Bezpečnost e-podpisu a internetové bankovnictví
Ministerstvo informatiky zveřejňuje soubor doporučení pro osoby, které používají elektronický podpis. V případě, že je elektronický podpis používáte pro „citlivé“ operace, jako je internetové bankovnictví a finanční transakce obecně, je třeba věnovat těmto doporučením zvýšenou pozornost.
Podle zákona nebo podle smlouvy?
Zákon o elektronickém podpisu stanoví podepisující osobě tyto povinnosti:
a) zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,
b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu (soukromý klíč); kvalifikovaný certifikát je následně zneplatněn.
Tyto povinnosti se vztahují na osoby, které používají kvalifikované certifikáty podle zákona o elektronickém podpisu. Při použití jiných certifikátů, například vydaných bankou nebo označených jako komerční, jsou povinnosti osoby, pro kterou je certifikát vydán, zpravidla upraveny ve smlouvě o poskytovaných službách. Zákon o elektronickém podpisu vymezuje základní rámec pro užití elektronického podpisu v oblasti orgánů veřejné moci a při výkonu veřejné moci. Nestanovuje však podmínky jeho používání v soukromoprávní sféře.
Minimalizujte riziko
V posledních týdnech byla v několika článcích zpochybňována „bezpečnost elektronického podpisu“. Kromě toho, že se často zaměňují a nevhodně používají pojmy jako elektronický podpis, digitální certifikát, soukromý a veřejný klíč, šifrování a hashovací funkce, dochází i k nepřesné interpretaci používaní elektronického podpisu v bankovní sféře, ve veřejné správě a v obchodní a soukromé komunikaci.
Pokud jde o používání elektronického podpisu a internetové komunikace jak obecně, tak i pro finanční operace, je nutné si uvědomit, že používání libovolného nástroje má své výhody a nevýhody a že každá činnost je spojená s určitým rizikem. Proto je vždy nutné najít vhodnou hranici mezi užitkem, rizikem a investicí do zabezpečení. A míru rizika samozřejmě minimalizovat.
Pro uživatele elektronické komunikace platí následující základní pravidla pro zvýšení bezpečnosti. Neuděláte chybu, pokud je uplatníte i při internetovém bankovnictví.
Pravidla bezpečnosti
- Při používání internetového bankovnictví postupujte důsledně podle pokynů banky. Nesdělujte nikdy a nikomu přístupové informace (uživatelská hesla, přístupové kódy). Přístupové informace po vás nikdy nebude chtít vaše banka. Pokud dostane e-mail s takovou žádostí nebo budete mít jakékoliv pochybnosti, kontaktuje příslušnou technickou podporu banky (nejlépe telefonicky). S vysokou mírou pravděpodobnosti se jedná o podvrženou zprávu, kterou neodeslala banka.
- Pro kontakt s bankou používejte počítač, jehož systém je pravidelně aktualizován, má aktualizovaný antivirový program a je chráněn firewallem. Používejte vhodné programy pro detekci škodlivého software (malware, spyware apod.).
- Nepoužívejte jako přihlašovací adresu na banku odkaz např. z e-mailu (phishing, webová stránka může být podvržená), ale do aplikace vstupujte výhradně přes oficiální stránky banky. Přenos dat do banky probíhá protokolem SSL (šifrovaně), který je bezpečnější než běžně používaný. Pozor na hlášení, která se zobrazují během komunikace s bankou (např. žádost o souhlas s výměnou certifikátu pro komunikaci, která je často příznakem pokusu o útok typu „man in the middle“). Tato hlášení je nutné pozorně číst a v případě pochybnosti nebo nejasnosti ukončit práci s aplikací a kontaktovat technickou podporu banky.
- Zvažte investici do dalších zabezpečovacích zařízení a metod, které banky nabízejí, např. autentizační kalkulátory, čipové karty, potvrzení transakce následnou SMS, používání jednorázových autorizačních kódů. Tzv. dvoufaktorové ověření identity je daleko těžší napadnout než jednofaktorové (dva principiálně odlišné kanály je daleko složitější ovládat – například současně internetovou a mobilní komunikaci). To vás zpravidla bude něco stát, ale míru rizika tak snížíte výrazným způsobem.
- Dodržujete vždy pokyny výrobce nebo dodavatele při využití dalšího přídavného hardwaru (například čtečky čipových karet, autentizačního kalkulátoru).
- Pokud je pro komunikaci s bankou používán elektronický podpis, pro uložení soukromého klíče raději používejte čipovou kartu nebo jiný nosič, který je možné udržet pod vlastní kontrolou. Po každém použití vyjměte nosič (např. čipovou kartu z čtečky) a uložte na bezpečné místo. V případě, že se rozhodnete pro uložení soukromého klíče na pevný disk počítače, důsledně používejte pro přístup do počítače přístupové jméno a heslo. Soukromý klíč by měl být chráněn heslem a PINem.
- Vždy volte „silná hesla“ (v délce minimálně osm znaků), aby je nebylo možné náhodně uhodnout. Jako hesla nevolte jména blízkých, číslo mobilu, data narození, slovníková slova apod. Využívejte také speciální znaky a číslice. Podrobnější informace naleznete například v e-zinu Crypto-World, nebo v článcích zveřejněných na webové stránce časopisů PC svět a PC WORLD.
- Pravidelně měňte hesla, nejméně tak často, jak to doporučuje provozovatel aplikace.
Co nejméně používejte aplikaci na nedůvěryhodných počítačích a rizikových místech (například internetové kavárny, nezabezpečené počítače). - Po ukončení práce se korektně odhlaste, zavřete okno používaného prohlížeče. Pokud dojde k nestandardnímu chování systému, kontaktujte technickou podporu banky.
- Nenavštěvujte nedůvěryhodné zdroje dat (internetové stránky s podezřelým obsahem). Nestahujte neznámé soubory, mohou obsahovat viry a další škodlivé programy.
- Věnujte zvýšenou pozornost práci s nedůvěryhodnými e-maily (neznámý odesílatel, podezřelý předmět, případně obsah, spam), neotevírejte jejich přílohy a neklikejte na odkazy, pokud jsou v těchto e-mailech uvedeny.
Dodržováním těchto jednoduchých pravidel zvýšíte bezpečnost elektronické komunikace včetně internetového bankovnictví a ochráníte sebe a svůj počítač před možným zneužitím. Každý člověk by si měl osvojit základní bezpečnostní návyky, které pomohou předejít možnosti „zneužití“ elektronického podpisu. Pokud je používán kvalifikovaný certifikát, je vždy nutné, aby se podepisující osoba seznámila s daty, která podepisuje. Jiné certifikáty mohou být používány i pro autentizaci nebo šifrování.
Bezpečnost na pořadu dne
Bezpečnosti na internetu se věnuje trvale velká pozornost, existuje mnoho zdrojů i v českém jazyce, například server Bezpečně online. Pro vážné zájemce o problematiku bezpečnosti elektronického podpisu je k dispozici celá řada odborné literatury i internetových stránek, které se tomuto tématu podrobně věnují, např. sekce e-podpis webových stránek Ministerstva informatiky, již zmíněný e-zin Crypto – World, webové stránky BUSLab, webové stránky Linux Security, bulletin Microsoft Security nebo osobní stránky našich předních kryptologů Vlastimila Klímy a Tomáše Rosy.
Vaše případné dotazy na MIČR rádi zodpoví. Zasílejte je na adresu elektronické podatelny.
Odpovědět na příspěvek