostředky, ale také si sjednat různé produkty a také například využít účty klienta pro praní špinavých peněz. Mimo banku je pak možné prokázat se totožností poškozeného klienta a jeho jménem přistupovat k digitálním službám státu nebo k soukromým společnostem,“ upozornil Jan Kolář, manažer ČSOB Identity.
Podle Roberta Šumana by útočníci ukradené přihlašovací údaje nejpravděpodobněji prodali na černém trhu. „Zneužití přihlášení k nějakým konkrétním úkonům, které bankovní identita umožňuje, je nepravděpodobné. Při takovém scénáři by si útočník musel vybrat jednu konkrétní oběť, pravděpodobně hovořit plynně česky, a to je příliš pracné a málo ziskové. Útočníky žene touha vydělat, takže se orientují na výdělečné aktivity, které nejsou příliš namáhavé,“ vysvětluje.
Hesla a zámeček
Základ je nikomu neříkat svoje hesla a používat silná bezpečná hesla. „Za bezpečné můžeme považovat heslo, které obsahuje různé znaky – tedy velká i malá písmena, číslice a speciální znaky (např.: ? nebo &) a má alespoň 12 znaků. Případně si lze vytvářet heslové fráze – tedy větu složenou z několika slov, které tvoří zapamatovatelný příběh,“ radí Robert Šuman.
Rozhodně doporučuje používat unikátní heslo pro každou službu. „Hesla není vhodné ukládat pro automatické vyplňování. Preferoval bych spíše správu ve speciálním programu – tzv. password manageru,“ doplnil odborník firmy Eset.
Důležité je zadávat přihlašovací údaje jen na webovou stránku banky. Zda nejde o podvrženou stránku, člověk pozná podle symbolu zámečku v adresním řádku. Stránka banky zámeček před webovou adresou má.
Držitel musí svůj identifikační prostředek chránit jako „oko v hlavě“ a minimalizovat tak riziko zneužití. K tomu ho nepobízí jen vydavatelé identifikačních prostředků, ale i zákon o elektronické identifikaci. Pokud má uživatel podezření, že došlo nebo může dojít ke zneužití jeho identifikačního prostředku, je jeho povinností to neprodleně oznámit vydavateli prostředku (tedy například bance). Je to podobné, jako když uživatel ztratí svoji platební kartu, také by ji měl okamžitě zablokovat.
Jak chránit svou bankovní identitu
– Nikomu nesdělovat heslo, nepoužívat jedno heslo pro všechny online služby, nepoužívat heslo snadno odvoditelné např. ze jména či data narození uživatele, používat dlouhé heslo.
– Přihlašovat se pouze z vlastního zařízení zabezpečeného antivirovým programem, nevypínat automatické aktualizace systému, nezapomenout se odhlásit z aplikace po ukončení práce.
– Neklikat na odkazy v podezřelých e-mailech.
– Neinstalovat podezřelé aplikace z neoficiálních zdrojů.
– Raději se nepřihlašovat přes veřejně dostupné wi-fi sítě.
– Pokud uživatel vlastní chytrý telefon a používá přihlášení přes jméno, heslo a SMS, zvážit možnost využívat mobilní aplikaci pro přihlašování, kde ne dost bezpečnou esemesku nahradí biometrie (otisk prstu nebo sken obličeje).
Zdroj: Ministerstvo vnitra
Někteří klienti mají strach z toho, že se jejich banka provozováním digitální identity stává „velkým bratrem, co všechno sleduje“. Předseda představenstva společnosti Bankovní identita Filip Haering však tvrdí, že se banka při ověřování identity klienta pro třetí stranu nedozvídá, proč ověřuje – jen to, koho ověřuje a pro koho. „Podléhá to bankovnímu tajemství. Je jen na klientovi, pro kterou třetí stranu udělí bance souhlas se sdílením dat, která má uložená v bance,“ říká.
Kdo nechce, nemusí
Kdo bankovní identitu používat nechce, nemusí. Možnost klientů ji odmítnout pro použití vůči třetím stranám je podle Haeringa jednou z podmínek Ministerstva vnitra k udělení akreditace konkrétní bance.
„Banky klienty informovaly dva měsíce předem o aktualizaci všeobecných obchodních podmínek, v rámci kterých zavedly bankovní identitu. Pokud klient nesouhlasil s bankovní identitou, mohl to bance sdělit a nedošlo by k vydání bankovní identity,“ uvedl mluvčí Ministerstva vnitra Jiří Korbel. „Pokud se klient z jakéhokoli důvodu rozhodne, že nechce používat bankovní identitu, může požádat banku o její vypnutí například v internetovém bankovnictví,“ doplnil.
„U ČSOB je možné si v nastavení digitální identity zakázat možnosti jejího využití vůči státu a třetím stranám,“ potvrdil za banku Jan Kolář.
Mluvčí České spořitelny František Bouc se přidává. „Při deaktivaci dojde k odregistraci této identity v NIA,“ dodal. NIA je Národní identifikační autorita, tedy místo, kde se identita klientů propojuje s jejich údaji v základních registrech státu. Párují se jméno, příjmení, datum narození, číslo osobního dokladu a typ dokladu.
Přes NIA mohou lidé díky bankovní identitě na dálku chodit na úřad. Od června pak bude možné se prostřednictvím bankovní identity přihlašovat i u soukromých společnosti, jako jsou e-shopy, operátoři, dodavatelé energií apod.
Zatímco dálkový přístup na úřady přes NIA si každá banka řeší sama, u soukromých firem to půjde přes společnost Bankovní identita, a. s.