Uszczelnianie klienta

Systemy informatyczne realizujące usługi bankowości elektronicznej są dobrze zabezpieczone, a nad ich prawidłową pracą stale czuwają profesjonaliści. Najsłabszym elementem bezpieczeństwa w bankowości elektronicznej jest więc klient i jego komputer.

Podstawowym zabezpieczeniem po stronie klienta, stosowanym przez wszystkie banki, jest identyfikator klienta i hasło. W CitiBanku login to numer karty, hasło zaś to jej numer PIN. Takie rozwiązanie w Polsce nie jest jeszcze popularne. Bank Pekao SA, który jako pierwszy zaoferował usługi w Internecie, wyposaża klientów w generatory haseł jednorazowych, tzw. tokeny. Zaletą takiego rozwiązania jest możliwość dostępu do konta z dowolnego komputera. Na wypadek zgubienia bądź kradzieży token jest zabezpieczony PIN-em.

Przeciwnicy tokenów argumentują, że jest to rozwiązanie zbyt drogie jak na poziom bezpieczeństwa, który oferuje - urządzenie, którego żywotność określana jest na 2-5 lat, kosztuje 50-200 USD. "Porównywalny poziom bezpieczeństwa za nieporównywalnie mniejsze pieniądze zapewniliśmy klientom poprzez listy haseł jednorazowych" - tłumaczy Tomasz Gubała, naczelnik Wydziału ds. Zarządzania Relacjami z Klientami w mBanku. Stosowanie tokenów jest także kłopo-tliwe ze względów organizacyjnych - urządzenia kupuje się partiami, co oznacza, że ich wymiana następuje w tym samym czasie. Ze względu na uciążliwość i koszty w najbliższym czasie można się spodziewać wypierania tokenów przez doskonalsze i tańsze technologie, zwłaszcza certyfikaty elektroniczne. Przygotowania do takiej operacji prowadzi już Lukas Bank.

Certyfikaty i infrastruktura klucza publicznego są już od dawna używane w Banku Przemysłowo-Handlowym. "Hasła jednorazowe umożliwiają identyfikację zdalnego użytkownika, nie zapewniają jednak bezpieczeństwa transakcji. Dzięki podpisowi elektronicznemu każda transakcja jest podpisywana przez klienta, co ułatwia postępowanie w razie reklamacji. Oczywiście nikt nie zwalnia klienta z pilnowania klucza prywatnego" - mówi informatyk BPH. Krakowski bank stosuje też dodatko-we środki bezpieczeństwa. Aby ograniczyć ryzyko "podsłuchania" danych wprowadzanych z klawiatury, klienci BPH podają w przeglądarce jedynie losowo wybrane znaki hasła. Klienci mają też możliwość skorzystania z opcji powiadamiania za pomocą wiadomoś-ci SMS o każdym udanym logowaniu na ich konto.

Zwolennikiem infrastruktury klucza publicznego jest także Fortis Bank. "Na razie wydajemy klientom certyfikaty na dyskietkach. W przyszłości będziemy je umieszczać w kartach chipowych, co umożliwi wykorzystanie tych samych mechanizmów bezpieczeństwa w różnych produktach bankowych" - przekonuje Jaromir Pelczarski, dyrektor Departamentu Informatyki w Fortis Bank Polska SA w Warszawie. Jest prawdopodobne, że autoryzację transakcji elektronicznych za pomocą kart chipowych zaoferuje DB-24 SA - detaliczne ramię Deutsche Banku. Według jego przedstawicieli, system bankowości elektronicznej powinien zostać uruchomiony do końca br.

Budować czy ubezpieczyć?

Bezpieczeństwo kosztuje. Budowa systemu bezpieczeństwa dla bankowości elektronicznej może pochłonąć miliony złotych. Ile więc należy wydać, aby należycie zabezpieczyć bank i klientów? "Inwestycje w bezpieczeństwo są opłacalne tylko do pewnego progu. W praktyce zapewnienie poziomu bezpieczeństwa powyżej 98% powoduje wzrost kosztów mniej więcej o rząd wielkości za każdą dziesiątą część procenta" - twierdzi Jaromir Pelczarski.

Filozofia stosowana przez polskie banki jest prosta: skoro włamania nie da się uniknąć, trzeba uczynić je tak kosztownym, aby nie opłacało się ono hakerom. "Odmienne i, jak sądzę, trudne do adaptacji na polskim rynku jest podejście banków amerykańskich. Nie budują one skomplikowanych systemów "na każdą ewentualność", lecz ubezpieczają ryzyko i utrzymują fundusze celowe na pokrycie strat, które wprawdzie mogą, ale nie muszą się zdarzyć" - konkluduje Tadeusz Liszka z BPH.