Mohou za vykradené účty uživatelé, nebo špatná práce programátorů?

Internetové bankovnictví banky nabízejí již téměř patnáct let. Od té doby se nic ze základních pravidel a podmínek nezměnilo. Opravdu, a sami si to můžete ověřit:

• Internetové bankovnictví používá počítačové programy, za které jejich tvůrci neručí
• Internetové bankovnictví je služba banky
• Peníze, které klient svěřil bance, musí banka ochránit
• Banka má své týmy odborníků. Uživatel je na případný problém sám a počítač je pro něho pouze nástroj na splnění úkolu, nikoliv práce či hobby, jak je tomu u odborníků banky.

Jednoduché čtyři body, které nejsou spojené s konkrétní technologií nebo nejnovějším počítačovým řešením. Jistě, internetové bankovnictví by měla být především zdravě konzervativní služba banky a nikoliv prostor pro předvádění nejmodernějších technologických „vychytávek“.

Mezi ICT odborníky se stále najdou hračičkové, kteří se víc zajímají o nejnovější HW a SW výrobky, než o řešení podstaty problémů. Viděl jsem to již v roce 2002, kdy jsem pomáhal vyšetřovat jeden z prvních případů vykradeného účtu přes internetové bankovnictví a je to vidět i dnes, když vám banka místo skutečného řešení problému nabídne nový antivirový program. Takový přístup se dá přirovnat k rozdávání vitamínů místo skutečného léčení eboly a hledání ohniska infekce.

Internetové bankovnictví není závislé na konkrétním technologickém řešení. Podstatné a nejdůležitější je, aby byly ochráněny peníze, které svěřil klient bance, a aby banka byla schopna rozeznat korektní operaci od podvodu. Nástroje pro rozeznání takových transakcí existují, používají se například v boji proti praní špinavých peněz (AML). Banky a v nich uložené peníze byly, jsou a budou velkou výzvou pro lupiče a podvodníky. Platí to pro klasické pobočky a ještě více pro platební karty a internetové bankovnictví.

V minulých týdnech a měsících se objevily nové případy vykradených účtů přes internetová bankovnictví. Podobné případy zde byly již před 12-13 lety. To je dlouhá doba v životě člověka, je to hodně času pro návrh a vývoj jakéhokoli výrobku. Dvojnásob to platí v případě počítačových programů, kde se vše (prý) vyvíjí velmi rychle, alespoň podle slov zástupců softwarových firem.

V souvislosti s dobou existence problémů spojených s internetovým bankovnictvím mne napadá srovnání s výzvou amerického prezidenta J. F. Kennedyho z května 1961, který řekl, že USA do konce desetiletí dopraví své občany na Měsíc a bezpečně i zpět. Slib daný Kennedym splnila 20. července 1969 posádka Apolla 11. Let na Měsíc, přistání a bezpečný návrat s sebou nesly mnoho nových problémů. V kosmonautice se uplatnily objevem teflon, suchý zip a mnoho dalších technologií a pracovních postupů, které pak našly využití i v běžném životě. Zkuste si sami odpovědět, co je složitější, vypořádat se s novými výzvami z oblasti fyziky, chemie a dalších přírodních věd, nebo přinutit programátory, aby dělali pořádně svoji práci?

Banky se z minulých problémů nepoučily a stále zůstávají u svého tvrzení, že za problémy s vykradenými účty si mohou především jejich platící zákazníci. Znáte nějakého uživatele, který sám a dobrovolně přispěje k vykradení svého účtu? Já jsem takového člověka ještě nepotkal a to jsem se setkal s mnoha poškozenými. Přesto již třináct let hovoří zástupci bank a někteří ICT odborníci o tom, že hlavní příčinou vykradení účtu byla nepozornost uživatele.

Zástupci bank si neuvědomují, že i oni jsou v pozici zákazníka, který používá nebo přesněji je nucen používat děravé operační systémy. Pokud by se banky a další velcí zákazníci chovali jako sebevědomí uživatelé, tak by musel být problém s virovými útoky a útoky na internetová bankovnictví dávno vyřešen. Bohužel, banky se tak nechovají a přenášejí odpovědnost na toho nejméně zkušeného v celém řetězci, tedy na běžného uživatele. Pokud by takto přistupovali ke své práci i lidé, kteří dohlíželi na let Apolla 13, tak by se posádka v pořádku na Zem nevrátila.

