VARNOST, ZAUPNOST IN ZAŠČITA ... - old.epf.uni-mb.siold.epf.uni-mb.si/ediplome/pdfs/pihler-sabina.pdf · Glede na asovno razsežnost bo diplomska naloga statič čna, saj bomo izhajali

- 1 -

UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA

MARIBOR

DIPLOMSKO DELO

VARNOST, ZAUPNOST IN ZAŠČITA PODATKOV PRI ELEKTRONSKEM BANČNIŠTVU

Študentka: Sabina Pihler Naslov: Sp.Žerjavci 45, 2230 Lenart Številka indeksa: 81542565 Izredni študij Program: visokošolski strokovni Študijska smer: finance in bančništvo Mentor: dr. Samo Bobek

Maribor, junij 2005

- 2 -

UNIVERZA V MARIBORU Ekonomsko-poslovna fakulteta

IZJAVA Kandidatka Sabina Pihler absolventka študijske smeri: bančništvo študijski program: visokošolski strokovni izjavljam, da sem avtorica tega diplomskega dela, ki sem ga napisala pod mentorstvom dr. Sama Bobka in uspešno zagovarjala 28.06.2005.

Zagotavljam, da je besedilo diplomskega dela v tiskani in elektronski obliki istovetno in brez virusov.

Ekonomsko-poslovni fakulteti dovoljujem, da diplomsko delo lahko bralci uporabijo za svoje izobraževalne in raziskovalne namene s povzemanjem posameznih misli, idej, konceptov oziroma delov teksta iz diplomskega dela ob upoštevanju avtorstva in korektnem citiranju.

V Mariboru, dne 08.07.2005 Podpis:

- 3 -

PREDGOVOR Razvoju informacijske tehnologije so z uvedbo elektronskega bančništva sledile tudi banke. Izmed vseh oblik elektronskega bančništva postaja danes internetno bančništvo ključna komunikacijska pot med banko in njenimi komitenti, saj poleg klasičnih prednosti, kot so učinkovito in cenejše poslovanje tako za komitente kot za banke, nudi še možnost uporabe za druge namene, ki so povezani z elektronskim poslovanjem in elektronskim podpisom. Skupaj s prednostmi pa prinaša tudi določene slabosti. Tako pri komitentu kot pri banki lahko izpostavimo visoke začetne investicije ter tudi to, da lahko koristi v obliki zmanjšanja stroškov pričakujemo predvsem na dolgi rok. Osrednjega pomena pri internetnem bančništvu pa je njegova varnost. Internet poleg vseh prednosti ponuja tudi veliko možnosti za zlorabo podatkov, zato temu področju banke posvečajo veliko pozornost. Vendar pa ni dovolj, da se aplikacije za varnost transakcij samo razvijejo, temveč jih je potrebno tudi nenehno posodabljati in odpravljati napake, ki se ugotovijo tekom uporabe. Pri uvajanju varnostnih rešitev je potrebno paziti tudi na to, da te rešitve ne otežujejo uporabe storitev, da so cenovno optimalne ter enostavno razširljive in nezaznavne za uporabnika. Seveda pa je treba imeti pred očmi tudi dejstvo, da banka ne more zagotavljati varnosti v samem računalniku uporabnika kakor tudi ne more ugotavljati, kako je urejeno z varnostjo v uporabnikovi organizaciji. Zato ni dovolj, če za varnost elektronskega bančništva skrbi le banka, temveč mora za varnost skrbeti tudi uporabnik. Priporočila za delo z računalnikom, ki se uporablja za internetno bančništvo, so: preprečevanje dostopa nepooblaščenim osebam do pametne kartice, certifikata in računalnika, izdelava varnostih kopij podatkovne zbirke, namestitev in stalno osveževanje protivirusnih programov z novimi različicami, uporaba požarnega zidu, prepoved brskanja po internetu in sprejemanja elektronske pošte zaradi možnosti neopaznega nameščanja vohunskih programov, skrbno in nadzirano prenašanje novih datotek na računalnik, pregledovanje izvršenih plačilnih nalogov, ki jih pošilja banka.

- 4 -

KAZALO 1 UVOD .............................................................................................................................................. 5

1.1 OPREDELITEV PROBLEMA .......................................................................................................... 5 1.2 NAMEN, CILJI IN OSNOVNE TRDITVE............................................................................................. 5 1.3 PREDPOSTAVKE IN OMEJITVE DIPLOMSKE NALOGE ...................................................................... 6 1.4 PREDVIDENE METODE RAZISKOVANJA......................................................................................... 6

2 ELEKTRONSKO BANČNIŠTVO .................................................................................................... 7 2.1 ELEKTRONSKO POSLOVANJE ...................................................................................................... 7 2.1 OPREDELITEV POJMA ELEKTRONSKO BANČNIŠTVO....................................................................... 8 2.2 PREDNOSTI IN SLABOSTI ELEKTRONSKEGA BANČNIŠTVA ............................................................ 10

2.2.1 Prednosti za banke ......................................................................................................... 10 2.2.2 Slabosti za banke ........................................................................................................... 11 2.2.3 Prednosti za komitente ................................................................................................... 11 2.2.4 Slabosti za komitente...................................................................................................... 12

2.3 ELEKTRONSKE PRODAJNE POTI V BANKAH................................................................................. 13 2.3.1 Internetno bančništvo ..................................................................................................... 15 2.3.2 Razvojne tendence internetnega bančništva.................................................................. 17

2.4 VARNOSTNI STANDARD ELEKTRONSKEGA POSLOVANJA ............................................................. 18 2.5 SKLEPNE MISLI ......................................................................................................................... 19

3 TVEGANJE PRI INTERNETNEM BANČNIŠTVU ........................................................................ 20 3.1 NEVARNOSTI PRI UPORABNI INTERNETNEGA BANČNIŠTVA........................................................... 20

3.1.1 Storilci računalniškega kriminala .................................................................................... 21 3.1.2 Nevarnosti in grožnje z interneta .................................................................................... 22

3.2 TVEGANJA INTERNETNEGA BANČNIŠTVA ZA BANKE .................................................................... 23 3.3 TVEGANJA ZA UPORABNIKA INTERNETNEGA BANČNIŠTVA........................................................... 24

3.3.1 Ukrepi uporabnika za izboljšanje varnosti ...................................................................... 25 3.4 SKLEPNE MISLI ......................................................................................................................... 26

4 SISTEMI IN TEHNOLOGIJE ZA ZAGOTAVLJANJE VARNOSTI, ZAUPNOSTI IN ZAŠČITO PODATKOV ..................................................................................................................................... 27

4.1 ELEMENTI ZAGOTAVLJANJA VARNOSTI ...................................................................................... 27 4.2 KRIPTOGRAFIJA (ŠIFRIRANJE) ................................................................................................... 28

4.2.1 Simetrična kriptografija ................................................................................................... 28 4.2.2 Asimetrična kriptologija................................................................................................... 29

4.3 DIGITALNI PODPIS ..................................................................................................................... 31 4.4 INFRASTRUKTURA JAVNIH KLJUČEV (PKI).................................................................................. 33 4.5 DIGITALNO POTRDILO ............................................................................................................... 33 4.6 PAMETNE KARTICE ................................................................................................................... 35 4.7 GESLA ..................................................................................................................................... 35 4.8 ZAGOTAVLJANJE VARNOSTI S POMOČJO PROTOKOLOV .............................................................. 36

4.8.1 IPSec – Internetni protokol za varen prenos podatkov................................................... 36 4.8.2 Protokoli za zaščito transakcij na internetu .................................................................... 37

4.9 SKLEPNE MISLI ......................................................................................................................... 37 5 SKLEP........................................................................................................................................... 38 7 LITERATURA IN VIRI .................................................................................................................. 40

- 5 -

1 UVOD 1.1 Opredelitev problema Hiter tehnološki napredek, razvoj interneta in elektronskega poslovanja so postali temelj nove t.i. informacijske dobe, ki prinaša korenite spremembe v način življenja in poslovanja ljudi. Vsem tem spremembam so uspešno sledile tudi banke. Uporaba sodobne informacijske tehnologije namreč omogoča opravljanje bančnih storitev preko osebnih računalnikov neposredno od doma, s čimer sta komitentom prihranjena čas in pot, zagotovljena pa je tudi diskretnost poslovanja. Prav tako pa je elektronsko bančništvo najučinkovitejši način za zniževanje bančnih stroškov, saj je klasični način poslovanja prek bančnega okenca postal za banke predrag. Zaradi svojih prednosti postaja elektronsko bančništvo ena najpomembnejših komunikacijskih poti med banko in njenimi komitenti. Vendar pa vsako novost v tehnologiji spremljajo tudi tveganja. Prvi pomislek, tako uporabnikov kot tudi ponudnikov bančnih storitev, je varnost oz. zaščita podatkov. Banke namenjajo zaupnosti, varnosti in zaščiti podatkov prav posebno pozornost. V ta namen uporabljajo različne najsodobnejše tehnologije in sisteme, katerih namen je, da zaupni podatki komitentov ostanejo samo njihovi. Vendar pa varnosti in zaščite podatkov ter njihove zaupnosti ne more zagotoviti samo banka. Do mnogih zlorab pride prav zaradi nepravilnosti ali naivnosti uporabnikov, ki zaupajo identifikacijske podatke napačnim osebam ali jim preveč olajšajo dostop do teh podatkov. 1.2 Namen, cilji in osnovne trditve Vsak varnostni ukrep v informacijskem sistemu pomeni neko oviro pri delu uporabnikov. Če je teh ukrepov preveč, je lahko to moteče za redno delo, prav tako pa z naraščanjem števila varnostnih ukrepov narašča stopnja težavnosti za uporabnike. Po drugi strani pa je sistem brez varnostnih ukrepov zelo ranljiv za vdore. Namen diplomske naloge je prikazati tehnologije in sisteme, s katerimi banke zagotavljajo varnost, zaščito in zaupnost podatkov pri elektronskem bančništvu ter ugotoviti ali so le-ti dovolj izpopolnjene, da je možnost zlorab, seveda ob pravilni uporabi, minimalna. V skladu z zastavljenimi namenom diplomske naloge in v okviru določenih omejitev bomo v nalogi poskušali doseči naslednje cilje:

- proučiti elektronsko bančništvo ter njegove prednosti in slabosti; - nekoliko podrobneje proučiti internetno bančništvo; - proučiti tveganja, do katerih prihaja pri elektronskem bančništvu; - proučiti sisteme in tehnologije za zagotavljanje varnosti, zaščite in zaupnosti

podatkov pri elektronskem bančništvu. Osnovne trditve, postavljene in izpeljane na podlagi namena in postavljenih ciljev, in ki jih bomo v diplomski nalogi poskušali dokazati, so:

- zaradi človeške občutljivosti in nezaupanja je prihodnost elektronskega bančništva v veliki meri odvisna od možnosti zaščite, varnosti in zaupnosti podatkov;

- v elektronskem bančništvu obstaja veliko varnostnih metod, vendar se to področje zelo hitro razvija, kar pomeni da varnostne metode tudi hitro zastarijo;

- varnosti ne more zagotoviti samo banka, za varnost mora skrbeti tudi uporabnik.

- 6 -

1.3 Predpostavke in omejitve diplomske naloge Predpostavljamo, da v času nastanka diplomske naloge ne bo prišlo do večjih sprememb na področju elektronskega bančništva ter pri sistemih in tehnologijah za zagotavljanje varnosti, zaupnosti in zaščite podatkov. Izmed vseh segmentov elektronskega bančništva se bomo omejili predvsem na internetno bančništvo. Pri pisanju diplomskega dela se bodo pojavile tudi določene omejitve glede uporabe literature, saj bomo proučevali področje hitro razvijajoče se tehnologije, kar posledično pomeni, da literatura hitro zastari. Ker hočemo podati čim bolj splošno sliko, se bomo namenoma izognili predstavitvi in primerjavam med ponudbami posameznih bank. 1.4 Predvidene metode raziskovanja Pri pisanju diplomske naloge bo uporabljena dostopna domača in tuja strokovna literatura s področja elektronskega bančništva. V veliki meri se bomo opirali tudi na informacije in znanja, ki jih ponuja svetovni splet ter na članke iz različnih revij. V pomoč nam bo tudi teoretično znanje, pridobljeno v času študija na Ekonomsko-poslovni fakulteti v Mariboru. Glede na časovno razsežnost bo diplomska naloga statična, saj bomo izhajali iz stanj v točno določenem trenutku. Izbrano temo bomo proučevali s teoretičnega vidika, pri čemer nam bodo v pomoč metode diskriptivnega pristopa k raziskovanju, predvsem metodi diskripcije in kompilacije. Pri oblikovanju sklepov bomo upoštevali pravila induktivne in deduktivne metode analitičnega raziskovanja.

