Bankomaty dopiero pojawiają się na polskim rynku i praktycznie nie istnieje jeszcze problem oszustw dokonywanych za ich pośrednictwem. Jednak w miarę rozwoju sieci bankomatów, wzrostu ich popularności, a także wiedzy na ich temat, niebezpieczeństwo takich oszustw może stać się realne. Dowodzą tego doświadczenia innych krajów.

Bankowość jest największym (po instytucjach rządowych) użytkownikiem systemów szyfrujących. Są one wykorzystywane m.in. do ochrony bankomatów. Jednak wiadomo, że systemy kryptograficzne bywają zawodne.

Kto za to zapłaci?

Precedens prawny - oświadczenie klientki o niepodjęciu przez nią gotówki z bankomatu przeważyło nad opinią eksperta banku - zdecydował, że USA Federal Reserve (jeden z 12 regionalnych oddziałów Banku Centralnego USA nadzorujących praktyki bankowe), wprowadził przepis o refundowaniu wszelkich kwestionowanych transakcji, o ile w sposób bezsporny bank nie udowodni klientowi oszustwa. Takie rozwiązanie może dopomóc w promocji i rozwoju technik zabezpieczających, m.in. kryptologii. Szacuje się, że kłamstwa klientów kosztują przeciętny amerykański bank rocznie ok. 15 tys. USD.

W Wielkiej Brytanii, wbrew opinii parlamentarnej komisji informacji kwestionującej bezpieczeństwo systemu PIN-ów, bankowcy wciąż zapewniają o jego niezawodności.

Czarne owce w bankach

Niektóre oszustwa wymagają pewnej wiedzy o systemie lub dostępie do niego. Na przykład w Anglii, w ciągu roku banki zwalniają dyscyplinarnie ok. 1% personelu. Przyczyną wielu z tych zwolnień są drobne kradzieże z bankomatów. Określa się, że w banku zatrudniającym ok. 50 tys. osób, mają miejsce dwie kradzieże kart i PIN-ów dziennie, dokonywane przez personel.

Komputerowe zabezpieczenia załamują się także ze względów organizacyjnych. Dowodzi tego przykład banku, w którym systemy informatyczne, elektroniczna bankowość i działy kontroli wewnętrznej, sprawowały wspólnie podwójną kontrolę kart i PIN-ów w jego oddziałach. Pozwalało to na utrzymanie strat na niskim poziomie. Jednak jeden z szefów banku podjął decyzję o rezygnacji z kilku procedur podwójnej kontroli, również tych dotyczących kart i PIN-ów. Miało to obniżyć koszty utrzymania banku, a w efekcie spowodowało dziesięciokrotny wzrost strat.

Większość kradzieży dokonanych przez personel banku to tzw. "wypłaty widma" realizowane w bankomatach znajdujących się w pobliżu miejsca zamieszkania klienta. Angielscy bankowcy twierdzą, że mogłaby to być wina systemu komputerowych zabezpieczeń, tylko w przypadku gdyby rozkład kwestionowanych transakcji na terenie kraju był losowy. Jednak większość dyskusyjnych wypłat ma miejsce w sąsiedztwie domu lub miejsca pracy klienta. Zdaniem bankowców, spowodowane są one wyłącznie niedbalstwem klientów.

Bankomaty okradają również dyletanci. Na przykład, w jednym z banków pracował system, który umożliwiał kradzieże przy pomocy zwykłej karty telefonicznej. Po jej włożeniu bankomat reagował na numer ostatnio użytej karty kredytowej. Wystarczyło podejrzeć numer karty wkładanej przez jej właściciela aby pobrać gotówkę z jego konta.

Klucz do bezpieczeństwa

Większość bankomatów działa w oparciu o pewien wariant systemu opracowanego przez IBM. Wykorzystuje on tajny klucz PIN (Personal Identyfical Number). Jest on wyznaczany na podstawie numeru konta za pomocą algorytmu DES (Data Encryption Standard). W wyniku tego działania otrzymujemy tzw. PIN "naturalny". W celu otrzymania PIN-u "osobistego" klienta należy dodać do niego pewną liczbę. Bezpieczeństwo tego systemu zależy od utrzymania klucza PIN w tajemnicy.

Jeżeli bank przyłącza się do sieci i klienci innych banków mogą korzystać z jego bankomatów, PIN-y klientów spoza banku muszą być szyfrowane w bankomacie za pomocą tzw. klucza roboczego. Dalej są one rozszyfrowane i natychmiast ponownie zaszyfrowane za pomocą innego klucza roboczego wspólnego z bankiem, który wydał kartę. Klucze robocze są zawsze chronione. Zazwyczaj banki współpracujące ze sobą w sieci mają wspólny klucz strefowy i mogą go używać do szyfrowania świeżych kluczy roboczych, ustalanych każdego dnia rano.

Tak więc, transakcje są przez cały czas weryfikowane przez klucz PIN i aktualne klucze robocze.

Tajemnice bankowej Enigmy

Oryginalne produkty szyfrujące IBM, takie jak PCF i 3848, ograniczały się jedynie do samego szyfrowania, pozostawiając inne działania programowi centralnego komputera, tworzonego przez każdy bank samodzielnie. W ten sposób bezpieczeństwo banku zależało od zręczności i uczciwości jego personelu odpowiedzialnego za tworzenie i konserwację systemu.

Obecnie, standardem banków jest korzystanie z modułu zabezpieczeń, którego podstawą jest PC. Jest on przechowywany w sejfie wraz z oprogramowaniem zarządzającym wszystkimi kluczami i PIN-ami banku. Programiści centralnego komputera oglądają je wyłącznie w zaszyfrowanej postaci.

Visa i MasterCard zrzeszają około 10 tys. banków członkowskich w USA i przynajmniej 1000 z nich samodzielnie przetwarza transakcje. Jednak ankiety przeprowadzane przez sprzedawców modułów zabezpieczających dowodzą, że do końca 1990 r. jedynie 300 centrów przetwarzania zakupiło i zainstalowało te urządzenia. Bankowcy twierdzą, że sprzętowa wersja tego produktu jest dosyć droga i niełatwa do zainstalowania w banku.

W bankach nie posiadających modułów zabezpieczających, funkcje szyfrowania PIN-ów są wykonywane przez specjalne oprogramowanie i stąd mogą być łatwo odczytane przez programistów systemu (w przypadku PCF z IBM instrukcje na ten temat można znaleźć w załączonym podręczniku). Znając klucz PIN programiści mogą bez trudu fałszować karty. Klucz PIN jest przydatny w uruchamianiu systemu wspierającego bezpieczeństwo bankomatów, dlatego też jego znajomość utrzymuje się wśród personelu przez lata.

Celem szyfrowych zabezpieczeń bankomatów jest uniemożliwienie systematycznych kradzieży, które obecnie są niemożliwe bez zmowy co najmniej dwóch pracowników banku. Wiele banków ma jednak problemy z wdrażaniem i realizacją tych zabezpieczeń. Błędy systemu nie tylko ułatwiają oszustwa, ale są przyczyną wielu kwestionowanych transakcji dokonywanych za pośrednictwem bankomatów.

Banki znajdują się pod ciągłą obserwacją systemów legislacyjnych i mediów. Jednak wykorzystywane przez nie systemy składają się z niezrozumiałych, często niespójnych komponentów. Wymagania dotyczące wsparcia administracyjnego tych systemów, jak dotąd nie zostały dokładnie określone.

(Na podstawie tłumaczenia Marii Cybulskiej z "Banking Technology" opr. Joanna Szulc)