I mezi bankovními službami se najdou řešení, kde banky přistupují k problémům s podvody jinak než v případě internetbankingu. Jedná se například o platební karty s magnetickým proužkem. Skimming, tedy kopírování karet s magnetickým proužkem, je známá věc. V tomto případě banky řeší reklamace a dokáží rozeznat podvod od korektní transakce.

V prostředí počítačů a mobilů jsou podobně slabá místa, jako je magnetický proužek na platební kartě. Mezi ně patří operační systém a prohlížeč, které obsahují stále mnoho skrytých vad a zranitelností. Druhým slabým místem, které s tím prvním úzce souvisí, je stále existující reálné riziko, že se do počítače, tabletu, mobilu nebo jiného zařízení dostane bez vědomí uživatele škodlivý program. Okamžik zavlečení viru do počítače je velmi podobný skimmingu, tedy situaci, kdy je falešnou čtečkou kopírována platební karta a klient si úprav na bankomatu nevšimne. I v počítači se stane, že uživatel provede nějakou operaci (otevře soubor, navštíví stránku) a na pozadí se provede ještě další operace navíc. Je to velmi podobné situaci, kdy vloží kartu do upraveného bankomatu a ten mu vydá peníze, ale současně se okopírují data z magnetického proužku na kartě.

Skimming a počítačové viry byly známé již před 12-13 lety a banky měly dost času najít řešení (nový antivirák řešením není) a úplně odstranit nebo velmi snížit problém s počítačovými viry. Pokud bylo možné za osm let zkonstruovat raketu, expediční modul a tisíce drobných detailů pro cestu na Měsíc, tak by bylo možné se za podobně dlouhou dobu vypořádat i s počítačovými viry. Při cestě na Měsíc se vědci a konstruktéři museli vypořádat s nástrahami, které jim přichystala příroda. V případě počítačových programů se musíme vypořádat s nástrahami, které nám přichystali svojí špatnou prací analytici a programátoři.

Děravý operační systém nebo prohlížeč je možné opravit, bude to chvilku trvat, ale je to možné. Daleko vážnější a těžší budou změny v tom, jak lidé uvažují o počítačových programech a sítích.

Dnes jsou již spolehlivě prokázány schopnosti počítačových virů se dlouhou dobu ukrývat v počítačích běžných uživatelů i firem a bank. Je jasné, že antivirové programy v současné podobě neodhalí včas profesionálně připravený útok na počítače uživatelů.

Pro mnoho „odborníků“ na ICT bezpečnost představuje současná situace velké dilema. Pokud přiznají, že problém není pouze na straně běžného uživatele, bude to znamenat, že zákazníkům v minulých letech lhali. Pokud budou dále trvat na statu quo, mohou spoléhat na to, že uživatelé nebudou mít dost odvahy, aby začali kritizovat kvalitu počítačových programů a dalších s tím spojených služeb, včetně internetového bankovnictví. Po zkušenostech, jak se banky stavěly k problémům s vykradenými bankovními účty v minulých třinácti letech, není možné sázet na to, že iniciátory změn budou ICT firmy nebo banky. Změnu musejí chtít uživatelé. Platící uživatelé.

P.S.
Zaručený elektronický podpis určený pro komunikaci občanů se státními úřady používá stejné technologické základy jako většina internetových bankovnictví. Takže je i stejně zranitelný a důvěryhodný. Příčina problémů je stejná jako v případě internetového bankovnictví – „odborníci, kteří přesně vědí, jak to mají dělat ostatní a do jejich práce jim nikdo nemá mluvit.“

Jiří Nápravník
Autor vyhledává a řeší problémy v ICT i v klasické výrobě

Povolení zabíjet aneb Proč je uvažovaná povinnost nosit reflexní prvky kontraproduktivní

Vratislav Filler z iniciativy Auto*Mat pro Aktuálně.cz komentuje vládní návrh, podle kterého by chodci museli být ve stanovených případech povinně opatřeni reflexními prvky.

Více »