- 7 -

2 ELEKTRONSKO BANČNIŠTVO 2.1 Elektronsko poslovanje Pojem elektronskega poslovanja izhaja iz angleškega izraza »electronic commerce EC« in je nastal kot rezultat razvoja računalniških omrežij in interneta ter združevanja informacijske in telekomunikacijske tehnologije. Pomeni prehod iz klasičnega načina sporazumevanja (preko telefona, podatki na papirnem mediju) v sporazumevanje v elektronski obliki (Toplišek 1998, 4). V pogledu definicij elektronskega poslovanja obstaja širok spekter razlag, ki se največkrat razlikujejo po aktivnostih, ki jih elektronsko poslovanje zahteva, skupno pa jim je to, da ne morejo obstajati brez sodobne informacijske in telekomunikacijske opreme ter da elektronska sporočila hitreje in predvsem ceneje nadomeščajo papirne listine. Ena izmed definicij opredeljuje elektronsko poslovanje kot uporabo komunikacijskih in informacijskih orodij med poslovnimi partnerji z namenom doseganja poslovnih ciljev in vključuje (RIS 2002):

- dostop in izmenjavo poslovnih informacij; - elektronsko nakupovanje in prodajo; - virtualna podjetja (to so organizacije povezane z elektronskim poslovanjem, pri

čemer je posebej pomembna uporaba računalniške izmenjave podatkov). V Beli knjigi o elektronskem poslovanju v majhnih in srednjih podjetjih (White book, European Commision, 1997) naletimo na eno najširših opredelitev, ki pravi, da je elektronsko poslovanje proces poslovnih aktivnosti, kjer se uporabljajo elektronske tehnologije, metodologije in postopki (II. del, str. 37). Prav tako v Beli knjigi zasledimo tudi eno najožjih opredelitev elektronskega poslovanja, ki elektronsko poslovanje opredeljuje kot poslovni odnos, kjer partnerja uporabljata računalnike in omrežja pri izvedbi prodaje ali nakupa storitev ali blaga (II. del. str. 3). Danes se vse pogosteje uporablja izraz »e-business«, ki bolj pravilno odseva vsebino in se uporablja v najširšem smislu, ko gre za vsakršno ravnanje subjektov v informacijskem okolju, kamor je treba šteti tudi državne organe, sodišča in druge neprofitne organizacije. Iz povedanega lahko sklenemo, da elektronsko poslovanje obsega naslednje sestavine (Toplišek 1998, 4):

- način dela: gre predvsem za elektronsko izmenjavo podatkov ob uporabi odprtih omrežij kot je internet;

- vsebine poslovanja: prodaja blaga in storitev, plačevanje, prodaja informacij, bančne transakcije, izmenjava dokumentov, storitve trženja in komuniciranja, podpora razpršenemu poslovnemu informacijskemu sistemu organizacij, nakupovanje v spletnih trgovinah, opravljanje dela na daljavo, nudenje pomoči na daljavo, izvajanje pouka na daljavo, storitve državne uprave na daljavo in podobno;

- glavne tri skupine udeležencev: podjetja/podjetniki, državne/javne službe in posamezniki (potrošniki in uporabniki).

- 8 -

Ta najširši kontekst elektronskega poslovanja obsega med drugim (Jerman-Blažič 2001, 11):

- elektronsko bančništvo; - elektronsko trženje; - elektronsko trgovanje; - spletno trgovino; - svetovanje na daljavo; - elektronsko zavarovalništvo; - računalniško podprto skupinsko delo: - delo na daljavo; - avkcije na daljavo.

Sklenemo lahko, da je elektronsko poslovanje splošen izraz za elektronski način opravljanja dejavnosti s pomočjo elektronskega sporočanja. Oblike elektronskega poslovanja so najpogosteje poimenovane kar po nazivu dejavnosti, v kateri se to poslovanje uporablja. Ker smo se v diplomski nalogi omejili le na elektronsko bančništvo, kot eno izmed oblik elektronskega poslovanja, bomo v nadaljevanju le-to nekoliko podrobneje predstavili. 2.1 Opredelitev pojma elektronsko bančništvo Banke so kot osrednje finančne ustanove, marsikaj prispevale k razvoju informacijske tehnologije. Njihovo poslovanje je bilo že od nekdaj polno transakcij, ki zahtevajo veliko mero natančnosti, ki jo je mogoče zagotoviti z uporabo ustrezne informacijske tehnologije. Zavedajoč se tega, so banke že zelo zgodaj uvedle računalnike v vsakdanje poslovanje in skladno s povečanjem števila transakcij in ponudbo storitev, je bilo potrebno razvijati tudi računalniško tehnologijo. Še pred dobrim desetletjem je bila ta tehnologija varno skrita pred očmi bančnih komitentov, z razvojem globalne informacijske infrastrukture pa je postala primerna tudi za uvajanje elektronskih plačilnih sistemov oz. elektronskega bančništva (Trček 2001, 95). Banke so elektronsko bančništvo uvedle iz dveh razlogov:

- želele so zmanjšati vrste v bankah, zmanjšati stroške poslovanja in masovne posle prenesti z bančnih okenc z namenom, da bi se bančniki lahko posvetili strankam s svetovanjem in zahtevnejšimi bančnimi storitvami;

- želijo ugoditi strankam, da lahko opravljajo bančne storitve doma. Elektronsko bančništvo lahko opredelimo z dveh vidikov. Po širši opredelitvi je elektronsko bančništvo vsakršna bančna storitev, ki se opravlja po elektronski poti. Sem uvrščamo bančne avtomate, telefonsko bančništvo, avtomatske telefonske odzivnike, poslovanje prek bančnih terminalov, elektronsko bančništvo prek interneta,… Ožja opredelitev elektronskega bančništva pa se nanaša le na storitve virtualnega bančništva oz. storitve bančništva, ki jih lahko bančni komitent opravi neposredno s svojega delovnega mesta ali od doma brez neposredne pomoči bančnega uslužbenca, in to kadarkoli (Sjekloča 1999, 31).

- 9 -

Da bi ločili storitve elektronskega bančništva od zastarelih nestandardnih sistemov, morajo storitve sodobnega elektronskega bančništva ustrezati naslednjim kriterijem (Kovačič 1997, 133):

- neprekinjeno dosegljivost, 24 ur na dan, 7 dni v tednu; - dosegljivost kjerkoli; - biti morajo popolnoma avtomatizirane; - biti morajo varne.

Glede na uporabnike elektronskega bančništva ločimo v grobem tri vrste poslovnih odnosov, kar je prikazano na sliki 1. Slika 1: Oblike elektronskega bančništva

telefonsko bančništvo kartice s takojšnjo obremenitvijo bančništvo prek PC pametne kartice videotekst kartice s spominom

elektronsko bančništvo med organizacijami oz. bankami

elektronsko bančništvo pri poslovanju s strankami

bančništvo od doma

samopostrežni avtomati

plačilne kartice in POS- terminali

ELEKTRONSKO BANČNIŠTVO

elektronsko bančništvo v organizaciji oz. banki

Vir: Miš-Svoljšak 1997, 12 Storitve elektronskega bančništva delimo v informacijske in transakcijske. Med informacijske uvršamo informacije o stanjih in transakcijah na komitentovih računih, o dogajanju na kapitalskih trgih, borzi, kreditnih pogojih, obrestnih merah, tečajih,… Med transakcijske storitve pa uvrščamo vse storitve, ki vključujejo plačilne inštrumente. Slednje lahko v grobem razdelimo v tri kategorije: elektronski denar, sisteme, ki zahtevajo vodenje računov (elektronski ček), in storitve plačevanja s plačilnimi karticami (Kovačič 1997,133). Cilj sodobnih bank je torej večino standardnih transakcij prenesti v okvir elektronskega bančništva. V ta namen razvijajo različne aplikacije in kanale, ki naj bi preoblikovali tudi navade strank. Danes običajni bančni komitenti opravijo večino poslov v poslovalnicah (večina transakcij, trajniki, pogodbe,…), na internetu opravljajo tedenske transakcije in preverjajo stanje ter kličejo telefonske centre (če pozabijo geslo ali uporabniško ime,…) (Glos 2002, 7). Kot pa je že bilo rečeno, želijo banke te navade spremeniti. Tako naj bi komitenti v prihodnosti imeli naslednje lastnosti (BDB 2001, 21):

- v poslovalnicah se dogovarjajo za termine in sklepajo nove pogodbe; - na internetu opravijo vse transakcije, preverjajo stanje in uporabljajo druge spletne

storitve bančništva; - uporabljajo telefonske centrale le, če nimajo urejenega internetnega dostopa.

- 10 -

Za uspešno integracijo teh rešitev elektronskega bančništva in sprememb navad strank je potrebno tudi na novo definirati upravljanje distribucijskih poti. V ta namen je potrebno (Glos 2002, 8):

- povečati zaupanje strank v varnostne mehanizme; - s pomočjo marketinga na novo postaviti distribucijske poti; - s pomočjo sistemske integracije zagotoviti nemoteno upravljanje s strankami; - pripraviti bančne uslužbence na njihovo novo vlogo v elektronskem bančništvu.

2.2 Prednosti in slabosti elektronskega bančništva Elektronsko bančništvo mora nuditi možnost opravljanja storitev ob vsakem času in kjerkoli, biti mora varno, ponudba storitev pa mora biti popolnoma avtomatizirana. Te lastnosti jasno prikazujejo prednosti elektronskega bančništva pred klasičnimi načini opravljanja bančnih storitev. Vendar pa novosti ne prinašajo le prednosti, zato uvajanje novih tehnoloških rešitev vedno zahteva analizo vseh prednosti in slabosti. V nadaljevanju bomo ugotovili, kakšne prednosti nudi elektronsko bančništvo bankam in komitentom, seveda pa bomo prikazali tudi vse potencialne slabosti.

2.2.1 Prednosti za banke Elektronsko bančništvo predstavlja nov vmesnik med komitentom in banko. Slednje ga pozicionirajo kot del celovite strategije tržne poti. Najnaprednejše banke gledajo na elektronsko bančništvo kot na osnovo za širšo strategijo elektronskega poslovanja. Vendar pa mora banka, ne glede na strategijo, imeti realna pričakovanja. Koristi elektronskega bančništva in povrnitev stroškov investiranja v elektronsko bančništvo se lahko namreč pričakuje v daljšem časovnem obdobju (Škedelj 2002). Prednosti, ki jih elektronsko bančništvo prinaša banki (Sjekloča 1999, 32-33):

- nižji stroški bančnih transakcij, ki so posledica avtomatizirane obdelave plačilnih nalogov;

- zmanjšanje administrativnih stroškov in stroškov informiranja komitentov, ki so posledica prehoda na elektronske kanale (prehod na informacijske sisteme in s tem opuščanje klasičnih papirnatih poti, nudi banki ogromne prihranke, prav tako tudi stroški informiranja komitentov s pomočjo klasične pošte niso zanemarljivi, nov način poslovanja pa nudi možnost informiranja s pomočjo elektronske pošte);

- zmanjševanje števila klasičnih poslovalnic zaradi povečane uporabe elektronskega bančništva pri transakcijah in v namene informiranja;

- večji pregled nad poslovanjem, omogoča banki večjo učinkovitost in boljše ocenjevanje tveganj (s tem ko ima banka takojšnje informacije glede poslovanja strank, lahko bolj točno določa svoje rezerve in tveganja in tako zmanjšuje stroške, ki nastanejo iz tega naslova);

- boljša kvaliteta storitev in večje zadovoljstvo komitentov zaradi bolj direktnega in osebnega stika (programska oprema omogoča večjo diverzifikacijo strank, tako da se uslužbenci lahko boljše prilagajajo komitentom in jim nudijo storitve, ki jih res zanimajo - rezultat tega je večja učinkovitost uslužbencev in tudi večje zadovoljstvo komitentov);

- 11 -

- zmanjševanje ovir za vstop na druge bančne trge ter več priložnosti za manjše banke, saj elektronsko bančništvo ne zahteva velikega števila poslovalnic, ampak manjšo skupino vrhunskih strokovnjakov;

- več potencialnih komitentov - tudi z območij, ki jih banka ni pokrila s svojimi poslovalnicami, saj komitenti za uporabo elektronskega bančništva potrebujejo zgolj dostop do interneta in tako jih lahko banka novači tudi izven območja svojega klasičnega poslovanja;

- povečanje ponudbe finančnih storitev - ne samo klasičnih bančnih, ampak tudi drugih netradicionalnih storitev. (npr. borzno posredniške, zavarovalniške,…).

2.2.2 Slabosti za banke Kljub vsem prednostim elektronskega bančništva pa se morajo banke zavedati tudi vseh slabosti, ki jih prinaša takšen način poslovanja. Glavne slabosti lahko nekako strnemo v naslednje kategorije (Sjekloča 1999, 34):

- začetna investicija je pogojena z visokimi stroški, ki izhajajo iz nabave in implementacije takšnih aplikacij, pri čemer je ključnega pomena možnost združitve z obstoječimi aplikacijami, tako da je ponavadi potrebno nadgraditi celotni informacijski sistem banke;

- internetni distribucijski kanal ni primeren za vse komitente, saj je kljub splošnemu razmahu uporabe interneta v letu 2004 v Sloveniji bilo 43% uporabnikov interneta, starih od 16 do 74 let (RIS, 2004); tako veliko potencialnih strank ne pozna vseh prednosti interneta ali pa sploh nimajo možnosti dostopa do njega;

- internetni distribucijski kanal še ne nadomesti potrebe po mreži poslovalnic, tako da se zaenkrat število poslovalnic zmanjšuje le marginalno;

- možnost vdora v sistem in zlorabe zasebnih podatkov, ki jih je mogoče skoraj v celoti odpraviti, kar bomo podrobneje predstavili v nadaljevanju;

- možnost tehničnih napak in nezanesljivosti sistema, saj je veliko bank na začetku podcenjevalo možnost preobremenitve; problem je predvsem v velikem nihanju števila predloženih nalogov, do katerih prihaja proti koncu dneva in v določenih dnevih v mesecih (Slak 2001).

