Ćwiczenia praktyczne

Zanim bank znajdzie się w Internecie, musi rozwiązać wiele problemów technicznych.

Zanim bank znajdzie się w Internecie, musi rozwiązać wiele problemów technicznych.

Banki wybierają różne drogi prowadzące do Internetu - najczęściej sieć globalna jest traktowana jako naturalne rozszerzenie już istniejącego systemu (dostęp do konta przez telefon i elektroniczne składanie zleceń). Dla niektórych banków Internet jest podstawowym, a nawet jedynym medium komunikacji z klientami (np. SFNB lub First Virtual). Ich oferta różni się pod względem zakresu oferowanych usług, ale już schemat działania i sposób realizacji systemu jest bardzo podobny.

Internet nie niebezpieczny

Wbrew powszechnej opinii, wejście do Internetu jest dla banku przede wszystkim problemem "politycznym", a nie technicznym - w przypadku większości systemów bankowych czas potrzebny na zbudowanie dodatkowego "modułu Internetowego" to tylko kilka tygodni. Znacznie więcej czasu należy poświęcić na proces oswojenia się z Internetem - tak pracowników banku, jak i jego klientów. Również inna powszechna opinia - że wejście do Internetu jest niezwykle niebezpieczne - wydaje się obecnie nie mieć uzasadnienia.

Często efektem prac badawczoürozwojowych związanych z Internetem jest odkrycie, że każda droga zdalnego dostępu do zasobów banku niesie ze sobą podobne zagrożenia. Telefon, teleks, telefaks nie są w żaden sposób lepiej chronione niż linia łącząca bank z Internetem. I co więcej - rozwiązanie podstawowych problemów (jednoznacznej identyfikacji stron transakcji, bezpieczeństwa transakcji i systemu bankowego) może być oparte na tym samym oprogramowaniu, sprzęcie i zasadach działania.

Warto przyjrzeć się ofercie kilku banków wybranych z coraz dłuższej listy tych instytucji prowadzących działalność przez Internet. Istotna zmianą, w porównaniu do sytuacji sprzed roku, jest pojawienie się banków europejskich, zazwyczaj postrzeganych jako bardziej konserwatywne. Wszędzie na bankowych stronach WWW wypełniane formularze wyglądają identycznie, jak ich papierowe pierwowzory, dane o operacjach mogą być "ściągane" w formacie programów Quicken, Microsoft Money lub w formie arkusza kalkulacyjnego. Nic tylko korzystać...

Systemy obsługi banków

W ofercie firm obecnych na internetowym rynku znajdują się nie tylko pojedyncze serwery, ale również zintegrowane systemy, przygotowane do włączenia między Internetem a istniejącym systemem bankowym. W każdym przypadku konieczne jest oczywiście opracowanie indywidualnej polityki bezpieczeństwa oraz stworzenie modułu realizującego transakcje między serwerem WWW a bankiem.

Warto zwrócić uwagę na pojawiające się nowe technologie i aplikacje, które pozwalają na lepszą integrację układu klient-serwer i aktywne przejęcie części zadań przez serwer (np. automatyczna aktualizacja plików danych lub programów "wymuszona" przez serwer WWW przy połączeniu się z systemem banku). Możliwe jest również udostępnienie klientowi zaawansowanych narzędzi do analizy danych i tworzenia symulacji, np. przy wyborze wariantów inwestycji lub ubezpieczeń.

Serwer WWW jest najbardziej widocznym elementem na styku Internetu z systemem bankowym. To właśnie tu przechowywane i udostępniane są strony informacyjne oraz formularze, przyjmowane transakcje, szyfrowane transmisje. Z drugiej strony serwer WWW generuje zapytania do systemu bankowego i służy jako ogniwo pośrednie przy realizacji transakcji. W związku z tym wymagania są szczególnie wysokie - serwer musi być niezawodny i bezpieczny.

Przeglądarki

Niezbędnym elementem w łańcuchu Bank-Internet-Klient jest również przeglądarka WWW. Dla użytkowników najważniejsze będzie, czy zostanie utrzymana istniejąca obecnie niezła zgodność Navigatora i Explorera - na razie nie ma jeszcze konieczności instalowania obu programów na jednym komputerze.

Serwisy WWW niemal zawsze dają się oglądać przy wykorzystaniu dowolnej przeglądarki. Oczywiście systemy dostępu do usług bankowych powinny uwzględniać oba rozwiązania. Widać zresztą w tym przypadku tendencję do maksymalnego upraszczania komunikacji między serwerem a klientem - wynika to przede wszystkim z powszechnego stosowania rozwiązań typu firewall w sieciach podłączonych do Internetu.

Znaczna część klientów banków pracuje właśnie przez sieci lokalne (dotyczy to nie tylko firm, ale także klientów indywidualnych, którzy korzystają z usług bankowych w godzinach pracy, przez sieć swojej firmy). Aby uniknąć "odfiltrowania" i zablokowania transmisji przez firewall, należy starać się nie wychodzić poza standard (HTML, ewentualnie Java, żadnych nietypowych portów czy usług).

Bezpieczeństwo w Europie

Kilkakrotnie wspominaliśmy już o amerykańskich ograniczeniach eksportowych, uniemożliwiających (amerykańskim) producentom sprzedaż w Europie oprogramowania posługującego się kluczami lepszymi niż 40 bitów (56 przy uzyskaniu licencji eksportowej). Jest to doskonała okazja dla firm europejskich - oferują one swoje rozwiązania, uzupełniające "zubożone" wersje amerykańskie. Przykładem tego może być fińska firma DataFellows, dostarczająca technologie kryptograficzną, której programy mogą być zintegrowane z serwerami WWW. Okazało się, że rozwiązania te są na tyle wygodne, iż obecnie jednym z największych rynków dla DataFellows jest USA.

Elementy, z których składa się oprogramowanie F-Secure firmy DataFellows korzysta z algorytmów DES, 3DES, Blowfish, IDEA i RSA, a klucze mogą mieć długość do 256 bitów (rozszerzenie dla 40-bitowych standardów SSL i SET) oraz do 2048 bitów przy algorytmie RSA - takim, jaki wykorzystywany jest np. przez program PGP. Zasadą działania F-Secure jest tworzenie zaszyfrowanego, czyli bezpiecznego tunelu transmisji danych między klientem (a właściwie przeglądarką) i serwerem WWW. Zastosowane rozwiązanie jest przezroczyste dla innych fragmentów systemu, może więc być wykorzystane z praktycznie każdą przeglądarką i każdym serwerem WWW.

Banki zaczynają się pojawiać w Internecie, a każdy kolejny uczestnik nowego rynku powoduje zarówno zwiększone zainteresowanie klientów pracą przez Internet, jak i głęboki namysł ze strony banków, które przed Internetem jeszcze się bronią. Pytanie "Jak to zrobić, by nie stracić klientów, a jednocześnie zachować bezpieczeństwo?" coraz częściej stawiane jest działom informatyki przez zarządy banków.

-----

Dariusz Wichniewicz

e-mail: [email protected]

ATM - dział Internetu

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200