2.2.3 Prednosti za komitente Uporaba elektronskega bančništva prinaša korist tudi za uporabnike bančnih storitev, in sicer (Opportunity Wales 2003):

- opravljanje bančnih storitev ne glede na čas ali dan v tednu, kar omogoča komitentom več svobode pri opravljanju bančnih poslov;

- možnost dostopa od kjerkoli, zato komitenti zaradi manjših opravil ne rabijo v bančno poslovalnico;

- ni čakalnih vrst, poznanih iz klasičnih poslovalnic (večino komitentov zelo moti gneča pred bančnim okencem, zato je to tudi najpogostejši razlog prehoda na elektronsko bančništvo);

- nadzor nad osebnimi financami, s čimer odpadejo tudi presenečenja in negotovosti, s katerimi se je soočalo veliko komitentov, saj so vse transakcije ažurne;

- zaradi multimedijske komunikacije je zanesljivost informacij enostavno preverljiva;

- 12 -

- zmanjšanje transakcijskih stroškov in provizij bodisi zaradi paketne obdelave nalogov ali pa avtomatizma, ki banki omogoča nižje zaračunavanje stroškov;

- optimiziranje plačevanja računov, in s tem izogibanje zamudnim obrestim (s trajniki in drugimi storitvami je omogočeno, da se določene transakcije opravijo ob točno določenem času);

- zasebnost pri bančnem poslovanju je naslednja lastnost, ki jo je v klasičnih poslovalnicah težko doseči - zaradi gneče v poslovalnicah tudi črte zasebnosti niso odvrnile od radovednih pogledov za hrbtom komitenta, pri poslovanju od doma pa je omogočena zelo visoka stopnja zasebnosti, pa še čas ni omejen;

- dostop do finančnih informacij, kot so devizni tečaji, obrestne mere, borzni podatki je omogočen na enem mestu;

- odpirajo se novi trgi, kjer izginjajo fizične meje.

Elektronsko bančništvo torej omogoča komitentom večjo zasebnost, zmanjšanje stroškov in prihranek časa, ki je zaradi današnjega tempa življenja zelo cenjen. Potrebno pa je tudi tukaj poudariti, da lahko od uporabe elektronskega bančništva koristi pričakujemo predvsem na dolgi rok. Veliko končnih uporabnikov je namreč do določene mere razočaranih, ker ni takojšnjega zmanjšanja stroškov in povečanja prihodov.

2.2.4 Slabosti za komitente Kljub vsem prednostim elektronskega bančništva in koristi, ki jih prinaša, imajo komitenti tudi določene pomisleke glede njegove uporabe. Izpostavimo lahko predvsem naslednje probleme:

- psihološke ovire, ki se kažejo v nezaupanju do elektronskih medijev (zaradi straha pred računalniki je ta problem pogost predvsem pri starejših prebivalcih) (Opportunity Wales 2003).

- zaenkrat internet še ni dostopen vsem, vendar je ta problem bolj kratkoročne narave, saj naj bi, glede na rast števila uporabnikov interneta, pokritost dostopa do interneta v nekaj letih dosegla skoraj vsakega uporabnika (Savodnik 1999, 25);

- pomislek glede varnosti, ki pa s časom uporabe interneta upadajo (pomemben demonstracijski efekt, lahko dosežejo banke same, s tem ko prevzamejo del tveganja nase) (Glos 2002, 10);

- še vedno obstajajo določene bančne storitve, ki jih ni možno urediti s pomočjo elektronskega bančništva;

- nezdružljiva programska oprema različnih bank, kar predstavlja problem predvsem za večja podjetja. Čeprav je na slovenskem tržišču malo aplikacij za podporo elektronskemu bančništvu, so te večinoma nezdružljive, kar pomeni, da morajo podjetja, ki imajo račune odprte pri različnih bankah, imeti tudi različne aplikacije. Izjeme se kažejo le, ko imajo banke enake aplikacije in kot storitev ponujajo več-bančno poslovanje. Med podjetji se kažejo želje predvsem po poenotenju zaščitne tehnologije. Ena možnost je vpeljava pametnih kartic, ki bi imele certifikate različnih bank, v ta namen pa bi morale banke poenotiti zaščitno tehnologijo. Druga možnost poenotenja pa je uporaba enega certifikata za delo z več bankami (Slak 2001).

- 13 -

2.3 Elektronske prodajne poti v bankah Elektronsko bančništvo lahko opredelimo kot poslovanje bank s strankami, ki je izvedeno preko elektronskih prodajnih poti. Kot je že bilo povedano, lahko storitve elektronskega bančništva razvrstimo na (Bobek 2004).

- informacijske storitve, ki vključujejo informiranje bančnih strank o stanjih in prometu na njihovih računih, o dogajanju na kapitalskih trgih, o obrestnih merah, o pogojih za pridobivanje posojil, ipd. in

- transakcijske storitve, ki vključujejo izvajanje transakcij na bančnih računih strank. Ločimo več elektronskih prodajnih poti v bankah s pomočjo katerih lahko bančni komitenti uporabljajo zgoraj omenjene bančne storitve, in sicer (Bobek 2004):

- bančni avtomati; - informacijski terminali; - bančni kioski; - POS delovna mesta; - internetno bančništvo; - telefonsko bančništvo; - mobilno bančništvo; - odjemalec za spletno televizijo; - druge bančne tehnologije.

V nadaljevanju bodo na kratko predstavljene posamezne oblike elektronskega bančništva razen internetnega bančništva, saj bomo njegovi predstaviti namenili poglavje 2.3.1. 1. Bančni avtomati Bančni avtomati so samopostrežni terminali, povezani z računalnikom, zato takšno obliko elektronskega bančništva pogosto imenujemo tudi samopostrežno bančništvo. Prvotno so bili namenjeni le izdaji gotovine, sčasoma pa so prerasli v avtomate za poslovanje s plačilno-kreditnimi karticami, plačevanje računov in pologov na bančne račune, prav tako pa lahko uporabniki z njimi kupujejo vrednostne kartice operaterjev mobilne telefonije. Bančne avtomate lahko členimo z različnih vidikov. Z vidika funkcionalnosti ločimo bankomate za dvigovanje denarja, večfunkcionalne bankomate in posebne bankomate. Z vidika tehnologij jih delimo na tiste z napravami za »klasične« bančne kartice in tiste z napravami za pametne kartice. Glede na lokacijo pa ločimo bančne avtomate v bančnih poslovalnicah, drugih prostorih in na prostem (Bobek 2004). Ne glede na možne delitve bančnih avtomatov, je vsem skupno to, da nudijo enostavno samopostrežno poslovanje, ki uporabnikom zagotavlja zasebnost pri poslovanju, prihranke na času ter neprekinjen servis storitev 24 ur na dan. Za njihovo uporabo potrebujemo bančno kartico in tajno osebno številko (PIN), ki služi za varnost poslovanja. Prav tako je poslovanje z bančnim avtomatov zelo enostavno, saj se na ekranu bančnega avtomata sproti izpisujejo navodila za nadaljevanje postopka. 2. Informacijski terminali Informacijski terminali so elektronski medij za informiranje bančnih komitentov o ponudbi banke. Od bančnih avtomatov se razlikujejo po tem, da imajo pogosto na dotik občutljiv zaslon. Informacijski terminali deluje kot delovno mesto in so zato povezani z bančnim

- 14 -

računalnikom. Praviloma so prisotni po bančnih enotah zaradi neposrednega stika s storitvami banke. Tako banke kot komitenti vidijo prednosti tovrstnega bančništva v večji varnosti in zasebnosti, ki jo omogoča takšen način, predvsem pa sta zagotovljena večja hitrost in obseg prenosa podatkov (Bobek 2004). 3. Bančni kioski Bančni kiosk je popolnoma avtomatizirana bančna poslovalnica v kateri je postavljeno več bankomatov in informacijskih terminalov, bančnega osebja praviloma ni. Vstop je možen le imetnikom bančne kartice. Mobilni bančni kioski so premične avtomatizirane bančne poslovalnice – gre za posebej prirejene avtobuse ali kamione (Bobek 2004). 4. POS delovna mesta POS delovna mesta so naprave, ki so namenjeni prenosu podatkov med prodajnim mestom in bančnim računalnikom. Sestavlja jih mikroračunalnik, čitalec bančnih kartic in modem (oz. kakšna druga naprava za vzpostavljanje komunikacijske povezave z bančnim računalnikom). Sodobnejša POS delovna mesta imajo tudi posebno tipkovnico za vnos PIN številke (Bobek 2004). Ločimo več vrst POS delovnih mest, in sicer (Bobek 2004):

- samostojna POS delovna mesta (so nepovezana z blagajnami trgovcev); - z blagajnami kombinirana POS delovna mesta; - z blagajnami integrirana POS delovna mesta.

5. Telefonsko bančništvo Telefonsko bančništvo temelji na povezovanju telefonskih in računalniških tehnologij (angl. »computer telephone integration – CTI«) in je v bankah najpogosteje prisotno kot klicni center (angl. »call center«). CTI je skupna oznaka za tehnološke rešitve, ki povežejo računalniške tehnologije s tehnologijami telefonije. Pogosteje gre le za t.i. funkcionalno integracijo in ne za dejansko (fizično) integracijo obeh tehnoloških področij (Bobek 2004). Ločimo dve vrsti telefonskega bančništva (Bobek 2004):

- avtomatski bančni servis (npr. govorni odzivniki, ki nadomestijo zaposlene operaterje), ki bančnim komitentom posreduje informacije prek telefonskega omrežja 24 ur na dan, vse dni v letu;

- funkcionalna integracija tehnologij, kjer rešitve funkcionalne integracije zaposlenih operaterjev ne nadomestijo temveč le izboljšajo njihovo delo.

6. Mobilno bančništvo Mobilno bančništvo temelji na uporabi WAP tehnologije za posredovanje bančnih storitev. Z vidika funkcionalnosti je mobilno bančništvo zelo podobno internetnemu; razlike so le v tehnologiji. Mobilni telefon bančne stranke postane prenosna delovna postaja (zaslon in tipkovnica), ki preko omrežja mobilne tehnologije pristopa do bančnega strežnika na katerem deluje računalniška rešitev za mobilno bančništvo (Bobek 2004).

- 15 -

WAP bančništvo komitentom omogoča (Elektronsko bančništvo 2002): - dostop do elektronske banke; - pregled dnevno svežih tečajnih list; - poišče lahko najbližjo poslovalnico banke; - poišče lahko najbližji bančni avtomat; - prebere lahko informacije o elektronskih bančnih storitvah banke; - dobi lahko druge koristne informacije o banki.

Ne glede na začetne težave ima mobilno bančništvo možnosti za razvoj in lahko po nekaterih napovedih postane najpomembnejša bančna pot, saj uporaba mobilnih telefonov strmo narašča (Bobek 2004). 8. Odjemalec za spletno televizijo Gre za povezavo bank s televizijskimi operaterji, ki bodo svoj program ponujali tudi prek interneta, na katerega bo priključena digitalna televizija. Uporabnik si preko interaktivnih menijev sam izbere film, ki si ga želi ogledati, plačilo pa izvede avtomatsko preko sistema elektronskega bančništva. Tehnologija je zanimiva tudi zaradi televizijske prodaje, ki bo po mnenju analitikov doživela pravi razcvet (Datamonitor 2003).

2.3.1 Internetno bančništvo Internetno bančništvo je najnovejši del virtualnega bančništva, ki pomeni opravljanje bančnih poslov prek interneta namesto fizičnega odhoda v banko (Lončarek 1998, 26). Velikokrat se pojem elektronsko bančništvo zamenjuje s pojmom internetno bančništvo, kar ni pravilno. Elektronsko bančništvo vključuje vse storitve, ki se opravljajo preko elektronskega medija (telefon, bančni avtomati, terminali, storitve preko elektronske pošte,…), medtem ko internetno bančništvo zajema bančne storitve, ki se opravljajo izključno preko interneta.

Internetno bančništvo je torej del širokega področja »oddaljenega« bančništva, pri katerem bančni komitent uporablja bančne storitve preko svojega računalnika. V svetu obstajajo štiri oblike tovrstnega bančništva (Bobek 2004):

- bančništvo od doma (angl. »home banking«), kot oblika bančništva, ki je potekalo preko računalniških rešitev, katerih lastnik je bila banka in so delovale v računalniku bančnega komitenta, ki je bil preko komunikacijske povezave (najpogosteje telefonske linije) povezan z bančnim računalnikom;

- uporaba bančnih storitev s pomočjo računalniških rešitev, ki jih je mogoče kupiti v računalniških trgovinah (gre za standardne pakete za upravljanje osebnih financ, kot sta npr. Microsoft Money in Intiut Quicker);

- uporaba bančnih storitev preko t.i. on-line storitev, ki jih ponujajo nekatera podjetja v svetu;

- internetno bančništvo (angl. »internet banking«), ki omogoča uporabo bančnih storitev preko svetovnega spleta.

Z vidika tehnologije ločimo (Bobek 2004):

- spletne različice internetnega bančništva, ki temeljijo na tem, da je celotna računalniška rešitev za internetno bančništvo na bančnem strežniku kot spletni portal, do katerega pristopajo bančni komitenti preko spletnih brkljalnikov na svojih osebnih računalnikih;

- 16 -

- namestitvene različice, ki temeljijo na tem, da je sicer osrednji del računalniške rešitve za internetno bančništvo na bančnem strežniku, del računalniške rešitve pa je nameščen na računalniku bančnih komitentov.

Če govorimo o informacijski infrastrukturi internetnega bančništva ugotovimo, da internetno bančništvo vključuje naslednje strežnike (Bobek 2004):

- osrednji strežnik bančnega informacijskega sistema; - internetni strežnik; - avtorizacijski strežnik,

kar je prikazano na sliki 2. Slika 2: Informacijska infrastruktura internetnega bančništva

Vir: Bobek 2004. Internet, kot nov distribucijski kanal, so banke začele uporabljati predvsem zaradi uresničevanja dveh dolgoročnih ciljev:

- kompleksne produkte lahko ponudijo z enako kvaliteto z nižjimi stroški večim potencialnim uporabnikom in

- kontakti se lahko vzpostavljajo s kateregakoli kraja na svetu v vsakem trenutku. To pomeni, da lahko banke povečajo svoj marketinški prostor, ne da bi jim bilo potrebno zgraditi nove zgradbe. Internet uporabljajo za štiri temeljne funkcije, in sicer (Electronic banking 2001, 67):

- predstavitev informacij o obstoječih storitvah, kar je najpreprostejša oblika uporabe interneta v bančništvu, saj tu banka le obvešča svoje komitente o obstoju svojih storitev preko multimedijske predstavitve na svetovnem spletu (tako obliko komunikacije imenujemo tudi enosmerna komunikacija);

- druga oblika uporabe interneta predstavlja nadgradnjo predstavitve informacij, kjer banka vzpostavi s komitentom dvosmerno komunikacijo, največkrat z uporabo elektronske pošte;

- v okviru tretje funkcije, t.j. interakcije med komitenti, banka na internetu ponudi komitentu dostop do nekaterih njegovih podatkov (stanje na računu, pregled prometa,…); takšna oblika komunikacije zahteva hitro izmenjavo informacij;

- zadnjo in najzahtevnejšo obliko uporabe interneta pa predstavlja izvajanje bančnih transakcij, kamor spada izvajanje raznih plačil, prenosa sredstev med posameznimi računi in podobno in je tudi tisto, kar imenujemo pravo virtualno elektronsko bančništvo.

- 17 -

Z vidika področja poslovanja in funkcionalnosti se v zadnjem času pojavljajo razlike med (Bobek 2004):

- internetnim bančništvom za prebivalstvo (spletne različice) in - internetnim bančništvom za gospodarstvo (spletne in namestitvene različice).

Seveda je internetno bančništvo za gospodarstvo (torej pravne osebe) veliko bolj dodelano in ponuja uporabnikom več storitev, in sicer obsega transakcijske račune, devizne račune podjetij, depozitno poslovanje, kreditno poslovanje, garancijsko poslovanje, akreditive, borzno poslovanje itd. (Bobek 2004). Internetno bančništvo za podjetij na področju plačilnega prometa urejata tudi dva standarda (Bobek 2004):

- SWIFT standard izhaja iz istoimenskega globalnega omrežja, ki omogoča izmenjavo podatkov med bankami širom sveta; pogosto elektronsko sporočilo, ki se pojavlja pri elektronskem poslovanju podjetij z bankami je sporočilo MT100 (prenos sredstev);

- standard EDIFACT (Electronic Data Interchange for Administration Commerce and Transport) je zelo širok svetovno veljaven standard, ki določa elektronska sporočila, ki nadomeščajo večino papirnih dokumentov v poslovanju med podjetij (175 finančnih sporoči, ki so razdeljena po področjih).

2.3.2 Razvojne tendence internetnega bančništva Internetno bančništvo se je iz alternativnega distribucijskega kanala spremenil v nujo za vse banke. Se pa to področje nenehno razvija, predvsem v smeri celostne obravnave strank, s čimer se poskuša omogočiti opravljanje vseh finančnih poslov, od klasičnih bančnih storitev, storitev investicijskega bančništva do uporabe zavarovalniških produktov po elektronski poti. Tako bi imeli komitenti z enega mesta pregled nad celotnim finančnim stanjem, hkrati pa bi lahko s tega mesta opravili tudi večino finančnih storitev (BDB 2001). Naslednji korak pri internetnem bančništvu je »One-to-One Banking«, kar naj bi omogočalo bolj individualen pristop do uporabnika. Sedaj so vsem uporabnikom ponujene enake storitve (razlikujejo se le glede na vrsto uporabnika – fizične ali pravne osebe), z bolj individualnim pristopom pa bi lahko banka ponujala svoje storitve komitentom ter ob tem upoštevala, kateri način poslovanja in naložb je za posameznega komitenta najbolj primeren (BDB 2001). Razvojne usmeritve internetnega bančništva za področje gospodarstva pa so naslednje (Bobek 2004):

- avtomatizirane povezave med računalniškimi rešitvami internetnega bančništva, ki so nameščeni pri bančnih strankah in računalniškimi rešitvami podjetij (ERP rešitve);

- namestitvene različice internetnega bančništva, ki omogočajo poslovanje podjetja z več bankami (angl. »multibanking solutions«);

- pospešena uvedba najsodobnejših tehnologij na področju varnosti (t.i. PKI tehnologije).

- 18 -

2.4 Varnostni standard elektronskega poslovanja Pri elektronskem poslovanju, v okvir katerega sodi tudi elektronsko bančništvo in s tem tudi internetno bančništvo, je varnost osrednjega pomena. To je tudi razlog da je Agencija za standardizacijo ISO (International Organization of Standardization) leta 2000 objavila varnostni standard ISO 17799, ki je postal svetovno priznan in široko uporabljan varnostni standard (Datalog 2003). Omenjeni standard zajema le priporočila, ki so se najbolj izkazala v praktični uporabi. Podjetja se lahko sama odločijo na kakšen način in v kolikšni meri bodo varovala svoja poslovna področja. Standard ISO 17799 je definiran tako, da dopušča alternativne rešitve in pri tem ne zahteva nobene konkretne rešitve, prav tako nobene ne zavrže kot neprimerne. Ne favorizira nobene posebne tehnologije ali proizvodov, ki bi zagotovili varnost. Vse to je tudi razlog, da kritiki govorijo, da je premalo jasen in dosleden. Vendar je po drugi strani ta nedorečenost dobra, saj je nemogoče najti enotne ukrepe za vsa področja informacijske tehnologije, ki zahtevajo vedno nove in kreativne rešitve problema varnosti (Temeus 2003). Standard je vsebinsko razdeljen na deset stopenj oz. področij in vsako od njih obravnava specifične poglede na informacijski sistem (Konečnik 2002, 22; Temeus 2003):

- prva stopnja priporoča, da podjetje izdela dokument, v katerem opredeli svojo varnostno politiko – le ta vsebuje vse vidike varnosti informacijskega sistema (fizično in tehnološko varnost, skladnost z zakonskimi predpisi); dokument mora predvideti postopke v primeru, če varnostni mehanizmi odpovedo;

- druga stopnja je namenjena določitvi varnostnega foruma, ki določa smernice varnostne politike in razvoja informacijskega sistema organizacije; v tej fazi določimo tudi mešani forum, katerega naloge so vodenje, predvsem pa vzdrževanje določene ravni varnostne politike v organizaciji; prav tako se na tej stopnji sprejemajo dopolnila k pravilniku disciplinske komisije glede kršitev pravilnikov s strani uporabnikov informacijskega sistema;

- tretja stopnja prinaša temeljit popis premoženja, ki omogoča nadzor nad opremo informacijskega sistema in njeno sledljivost, predvsem pa določi odgovornost za elemente informacijskega sistema;

- četrta stopnja obravnava varnostno politiko glede na uporabnike sistema in določa postopke izobraževanja, seznanjanja in izvajanja izobraževanja uporabnikov informacijskega sistema ter postopke odobritve dostopa do storitev informacijskega sistema; nanaša se tudi na sprejemanje novih sodelavcev – tako uporabnikov kot tudi neuporabnikov informacijskega sistema;

- peta stopnja natančneje obravnava fizično varnost gradnikov informacijskega sistema in varnost samega okolja organizacije; predvideva vpeljevanje splošnih kontrolnih mehanizmov ter med drugim obravnava obseg fizične varnosti, glede na varnost opreme pa tudi fizične vstopne kontrole, posebej obdela varnost sob za obdelavo podatkov in sob s ključnimi gradniki informacijskega sistema; v teh fazi se izdelajo tudi ocene tveganj, ki so podlaga za uvedbo dodatnih varnostnih ukrepov;

- šesto področje obravnava varnost računalniškega omrežja in računalnikov, ki so nanj priključeni; z varno in pravilno uporabo informacijskega sistema, bi naj dosegli naslednje cilje: varno in pravilno delovanje, minimiranje možnih izpadov informacijskega sistema, zagotavljanje integritete programske opreme in informacij, ohranjanje integritete in dostopnost celotnega informacijskega sistema

- 19 -

ter komunikacije, zagotavljanje varnosti informacij v računalniškem omrežju in varovanju podporne infrastrukture, zagotavljanje varnosti podatkov pomembnih za poslovanje in varovanje poslovnega procesa, preprečevanje izgub, sprememb in zlorab informacij, katere se izmenjujejo med organizacijami;

- sedma stopnja obravnava nadzorovanje dostopa v informacijski sistem s ciljem preprečiti interno ali zunanjo zlorabo; določa postopke registracije, dodeljevanja gesel in dolžnosti uporabnikov, poleg tega pa tudi nadzorovanje dostopa v računalniško omrežje, dostop do posameznih računalnikov, aplikacijske opreme in sistema kot celote;

- osma stopnja obravnava razvoj in vzdrževanje informacijskega sistema, saj posebej obdela varnostne zahteve sistemov, varovanje aplikacijskih sistemov in njihovih datotek ter varovanje razvojnega in pomožnih okolij;

- deveta stopnja priporoča razvoj ukrepov v primeru prekinitve poslovnega procesa in hkrati varovanje pomembni področij informacijskega sistema v primeru večjih napak ali izpadov;

- deseto poglavje organizacijam nakazuje, naj preverijo, če so smernice ISO 17799 v sladu z drugimi pravnimi določili; to področje poudarja preverjanje pravilnosti varnostnih smernic, saj lahko podjetja le tako dosežejo najvišjo možno stopnjo varnosti.

Organizacije s certifikatom ISO 17799 lahko imajo konkurenčne prednosti pred drugimi podjetjih pri pridobivanju poslov, saj z njim podjetje dokaže, da ima vpeljane mehanizme, ki jamčijo za zaupno in skrbno obdelavo podatkov, kar je še posebej pomembno za uporabnike internetnega bančništva. Podjetja s certifikatom ISO 17799 zagotavljajo še:

- varno sodelovanje in elektronsko poslovanje; - visoko varnost poslovanja; - bolj efektivno varnostno planiranje in vzdrževanje; - višje temeljno zaupanje strank; - natančnejše in zanesljivejše varnostne kontrole; - manjšo dovzetnost za nepravilnosti.

2.5 Sklepne misli Pred desetletji so se bančne storitve opravljale le z neposredno interakcijo med porabnikom in ponudnikom. Tako ljudje niso mogli dvigniti niti gotovine z računa, da bi se odpravili do najbližje poslovalnice in izgubljali čas s čakanjem v vrsti pred bančnim okencem. Z naglim razvojem informacijske tehnologije pa so se začeli odpirati novi distribucijski kanali, ki so bankam omogočili izvajanje storitev tudi brez osebnega stika s komitentom. Elektronsko bančništvo prinaša tako bankam kot tudi uporabnikom bančnih storitev določene koristi oz. prednosti. Vsaka novost pa prinese tudi slabosti, ki pa jih je v tem primeru neprimerno manj, pa še nekatere izmed njih z naglim razvojem in izpopolnjevanjem elektronskega bančništva izginjajo. Izmed različnih oblik elektronskega bančništva, predstavlja internetno bančništvo gonilno silo elektronskega bančništva in je segment, pri katerem so programske in vsebinske rešitve najbolj dodelane. Storitve vseh ostalih vrst elektronskega bančništva pa se zrcalijo v storitvah internetnega bančništva.

- 20 -

3 TVEGANJE PRI INTERNETNEM BANČNIŠTVU Prvi pomislek tako uporabnikov kot tudi ponudnikov internetnega bančništva je varnost oz. zaščita podatkov. Kolikšno je tveganje, da nam pri uporabi internetnega bančništva nekdo vdre v naš elektronski bančni račun? Ali se lahko zgodi, da je številka naše kreditne kartice razkrita nepooblaščenimi osebam? To so le redka vprašanja, na katera potrebujemo jasen odgovor. Prav tako pa se moramo zavedati, da lahko, zaradi povezanosti sistemov, vdor v bančni informacijski sistem pusti katastrofalne ali celo nepopravljive posledice, ki bistveno presegajo razsežnosti navadnega bančnega ropa. Internet vsiljivcem in drugim nepridipravom ponuja kar nekaj možnosti, da izmenjavo informaciji prikrojijo svojim interesom in tako ogrožajo poslovanje preko tega medija. Pri ogrožanju dostopnosti informacijskih sistemov napadalec obremeni informacijski sistem preko njegovih zmogljivosti. V najboljšem primeru je sistem neodziven za čas trajanja napada, v najslabšem pa napadu podleže. Zaupnost je lahko ogrožena, če vsiljivec prestreže sporočilo, ki ga je pošiljatelj poslal naslovniku, in se dokoplje do njegove vsebine. Ogroziti je mogoče tudi verodostojnost, saj se lahko nepridiprav izdaja za nekoga drugega in v njegovem imenu posreduje sporočilo ter tako zavaja naslovnika. Vidimo lahko, da je varnost in zaupnost podatkov pri internetnem bančništvu izjemnega pomena, zato se temu področju upravičeno posveča veliko pozornosti. Vendar pa morata za varnosti skrbeti tako uporabnik sam kakor tudi ponudniki elektronskega bančništva – torej banke. V nadaljevanju poglavja bomo naprej poskušali ugotoviti, kakšne grožnje in nevarnosti čakajo uporabnike tovrstnega bančništva, nato pa bomo nekoliko podrobneje pogledali tveganja, ki jih internetno bančništvo prinaša komitentom in bankam. Ker pa lahko sam uporabnik veliko pripomore k zmanjšanju tveganja, bomo na koncu poglavja na kratko povzeli kaj vse lahko uporabnik sam stori za zmanjšanje tveganja in izboljšanje varnosti. 3.1 Nevarnosti pri uporabni internetnega bančništva Z razvojem elektronskega poslovanja, v okvir katerega sodi tudi internetno bančništvo, je globalna značilnost digitalnih in omrežnih tehnologij pospešila izmenjavo informacij, olajšala dostop, obdelavo in shranjevanje podatkov. Največkrat poteka posredovanje podatkov preko interneta, kar povečuje možnost zlorabe zbranih podatkov (Perše 2000, 11). Osrednja točka varovanja pri internetnem bančništvu so torej viri in njihova vrednost. Lokalni sistemi in viri, ki so dostopni skozi javno omrežje, morajo biti zaščiteni pred uničenjem in nepooblaščeno uporabo. Zaupne informacije je treba zaščititi pred razkritjem, podatke pri prenosu ali med hranjenjem pa pred nepooblaščenimi spremembami. Uporabniki storitev internetnega bančništva pričakujejo, da bodo storitve stalno prisotne in na voljo, zato je treba zagotoviti tudi razpoložljivost in stabilnost teh storitev. Nevarnosti, da stvari pri uporabi internetnega bančništva ne bodo potekale tako kot bi morale je več. Nekatere so rezultat namenskega delovanja (npr. napadi hekerjev), spet druge so rezultat nezanesljive programske ali strojne opreme. V splošnem pa jih lahko strnemo v naslednje skupine:

- 21 -

- neosveščenost uporabnika: uporabnik si zapiše gesla na papir, ki je prilepljen na rob zaslona, hkrati pa tudi ne skrbi za varnost svoje zaščitne kartice – nepooblaščenim osebam se tako kar ponuja možnost za zlorabo;

- nezanesljiva strojna oprema: občasno se zgodi, da kakšen del strojne opreme odpove in ogrozi delovanje celotnega sistema (najpomembnejši del strojne opreme so bančni strežniki in njihovi trdi diski, saj morajo delovati neprekinjeno brezhibno, zato se za vsak slučaj vedno naredijo varnostne kopije podatkov, da se lahko v primeru izgube vzpostavi prvotno stanje);

- nezanesljiva programska oprema: nekateri uporabniki imajo računalnike starejše izdelave in pogosto uporabljajo tudi starejšo programsko opremo, ki ne podpira vseh modernih varnostnih standardov; posebej je to očitno pri internetnih brkljalnikih, kjer mnogo starejši programi ne podpirajo dovolj visoke stopnje kriptografije za zaščito pred današnjimi močnimi računalniki;

- storilci računalniškega kriminala; - nevarnosti, ki jih prinaša sama uporaba interneta.

V nadaljevanju bomo nekoliko podrobneje predstavili storilce računalniškega kriminala ter nevarnosti in grožnje, ki jih prinaša sama uporaba interneta.

3.1.1 Storilci računalniškega kriminala Učinki groženj so lahko namerni ali nenamerni ter lahko delujejo pasivno ali aktivno. Subjekt lahko namerno povzroči škodo zaradi svoje nesposobnosti ali pa iz škodoželjnosti, zaradi pričakovanih finančnih koristi ali zgolj zaradi publicitete. Najpogostejši napadi oz. načini realizacije grožen v javnih omrežjih so (Jerman-Blažič 2001, str. 100):

- prisluškovanje komunikacijskemu kanalu in prestrezanje informacij; - ponarejanje informacij; - pretvarjanje; - nepooblaščena uporaba virov; - nepooblaščeno razkritje informacij; - zanikanje sodelovanja pri določenih dejavnostih; - onemogočanje dela oz. uporabe virov; - analiza prometa.

Storilci tovrstnih napadov so najpogosteje programerji, uradniki, študenti, managerji, sistemski analitiki, operaterji in drugi uporabniki informacijskih sistemov. Razvrstimo jih lahko v tri skupine:

- zaposleni v institucijah; - storilci izven institucij (krekerji); - računalniški zagnanci (hekerji).

Statistika dokazuje, da več kot polovico nedovoljenih dostopov do podatkov zagrešijo uslužbenci v podjetju. Dogaja se, da je večina varnosti namenjena zunanjim grožnjam, medtem ko na notranje napade vse pogosto pozabljajo. Zaposleni v institucijah poznajo način poslovanja in imajo dostop do informacijskih sistemov, ki jih nepooblaščeno izkoriščajo za svoja nelegalna dejanja. Storilcem izven institucije je težje, ker morajo prodreti v informacijski sitem, za katerega ne vedo, kako deluje.

- 22 -

Za računalniške zanesenjake (hekerje) je značilno, da jih v računalniški kriminal ne vodi osebna korist ali škoda, ki jo povzročijo, ampak gre pri njih za intelektualni izziv. Pojem heker se pogosto zamenjuje s pojmom kreker in oba se pogosto pojavljata kot glavna akterja pri zlorabah interneta. Glavna razlika med njima je, da hekerja definiramo kot osebo, ki pogosto dokazuje svoje sposobnosti, moč in dovršenost ter odkriva luknje v računalniških sistemih iz različnih vzrokov. Hekerji tako nenehno težijo k iskanju novega znanja, k dokazovanju svojih sposobnosti, svoje znanje pogosto delijo z drugimi. Pri vsem tem pa ne uničujejo in si ne prilaščajo oz. koristijo podatkov, ki bi lahko škodili ostalim udeležencem na internetu. Hekerji so po večini strokovnjaki s področja programskega jezika in računalniških sistemov. Vendar pa jih ljudje pogosto ocenjujejo kot negativne osebe, ki nezakonito vdirajo v sisteme, zato jih nekateri delijo na »white-hat« in »black-hat«, glede na njihov motiv (Turban 2003, 393). Čeprav hekerji navadno nimajo namena napraviti resne škode, pa so posledice tovrstnega napada za podjetje velike. V primeru, da gre za napad na bančni informacijski sistem, kjer je izjemnega pomena zaupanje komitentov, povzroči že sam vdor v sistem veliko izgubo zaupanja. Banka mora nameniti veliko sredstev za ponovno vzpostavitev zaupanja v njen informacijski sistem (Braun 2003). Krekerja lahko prav tako definiramo kot osebo, ki vdira v računalniška omrežja, vendar ne z namenom iskanja novega znanja, temveč z namenov povzročati težave svojim »tarčam«, uničiti sistem ali izvajati nezakonite aktivnosti, kot sta kraja in vandalizem. Večinoma so to bivši zaposleni podjetij, npr. bank, ki se hočejo maščevati. Nevarni so predvsem zato, ker poznajo šibke točke napadenih informacijskih sistemov (Turban 2003, 394).

3.1.2 Nevarnosti in grožnje z interneta Določene nevarnosti in tveganja prinaša že sama uporaba interneta. Zlonamerna programska oprema, ki se prenaša po internetu, je način vandalizma ali sabotaže, ki ima osnovni namen povzročanje škode, izgube ali vohunjenje. Glede na način ločimo različne skupine tovrstnih programov, prevladujoče skupine (in tiste, ki najbolj ogrožajo internetno bančništvo) pa so (Pečenko 2002, 62):

- virusi; - trojanski konji; - črvi; - kombinirani virusi (ki imajo lastnost klasičnega virusa, črva in trojanskega konja).

Računalniški virusi so najbolj znana skupina zlonamerne programske opreme, ki se hitro širijo, prav tako pa se redno pojavljajo novi. Nekoč so se virusi širili s pomočjo prenosnih medijev, danes pa se razmnožujejo predvsem s priponami e-pošte in preko datotek, dobljenih na internetu kakor tudi z uporabo nelegalnih računalniških programov. Obstajajo različne vrste virusov. Nekateri povzročajo le nezaželeno odpiranje kakšnega programa. V primeru, da se okuži bančni strežnik in izbriše ali zamenja podatke o komitentih je škoda neprimerljivo večja. Še huje je, če začne računalnik zaupne podatke pošiljati preko elektronske pošte. Nekateri virusi so narejeni tako, da sprožijo svoje uničujoče aktivnosti ob določenem času (časovne bombe) ali ko je izpolnjen določen pogoj (logične bombe) (Steinmaurer 2003, 4).

- 23 -

Trojanski konj je računalniški program, ki vsebuje skrite ukaze in se izvršuje v primeru, ko je izpolnjen določen pogoje. Običajno se tovrstni programi sami ne razmnožujejo, poškodujejo ali uničujejo pa lahko le podatke na trdem disku. Prav tako omogočajo nadzor okuženega računalnika na daljavo, preko interneta (Metaling 2003). Večinoma ne izkoriščajo ranljivosti sistema, ampak prevarajo uporabnika, ki mu ponudijo kakšno zanimivost, v ozadju pa počno druge nedovoljene stvari (npr. ko je v obdelavi zapis z določenim bančnim računom, pride do nepričakovanih posledic, ki lahko ostanejo skrite in jih napadalec počne v ozadju v imenu uporabnika). Širijo se preko elektronske pošte ali pa so priključeni programom, dobljenih na internetu. Dokler ga ne zaženemo je nenevaren in ga lahko enostavno zbrišemo. V nekaterih primerih namestitve bo program sprva neaktiven, aktiviral pa se bo šele pri uporabi internetnega bančništva. Prednost trojanskega konja je, da lahko v operacijskem sistemu nemoteno deluje, saj ga je uporabnik legalno namestil (Ključavšek 2002, 80). Za razliko od virusov črvi ne potrebujejo gostiteljskega programa, prav tako jim ni treba ročno pomagati, saj se znajo širiti kar sami. Prenašajo se preko elektronske pošte, tako da samodejno izdelajo svoje kopije in jih pošljejo na vse naslove v imeniku, kar pomeni, da za širjenje izkoriščajo obstoječe povezave med računalniki. Ker je danes večina računalnikov povezanih v omrežje, kot je internet, se lahko preko omrežja v zelo kratkem času okuži ogromno računalnikov. Prav tako se razmnožujejo relativno enostavno, saj prejemnik elektronske pošte pošiljatelja sporočila pozna in ni tako previden kot bi bil, če ga ne bi poznal (Steinmaurer 2003, 4). Črv lahko zaganja tudi druge programe in razpošilja dokumente iz okuženega računalnika. Sam po sebi ne spreminja datotek ali sektorjev na trdem disku, lahko pa vsebuje trojanskega konja, ki ob okužbi omogoči oddaljen dostop do okuženega računalnika preko interneta. Črvi se razmnožujejo precej nenadzorovano, zato lahko močno obremenijo internet omrežje, lahko pa razpošiljajo tudi zaupne informacije iz okuženega računalnika (Metaling 2003). 3.2 Tveganja internetnega bančništva za banke Banke se ponavadi zavedajo tveganj, ki izhajajo iz elektronskega bančništva, zato je podpora varnostni politiki dokaj močna. Tako banke uporabljajo kombinacije najsodobnejših tehnologij za zaščito podatkov komitentov. Prav tako mora biti strežniški del nenehno pod nadzorom, potrebno ga je vzdrževati in posodabljati. Varnost sistema je treba brezkompromisno preverjati na vse možne načine. Nenazadnje banke k temu silijo tudi različne zakonske podlage in nadzorni organi. Tako se tudi nadzorni organi zadnje čase usmerjajo v ugotavljanje usposobljenosti operativnih tveganj in z njimi posledično povezanih tveganj izgube tržnega deleža, ugleda in ostalih tradicionalnih bančnih tveganj. Med operativnimi tveganju, ki jih povezujemo z uvedbo in uporabo informacijske tehnologije, so najbolj izpostavljena (Banka Slovenije, 2003b):

- tveganja varnosti in nedotakljivosti zaupnih podatkov; - tveganja zagotavljanja ustreznega nivoja razpoložljivosti (24/7, odzivni čas); - tveganja informacijske infrastrukture (pomanjkljivosti novih znanj); - tveganja prenov informacijskih sistemov; - tveganja neizvajanja revizije in kontrole za nova področja; - tveganja oddaje del (uporabe zunanjih izvajalcev – razvoj programske opreme,

ponudniki interneta, SWIFT poslovanje, celotno izvajanje posameznih podpor); - tveganja neustreznega obvladovanja sprememb (planiranje, spremljanje,

ukrepanje).

- 24 -

3.3 Tveganja za uporabnika internetnega bančništva Največkrat je mesto možne zlorabe prav uporabnik sam. To mesto je najšibkejše, saj morajo uporabniki za dobro varnost skrbeti ves čas, a so le redki tako ozaveščeni in dobro organizirani. Ta skrb ni nič posebnega, le v povezavi z računalnikom jih večina uporabnikov ni navajenih. V spodnji tabeli so prikazane ranljivosti, grožnje in sestavljena tveganja, ki so jim izpostavljeni uporabniki pri uporabi internetnega bančništva. Tabela 1: Nekatere vrste tveganja za uporabnika internetnega bančništva.

Predmet varovanja Ranljivost Grožnja Zaščita Preostalo

tveganje Kaj še lahko storimo?

Sredstva na računu uporabnika

Dostop prek internetnega kanala

Nepooblaščen (vendar sledljiv) prenos sredstev

Statično geslo za vstop Visoko Takoj ko uvedemo nadzor nad dostopom je mogoče ločiti pooblaščene in nepooblaščene uporabnike, to pa je osnova za pravno obravnavo

Statično geslo Pot po nešifriranem kanalu

Prestrezanje gesla

Uporabe šifrirne povezave preprečuje razkritje gesla v omrežju

Srednje




Generatorji enkratnih gesel – šifrirana povezava

Nizko Avtentikacija na podlagi javnih in zasebnih ključev (npr. z digitalnimi potrdili – certifikati)

Generator enkratnih gesel

Prenosljivost generatorja

Kraja PIN-koda za dostop do generatorja, omejeno število napačnih poskusov

Zelo nizko

Pazljivost uporabnika




Prijava za vstop z digitalnim potrdilom (brez gesla), šifrirna povezava

Visoko

Zasebni ključ Dostopnost zasebnega ključa brez posebnega gesla

Razkritje – kraja ključa in uporaba druge lokacije

Geslo za dostop do zasebnega ključa

Nizko Varovanje celovitosti računalnika, hramba potrdil na pametni kartici

Zasebni ključ Dostopnost zasebnega ključa brez posebnega gesla

Nepooblaščena uporaba ključa iz uporabnikovega računalnika

Geslo za dostop do zasebnega ključa

Nizko Varovanje celovitosti računalnika


Dostopnost prek internetnega kanala


Hramba digitalnih potrdil na kartici, kartica zaščitena s PIN-kodo, omejeno število poskusov PIN + šifrirna povezava

Nizko

Zasebni ključ na pametni kartici

Dostopnost ključa po enkratnem vnosu PIN-kode

Nepooblaščena prikrita uporaba ključa s strani druge aplikacije

Izvlečenje kartice iz čitalnika po vsakem vnosu PIN-kode

Zelo nizko

Varovanje celovitosti računalnika




Potrjevanje transakcij po neodvisnem kanalu (GSM) + ena od zgornjim metod prepoznave, digitalni podpis transakcij + ena od zgornjih metod prepoznave

Zelo nizko

Vir: Ključavšek 2002, str. 80 Vidimo lahko, da predstavlja za uporabnika internetnega bančništva največje tveganje prav on sam oz. njegovo ravnanje. Veliko uporabnikov sploh ne ve, kje so nevarnosti in na kaj morajo biti pozorni. Zato v nadaljevanju navajamo nekaj preprostih ukrepov, s katerimi lahko uporabnik sam veliko stori za varnost svojih podatkov in denarja.

- 25 -

3.3.1 Ukrepi uporabnika za izboljšanje varnosti1

V svetu internetnega bančništva prežijo na uporabnike in ponudnike bančnih storitev drugačne nevarnosti kot v klasičnem poslovanju, zato so potrebni tudi drugačni varnostni ukrepi in orodja. Za zagotovitev varnosti imamo na voljo različne kombinacije programske in strojne opreme ter fizično varovanje. Njihova izbira je določena z varnostno politiko in je odvisna predvsem od stopnje zahtevane zaščite in oblike sistema. Za inernetno bančništvo in z njim povezane transakcije, ki potekajo preko interneta, je varnost temeljni predpogoj. Z uporabo zdrave pameti in z varovanjem računalnika pred nepooblaščenimi vdori ter prilogami lahko uživamo v zasebnosti in privilegijih, ki jih ponuja internet. Tveganja lahko zmanjšamo, če upoštevamo naslednje korake:

1. Ocenitev tveganja Vse, kar se na internetu skriva, lahko nezaželeno vpliva na našo zasebnost in varnost računalnika, zato je treba oceniti verjetnost, da nas bo nevarnost prizadela, in stopnje tveganja, ki smo jih pripravljeni sprejeti. V ta namen odgovorimo na naslednja vprašanja:

o kdo uporablja računalnik (ali imajo otroci oz. najstniki nenadzorovan dostop do računalnika; ali ga uporabljajo obiskovalci, prijatelji);

o kako se povežemo z internetom; o kaj delajo na internetu ljudje, ki uporabljajo računalnik (opravljanje bančnih

storitev, nakupovanje, pošiljanje in prejemanje elektronske pošte, obiskovanje klepetalnic, igranje iger, prenašanje brezplačnih datotek,…).

2. Uporaba protivirusne programske opreme

Svoje datoteke in elektronsko pošto moramo zaščiti ter posodabljati svojo protivirusno programsko opremo. Poleg množice obstoječih virusov, se vsak dan pojavljajo novi. Večina se jih prenaša po elektronski pošti, ki vsebujejo priloge z glasbo ali slikami oz. so v obliki voščilnic.

3. Redno posodabljanje programske opreme

Če izvajamo le en ukrep za ohranjanje varnosti svojega računalnika, vedno izkoristimo prednosti, ki jih ponujajo posodobitve programske opreme. Posodobitve – znane kot popravki, servisni paketi in varnostni paketi – izboljšujejo zaščito računalnika in osebnih podatkov. Posodobitve odpravljajo luknje, ki jih je mogoče izkoristiti, ali vpeljujejo dodatne varnostne funkcije. Moderni programski sistemi so plod izredno zahtevnega inženiringa. Ker jih izdelujejo človeške roke, niso popolni. Take luknje oz. pomanjkljivosti včasih izkoristijo zlonamerni računalniški zanesenjaki. V drugih primerih varnostne težave nastopijo, ker izvajalci programske opreme ne predvidijo možnosti, da utegne nekdo določeno funkcijo uporabiti za zlonamerna dejanja. Odgovorni proizvajalci programske opreme so v nenehni pripravljenosti in ko najdejo varnostno luknjo oz. hibo v svojih izdelkih, ustvarijo in objavijo programske popravke, ki ponovno vzpostavijo pričakovano delovanje.

1 Povzeto po: Microsoft Slovenija 2005.

- 26 -

4. Preveritev varnostne nastavitve Več funkcij in funkcionalnosti omogočimo v računalniku, povezanim z internetom, bolj smo izpostavljeni nevarnostim. Čim bolj omejujoče so naše nastavitve, manj lahko izkusimo v spletu. Obstajajo nastavitve in programska oprema, ki določajo, kako bo program opravljal določena opravila, npr. ali bo dovolil ali blokiral prenose, ogledovanje spletnih mest ali sprejemanje piškotkov2. Nastavitve za zasebnost in varnost lahko spremenimo in prilagodimo želeni ravni zaščite.

5. Požarni zid (angl. »firewall«)

Med računalnikom in internetom lahko postavimo pomembno plast zaščite tako, da uporabimo sistem požarnega zidu. Morebitni napadalci preiščejo računalnik v internetu, da bi našli vrata, skozi katera bi lahko vdrli v računalnik. Požarni zid preprečuje nepooblaščeno vstopanje v računalnik, omejuje pa tudi promet iz računalnika. Danes je požarni zid najpomembnejši del računalniške opreme izmed protivirusne zaščite. Če smo v internet povezani s stalno povezavo, je požarni zdi nujnost. Pomemben pa je tudi za občasne obiskovalce interneta, ki uporabljajo klicni dostop. Izdelani so lahko kot strojna ali programska oprema, najpogosteje pa kot kombinacija obojega. Požarni zid praviloma ločuje notranje, krajevno omrežje računalnikov in zunanje, prostrano omrežje (internet) (Monitor 2004, 72).

6. Gesla

Pri internetnem bančništvu se z gesli srečujemo na vsakem koraku. Predstavljajo najenostavnejši način identifikacije uporabnika. Iz sledečih razlogov varovanje z gesli uvrščamo med šibko zaščito:

o uporabniki si večinoma izbirajo gesla, ki si jih je lažje zapomniti; takšna gesla pa je tudi lažje razkriti;

o pri identifikaciji razkrijemo svoje geslo in s tem omogočimo naslovniku, da se izdaja pod našim imenom;

o gesla se ponavadi prenašajo v nešifrirani obliki in so tako lahka tarča napadalcev.

Zaradi navedenih razlogov šibko overjanje s pomočjo gesel ni primerno za preverjanje identitete v internetnem bančništvu. Pomembno je, da uporabnik uporabi neprepoznavna oz. močna gesla, skrbno upravlja svoje geslo in nadzira svoje račune.

7. Opravljanje rutinskih varnostnih pregledov

Tudi računalnik potrebuje redno vzdrževanje in varovanje zasebnosti. Če bomo varnosti vsak teden namenili nekaj minut, si lahko pridobimo nove navade, s katerimi bomo ohranili svojo varnost.

3.4 Sklepne misli Internet je za vse njegove uporabnike prinesel veliko prednosti in koristi. Vendar pa ne smemo pozabiti, da je s tem prinesel tudi veliko nevarnosti in tveganj, ki prežijo na uporabnike. Nekatere so posledice nezanesljive programske in strojne opreme, druge neosveščenosti samega uporabnika. Veliko pa je tudi takšnih, ki so posledica zlonamernih ravnanj storilcev računalniškega kriminala in različnih zlonamerne programske opreme. Zato je pomembno, da se, tako banke kot tudi komitenti, zavedajo teh nevarnosti in skušajo z svojim ravnanjem tveganja čimbolj zmanjšat.

2 Piškotki (angl. »Cookies«) so majhne besedilne datoteke, ki jih nekatera spletna mesta ustvarijo, kadar jih obiščemo, in vanje zapišejo informacije o našem računalniku.

- 27 -

4 SISTEMI IN TEHNOLOGIJE ZA ZAGOTAVLJANJE VARNOSTI, ZAUPNOSTI IN ZAŠČITO PODATKOV Vstop v elektronsko bančništvo, ki ni dovolj skrbno premišljen in pripravljen, je lahko tvegano dejanje. Pri uvajanju elektronskega bančništva se je potrebno zavedati vseh pasti, ki lahko pripeljejo do hudih izgub tako za banko kot tudi za njene komitente. S širjenjem interneta žal narašča tudi število nepoštenih zamisli v glavah sodobnih prevarantov. Osrednji cilj elektronskega bančništva je zato zagotavljanje zaščite vsem, ki izvajajo bančne transakcije prek javnih komunikacijskih medijev. Celovitost zaščite pomeni, da so podatki, ki se pretakajo po internetu, tajni in jih lahko prebere le tisti, kateremu so namenjeni. To je izvedeno s šifriranjem pri pošiljatelju in dešifriranjem pri naslovniku. Nadalje pa je potrebno še ugotavljanje verodostojnosti podatkov, preverjanje avtentičnosti izvora podatkov in digitalno podpisovanje. Varnost računalniških sistemov je kompleksno področje, pri zagotovitvi varnosti prenosa informacij pa je potrebno zagotoviti varnostne aplikacije, ki morajo zagotoviti določne lastnosti. Pri uvajanju varnostnih rešitev moramo paziti, da te rešitve ne otežujejo uporabe storitev in da izpolnjujejo določene kriterije. Predvsem morajo biti cenovno optimalne, enostavno razširljive, nezaznavne za končnega uporabnika, hkrati pa morajo biti take, da nadaljnje odpiranje omrežij in njihovo medsebojno povezovanje ne ogroža varnosti zasebnega dela omrežja. Pri izbiri rešitev je vedno treba tehtati med udobnostjo in varnostjo uporabe storitve. Večja kot je varnost, manjša je udobnost opravljanja storitev in obratno. Za zagotovitev varnosti prenosa informacij se je potrebno držati tudi ustreznih varnostnih zahtev, ki so povezane z uporabo interneta. Najprej je potrebno overjanje subjektov, s katerimi komuniciramo, in izvora podatkov. Potem moramo zagotoviti zaupnost občutljivih informacij in neokrnjenost podatkov. Dosledno pa je treba opravljati tudi kontrolo dostopa do virov na omrežju (Idzig 1999, 66-67). 4.1 Elementi zagotavljanja varnosti Za zagotovitev varnosti so na voljo različne kombinacije programske in strojne opreme ter fizičnega varovanja. Varnostni ukrepi morajo biti postavljeni široko, saj je težko vnaprej predvideti smer napada. Obseg varnostih komponent pa je odvisen od zahtevane zaščite in oblike sistema. Varnostna politika je kompromis med stroški in tveganji. Sistem je varen, ko imajo napadalci večje stroške od koristi vdora v sistem. V bančnih krogih je ta problematika še toliko bolj pomembna in občutljiva, saj operirajo s finančnimi podatki svojih komitentov. Stroški vdora v bančni sistem lahko imajo za posledice vidne (prenos denarja, koristoljubnost, izguba komitentov, izguba poslov, zloraba podatkov, itd.) kot tudi nevidne (nezaupanje, zmanjšanje ugleda, itd.) posledice, ki pogosto rezultirajo posredno na vidne stroške (Kuščar 2002, 8). Osrednja točka varovanja pri internetnem bančništvu (in elektronskem bančništvu nasploh) so viri, ki imajo za lastnika določeno vrednost in zoper katere preti nevarnost. Za zagotavljanje varnega elektronskega bančništva morajo biti izpolnjeni vsi elementi varnosti, ki jih v elektronskem poslovanju označimo z naslednjimi pojmi, imenovanimi varnostne storitve (Jerman-Blažič 2001, 101):

- overjanje: vsak mora imeti možnost preveriti identiteto subjektov, s katerimi komunicira, in izvor podatkov;

- 28 -

- zaupnost: zaupnost sporočila (podatkov) preprečuje njegovo nepooblaščeno razkritje (razkritje sporočila, ki potuje preko omrežja, lahko povzroči hude posledice, zato je edina rešitev, da tako sporočilo potuje preko omrežja v šifrirani obliki);

- neokrnjenost: neokrnjenost sporočila preprečuje njegovo nepooblaščeno spremembo ali uničenje (sporočilo, ki potuje preko omrežja, ne sme biti spremenjeno s strani tretje osebe, kar zagotovimo z digitalnim podpisom);

- nadzor dostopa: ukrep za varnost vsakega sistema v omrežju je ustrezno filtriranje, ki ustavi vse tiste, ki dejansko nimajo kaj iskati v varovanem delu omrežja (preverjajo se naslovi, od koder sporočilo prihaja ali kamor je namenjeno, njihova vsebina, dostop je omogočen samo pooblaščenim uporabnikom);

- avtentikacija: zagotavlja prejemniku, da je sporočilo poslal točno določen pošiljatelj in ne morda kdo drug, ki bi se zanj izdajal, ter da je sporočilo pristno oz. ni ponarejeno (avtentikacijo omogočajo digitalni podpis in elektronski notarji z digitalnimi certifikati);

- avtorizacija: tukaj gre za nadzor dostopa do določenih informacij (komitent, ki uveljavlja dostop do informacij, se mora identificirati, da je res subjekt, ki ima pravico do teh podatkov – običajno se kot sredstvo za avtorizacijo uporablja geslo v kombinaciji z uporabniškim imenom);

- preprečevanje zanikanja: preprečuje nepriznavanje katerega izmed udeležencev komunikacije, da je sodeloval v komunikaciji (digitalni podpis je tisti, ki onemogoča zanikanje vsebine poslanega sporočila).

Za zagotovitev omenjenih varnostih storitev so na voljo različne metode. Njihova izbira je odvisna od zahtevanih varnostnih storitev, stopnje zaščite in oblike sistema. V nadaljevanju bomo predstavili nekatere izmed glavnih sistemov in tehnologij za zagotavljanje varnosti, zaupnosti in zaščite podatkov. 4.2 Kriptografija (šifriranje) Kriptologija je veda o šifriranju oz. zakrivanju sporočil. Njen osnovni namen je zaščititi zaupne podatke pred nepooblaščenimi dostopi in ponarejanjem. Sporočilo se po nekem postopku – algoritmu spremeni v kodirano sporočilo, pri tem pa se za parametre algoritma uporabi določena vrednost, ki ji pravimo ključ. Osebi, ki si želita izmenjati šifrirana sporočila, se morata zato naprej dogovoriti o algoritmu in ključu (Poslovni SKB Net – Varnost 2002). V grobem ločimo dve vrsti kriptografskih sistemov:

- simetrične (kriptografija z zasebnim ključem) in - asimetrične (kriptografija s parom ključev).

4.2.1 Simetrična kriptografija Sprva se je uporabljala simetrična kriptografija (slika 3), ki temelji na tem, da se pošiljatelj in naslovnik dogovorita za algoritem in en sam skupen ključ, s katerim se sporočila šifrirajo (enkripcija) oz. dešifrirajo (dekripcija). Vsak par naslovnikov in pošiljateljev ima svoj tajni ključ. Če se torej sporočila izmenjujejo z več osebami, mora vsaka od njih hraniti toliko tajnih ključev, kolikor je oseb, kar predstavlja problem, kako ključ varno posredovati

- 29 -

vsaki osebi. Zaradi tega sta običajno v rabi dva komunikacijska kanala (Jerman-Blažič 2001, 104):

- prvi, preko katerega se izmenjujejo šifrirana sporočila in - drugi, ki mora biti varnejši, za določitev tajnega ključa.

Slika 3: Simetrično šifriranje z enim samim ključem

ŠIFRIRANJE ŠIFRIRANO BESEDILO ODŠIFRIRANJE BESEDILO BESEDILO

Vir: NA 1999, 15. Poglavitna prednost simetrične kriptologije pred asimetrično je ta, da je veliko manj zahtevna glede procesorske moči, kar omogoča hitrejše šifriranje. Vendar pa lahko s takim šifriranjem dosežemo le zaupnost sporočila, ne moremo pa z uporabo teh tehnologij dokazati tudi izvora (Pipan 2002). Zaradi vseh slabosti simetrične kriptografije se je uveljavila asimetrična kriptografija.

4.2.2 Asimetrična kriptologija Asimetrična kriptologija ali kriptologija z javnimi ključi (slika 4), ki je stopila v uporabo v zadnjih desetletjih, temelji na ugotovitvi, da je možno ustvariti takšno kombinacijo ključev, da bo sporočilo, ki je bilo šifrirano s prvim, mogoče dešifrirati samo z drugim ključem in obratno. Zato vsakemu uporabniku dodelimo en tak par ključev in določimo, da je eden od njiju javen (znan vsem), drugi pa zaseben (znan samo uporabniku). Vsak, ki pozna javni ključ neke osebe, lahko tej osebi pošlje sporočilo, ki ga bo lahko dešifrirala le ona s svojim zasebnim ključem. Obratno lahko ta oseba vsem drugim pošlje sporočilo, ki ga zašifrira s svojim zasebnim ključem. Takšno sporočilo lahko vsi ostali dešifrirajo in preberejo, istočasno pa vedo, da ga ni mogel zašifrirati nihče drug kakor ta oseba, saj ima le ona dostop do svojega zasebnega ključa. Zaradi uporabe različnih ključev pri šifriranju in dešifriranju je asimetrična kriptografija zelo uporabna za dokazovanje izvora in celovitosti podatkov, pomembna lastnost asimetričnih algoritmov pa je tudi ta, da omogočajo izvedbo digitalnega podpisa (Jerman-Blažič 2001, 104).

- 30 -

Slika 4: Asimetrično šifriranje z dvema ključema

JAVNI KLJUČ ZASEBNI KLJUČ

BESEDILO ŠIFRIRANJE BESEDILO ODŠIFRIRANJE ŠIFRIRANO BESEDILO

Vir: NA 1999, 15. Na račun kompleksnejšega postopka ta algoritem ekstremno izboljša infrastrukturo, vendar je zato počasnejši od simetričnega. Ključa sta med sabo matematično povezana, zato ju ni potrebno izmenjavati. Pravzaprav se lahko oba ključa uporabita za enkriptiranje vsebine, pri čemer se drugi uporabi za dekripcijo. Enega od ključev tretiramo kot javni ključ (angl. »public key«), ki je dostopen vsem, a pripada le enemu posamezniku. Drugi ključ imenujemo tajni (angl. »secret, private key«), ki si ga lahko lasti samo oseba, kateri pripada in katera se z njim identificira (Perenič 2001). Danes najbolj razširjen način šifriranja je kombinirano šifriranje (slika 5), ki združuje prednosti obeh pristopov. Po tem postopku šifriramo dokumente po klasičnem simetričnem postopku. Ker je postopek šifriranja simetričen, naključno izbrani ključ asimetrično šifriramo z javnim ključem prejemnika in mu ga pošljemo skupaj s šifriranim dokumentom. Prejemnik najprej s svojih zasebnim ključem dešifrira simetrični ključ in šele s pomočjo tega ključa dešifrira dokument. Tako smo ohranili vse prednosti asimetričnega postopka in pridobili na hitrosti, ki je sedaj enaka klasičnim simetričnim postopkom (Jerman-Blažič 2001, 105).

- 31 -

Slika 5: Prikaz kombiniranega šifriranja

BESEDILO ŠIFRIRANO S SKRIVNIM KLJUČEM

SKRIVNI KLJUČ JE ŠIFRIRAN Z JAVNIM

KLJUČEM

Vir: NA 1998, 16. Kako varni so algoritmi za šifriranje, nam pove predpostavka, da najbolj znani in preizkušeni simetrični kriptografski algoritmi ne vsebujejo nikakršnih varnostnih lukenj, saj naj bi se napadalec lotil dešifriranja le tako, da preizkusi vse možne ključe (Jerman-Blažič 2001, 105). Za varnost je torej pomembno, da je velikost ključev čim večja, saj se na tak način poveča tudi število ključev, ki so na voljo za preizkušanje. 4.3 Digitalni podpis V elektronskem okolju je izviren dokument nemogoče ločiti od njegovih kopij, nima lastnoročnega podpisa in kot že ime pove, ni na papirju, temveč v elektronski obliki. Glede na to, da je relativno lahko prestreči in spremeniti podatke v elektronski obliki, je možnost zlorabe precejšnja. Zato so se razvile različne tehnologije, ki omogočajo, da z njihovo uporabo uporabnik doseže enake učinke, kot jih v klasičnem svetu doseže z lastnoročnim podpisom. Takim tehnologijam pravimo elektronski podpis. Osnovne naloge elektronskega podpisa se ne bi smele bistveno razlikovati od nalog, ki jih opravlja lastnoročni podpis. S podpisom identificiramo osebo – podpisnika, ter zanesljivo ugotovimo osebno sodelovanje podpisnika pri podpisovanju. Podpis povezuje podpisnika z vsebino podpisanega dokumenta. Poznamo več oblik elektronskega podpisovanja. Enostavne metode na podlagi simetričnih algoritmov, ne zagotavljajo visoke stopnje varnosti kot to omogočajo metode na podlagi asimetričnih ključev. Najvišjo stopnjo varnosti zagotavlja digitalni podpis, ki temelji na asimetrični kriptografiji (Jerman-Blažič 2001, 105). Da bi zagotovili istovetnost lastnoročnega podpisa z digitalnim podpisom, mora podpis zadostiti naslednjim zahtevam (Uvod v e-poslovanje 2002):

- avtentičnost; - podpisa se ne da ponarediti; - podpisa se ne da kopirati;

- 32 -

- podpisanega dokumenta se ne da spreminjati; - podpisa se ne da zanikati.

Digitalni podpis uporablja asimetrično šifriranje skupaj z zgostitvenimi funkcijami3, zasnovano na algoritmu, ki ustvari dva različna, vendar med seboj matematično povezana ključa. Torej, ko podpisnik določi obseg podatkov, ki jih želi podpisati, jih zgostitvena funkcija v podpisnikovi programski opremi preračuna v zgostitveno vrednost sporočila. Nato programska oprema to zgostitveno vrednost, z uporabo podpisnikovega zasebnega ključa, spremeni (šifrira) v digitalni podpis. Preverjanje digitalnega podpisa vključuje najprej izračun nove zgostitvene vrednosti prejetega sporočila z uporabo iste zgostivene funkcije, ki jo je uporabil podpisnik pri oblikovanju digitalnega podpisa, zatem pa z uporabo javnega ključa podpisnika iz digitalnega podpisa dešifriramo zgostitveneno vrednost, ki jo je izračunal podpisnik, ter preverimo ali se zgostitveni vrednosti ujemata. Če se ujemata, pomeni da je prejemnik dobil tak dokument, kot ga je pošiljatelj podpisal. Če sta različna, je dokument podpisal nekdo drug ali pa je bila vsebina dokumenta spremenjena. Bistvo poteka digitalnega podpisovanja (slika 6) je, da podpisujemo s svojim zasebnim ključem, podpis pa preverimo z javnim ključem podpisnika. Čeprav je uporaba šifriranja ena bistvenih lastnostni digitalnega podpisa, obstaja dejstvo, da je digitalni podpis namenjen dokazovanju pristnosti sporočila v elektronski obliki, ne pa tudi zagotavljanju zaupnosti sporočil (Uvod v e-poslovanje 2002). Slika 6: Prikaz podpisovanja elektronskih dokumentov

ZASEBNI KLJUČ JAVNI KLJUČ

PODPISANO BESEDILO

OVERJENO BESEDILO VERIFIKACIJA BESEDILO PODPIS

Vir: NA 1999, 19. 3 Zgostitvena funkcija (angl. »hash function«) je vrsta šifrirnih postopkov. Je matematični postopek, ki s pomočjo posebnega algoritma ustvari zgoščeno obliko izvirnega sporočila, ki ji lahko rečemo tudi povzetek sporočila ali zgostitvena vrednost sporočila. Zgostitvena vrednost je standardne dolžine, ki je tipično precej manjša od izvirnega sporočila, vendar je kljub temu edinstveno povezana s sporočilom (Uvod v e-poslovanje, 2002).

- 33 -

Za zanesljivo delovanje je ključnega pomena varovanje zasebnega ključa. Shranjevanje zasebnega ključa na disku računalnika je lahko tvegano, saj ga je možno brez težav prenesti na drug računalnik. Varnejši način predstavlja shranjevanje zasebnega ključa na pametni kartici, saj prenos ključa iz pametne kartice ni mogoč. Pametne kartici so zavarovane še z geslom, ki ga določi uporabnik sam, tako da tudi odtujitev kartice še ne omogoča ponarejanje podpisa (Jerman-Blažič 2001, 105). 4.4 Infrastruktura javnih ključev (PKI) Najpomembnejši korak pri uporabi asimetrične kriptografije je postopek overjanja javnih ključev, saj moramo biti za vsak ključ povsem prepričani, da res pripada njegovemu lastniku. Sistem, ki nam to overjanje omogoča, imenujemo infrastruktura javnih ključev. Infrastruktura javnih ključev (ang. »Public Key Infrastructure – PKI«) je kombinacija programske in strojne računalniške opreme ter politike in pravil certificiranja. Osnovna naloga PKI je omogočiti varno elektronsko poslovanje uporabnikom, ki se med seboj ne poznajo in želijo varno komunicirati. PKI temelji na digitalnih potrdilih, s katerimi potrdimo uporabnikov elektronski podpis in njegov javni ključ. PKI kot celoten sistem za asimetrično kriptografijo v elektronskem poslovanju lahko združuje naslednje subjekte in dokumente (Public Key Cryptography Infrastructure 2002):

- agencija za certificiranje (CA); - agencija za registracijo (ang. »Registration Authority – RA«); - politika certificiranja; - sistem distribucijskih certifikatov; - dokument o ravnanju s certifikati (ang. »Certification Practice Statement – CPS«).

Pomembne storitve PKI so (Public Key Cryptography Infrastructure 2002):

- generiranje, upravljanje, distribucija in hranjenje javnih ključev; - overjanje ključev in izdajanje digitalnih potrdil javnih ključev; - objavljanje digitalnih potrdil; - preklicevanje digitalnih potrdil; - časovna označitev postopkov.

Ključi se lahko uporabljajo za različne namene in v različnih okoljih (elektronsko bančništvo, državna uprava, medorganizacijsko poslovanje, itd.). Vsako okolje zahteva različno stopnjo varnosti in specifično strukturo PKI, zato ni pričakovati enotne PKI. 4.5 Digitalno potrdilo Digitalno potrdilo (angl. »Digital Certificate«) je sodobna alternativa klasičnim osebnim identifikatorjem (osebna ali zdravstvena izkaznica, potni list, bančna kartica,…), s specifičnim namenom – zagotavljanju varnega in legalnega elektronskega poslovanja. Digitalna potrdila so sestavni del tehnoloških rešitev, ki nudijo dve osnovni možnosti za zasebnost v elektronskem poslovanju in komuniciranju (Center vlade za informatiko 2005):

- šifriranje podatkov, kar zagotavlja zaupnost, in - digitalni podpis, ki predstavlja sodobno alternativo klasičnemu podpisu in

zagotavlja: ⋅ identiteto imetnika digitalnega potrdila;

- 34 -

⋅ nezatajljivost lastništva poslanih elektronskih podatkov in ⋅ celovitost (integriteto) sporočila, kar pomeni da podatkov ni mogoče

spremeniti ali drugače popraviti brez (vednosti) podpisnika. Digitalno potrdilo je digitalno podpisan računalniški zapis, ki vsebuje naslednje podatke:

- različico formata; - številčno oznako certifikata v okviru izdanih certifikatov posameznega overitelja ali

agencije (npr. zaporedna številka); - identifikator algoritma, s katerim je bil narejen digitalni podpis certifikata; - razločevalno ime agencije, ki je izdala certifikat; - obdobje veljavnosti certifikata; - razločevalno ime lastnika javnega ključa; - javni ključ in identifikator algoritma, v katerem se ključ uporablja; - neobvezni polji, ki omogočata ponovno uporabo že dodeljenih razločevalnih imen

overitelja in lastnika javnega ključa; - neobvezne rešitve, ki vsebujejo dodatne informacije o javnem ključu in politiki

certificianja, raznih omejitvah ipd. Overjanje javnih ključev je temeljni pogoj za uporabo varnostih mehanizmov, ki temeljijo na asimetrični kriptografiji. Preverjanje povezave med uporabnikom in njegovim ključem v elektronskem poslovanju omogočajo posebne ustanove, imenovane overitelji javnih ključev (Agencija za certificiranje – CA), ki so odgovorne za izdajo, objavo in preklic digitalnih potrdil. CA izda lastniku javnega ključa digitalno podpisano potrdilo, s katerim zagotavlja drugim uporabnikom verodostojnost ključa. Pri uporabi javnega ključa moramo najprej preveriti veljavnost digitalnega potrdila ter ostale podatkovne zapise v njem. Če digitalno potrdilo od časa izdaje ni bilo spremenjeno ali preklicano, ga lahko uporabimo. Zelo pomembno je naše zaupanje v CA, da res izdaja digitalna potrdila le pravim lastnikom javnih ključev (Center vlade za informatiko 2005). Overitelj tako predstavlja osnovo, kateri zaupajo njegovi komitenti – imetniki digitalnih potrdil. S tem ga tudi pooblaščajo, da upravlja z njihovimi digitalnimi potrdili (slika 7). Slika 7: Princip zaupanja med lastniki digitalnih potrdil preko tretje osebe – overitelja digitalnih potrdil

Vir: Center vlade za informatiko 2005.

- 35 -

4.6 Pametne kartice Že precej časa je s pomočjo mikroračunalniške tehnologije mogoče shraniti veliko količino podatkov v integrirane sklope zelo majhnih dimenzij. Tehnologija »Smart Card« omogoča prenos in hranjenje informacij s pomočjo integriranega vezja, ki je vgrajeno v kartico, veliko kot magnetna plačilna kartica. Na površini kartice se nahajajo kontakti, ki so namenjeni pisanju oz. izmenjavi podatkov med kartico in npr. čitalcem kartic, mikroprocesor v kartici pa poskrbi, da se podatki z zunanjim svetom varno izmenjujejo. Z lastnostmi takih kartic, med katerimi prevladujeta varnost in sposobnost hranjenja podatkov v elektronski obliki, se te kartice uveljavljajo na različnih področjih, ki zahtevajo omenjene lastnosti (Mušič 2000, 19). Nivo varnosti pametne kartice je izredno visok. Do nje oz. do njene vsebine ne more praktično nihče, četudi je ta vstavljena v režo čitalca, saj je za njeno aktiviranje potrebna štiri ali več mestna PIN koda. Če ima čitalec svojo numerično tipkovnico, je aktiviranje kartice prek mreže popolnoma nemogoče. Tudi ko je kartica aktivna, mikroprocesor na njej poskrbi za celoten postopek šifriranja in dešifriranja. Tako vlomilec ne more do zasebnega ključa, saj lahko bere le šifrirana sporočila na osebnem računalniku, kar je enako, kot če bi ista sporočila prestrezal v samem omrežju. V primeru, da je bila pametna kartica ukradena ali drugače odtujena, je brez PIN kode neuporabna. V primeru ugibanja le-te se po treh napačnih vnosih kartica zaklene, za ponovno aktiviranje pa je potrebna večmestna t.i. PUK koda, pa še ta je uporabna le nekajkrat. Ob nadaljnjem napačnem poskušanju vnosa kode se kartica zaklene za vedno (Mušič 2000, 19, ZVP 2001). 4.7 Gesla Najstarejši in najenostavnejši način preverjanje identitete, je identifikacija s pomočjo gesla oz. določene informacije. Gesla so danes, tako v elektronskem bančništvu kot v širšem elektronskem poslovanju, pojavljajo na vsakem koraku, vendar pa enolično določajo uporabnika samo takrat, ko so znana samo njemu. V praksi si uporabniki večinoma izbirajo gesla, ki si jih je lahko zapomniti. Taka gesla pa je na žalost tudi lahko ugotoviti. Uganjevanje poteka s pomočjo elektronskih slovarjev, poznavanje podatkov uporabnika, preizkušanjem starih gesel, itd. Lahko se tudi zgodi, da nam nekdo podtakne program, ki se bo vedel kot program elektronske banke, po vpisu gesla pa ga bo shranil oz. poslal napadalcu (Jerman-Blažič 2001, 115). Overjanje s pomočjo gesel ima torej več pomanjkljivosti (Jerman-Blažič 2001, 115):

- s tem ko med identifikacijo razkrijemo svoje geslo, dejansko omogočimo drugi strani, da se izdaja z našim imenom;

- gesla, ki določajo identiteto posameznemu uporabniku, se pogosto prenašajo v nezaščiteni obliki, zato so dostopna vsakomur, ki se želi dokopati do njih;

- gesla lahko napadalec, čeprav so šifrirana, prestreže in v taki obliki uporablja za kasnejše predstavljanje.

Šibke točke gesel v nezavarovanih omrežjih lahko zmanjšamo z uporabo enkratnih gesel. Prestrezanje gesel tu nima pravega pomena, saj je vsako geslo veljavno le za trenutno povezavo ali aktivnost. Za tak način overjanja pa je zelo pomembno, da iz celotnega zapisa vseh dosedanjih zvez ali aktivnosti, vključno z gesli, ni možno dobiti informacij, ki bi omogočile izračun prihodnjih gesel. Dva načina takega overjanja sta opisana v nadaljevanju (Jerman-Blažič 2001, 115).

- 36 -

Najenostavnejši način brez uporabe kriptografskih algoritmov je uporaba enkratnih gesel iz vnaprej generiranih določenih naključnih gesel. Pri overjanju uporabimo vedno naslednje geslo s seznama. Ustvarjanje in preverjanje gesel je hitro, celoten sistem je enostaven, ima pa to pomanjkljivost, da morajo gesla biti shranjena na računalniku. Uspešnost sistema je torej odvisna od skrivanja teh gesel (Jerman-Blažič 2001, 118). Najpogostejši način preverjanja identitete s pomočjo enkratnih gesel, je uporaba, ki vsebujejo mikroprocesor, majhen zaslon za izpis in uro, ki je sinhronizirana z uro na strežniku. Kartica ustvarja novo geslo na podlagi trenutnega časa vsakih nekaj sekund. Imetnik kartice, ki se želi identificirati, vtipka geslo za uporabo kartice, z zaslona prebere ustvarjeno geslo in ga pošlje strežniku, da ga preveri. Kriptografski algoritem, po katerem se računajo gesla, poskrbi, da je nemogoče uganiti geslo brez kartice in poznavanja gesla za njeno uporabo. Takšnih kartic, imenovanih identifikacijske kartice, se poslužujejo tudi slovenske banke. Njihova prednost je tudi ta, da lahko uporabnik do svoje internetne banke dostopa s kateregakoli računalnika (Jerman-Blažič 2001, 119). 4.8 Zagotavljanje varnosti s pomočjo protokolov Internet združuje veliko množico najrazličnejših računalnikov in uporabnikov, ki za medsebojno komuniciranje uporabljajo protokole. Protokoli predstavljajo množico pravil ali dogovorov o tem, kako komunicirati in kako razumeti preneseno sporočilo. Varnost v sistemu za elektronsko poslovanje lahko zagotovimo na različnih ravneh, najpogosteje na aplikacijski, transporti in omrežni. Aplikacijska raven pomeni, da implementiramo varnostne mehanizme v sami aplikaciji. V ostalih dveh primerih varujemo podatke, ki se izmenjujejo med dvema računalnikoma. Med strežnikom in odjemalcem vzpostavimo varen kanal, ki zagotavlja zaupnost in neokrnjenost vseh podatkov ter možnost preverjanja identitete.

4.8.1 IPSec – Internetni protokol za varen prenos podatkov Najbolj znana metoda za zaščito podatkov na omrežni ravni je IPSec (IP Security Protocol), ki nam omogoča vzpostavitev navideznega zasebnega omrežja znotraj javnega omrežja, kot je internet. Vzpostavitev navideznega zasebnega omrežja zahteva precej manj stroškov kot izgradnja zasebnega omrežja. Izmenjava podatkov med dvema ali več oddaljenimi računalniki poteka v šifrirani obliki in je digitalno podpisana. Pri standardu IPSec so vsi podatki varovani na ravni IP-ja, ne glede na to, ali uporabljamo aplikacije z vgrajenimi varnostnimi mehanizmi ali ne (Jerman-Blažič 2001, 118). IPSec združuje dva varnostna mehanizma: AH (Authentication Header) in ESP (Encapsultating Security Payload). Prvi zagovarja neokrnjenost in overjanje podatkov, drugi pa vedno zagotavlja neokrnjenost in zaupnost, po želji pa tudi overjanje podatkov. Oba varnostna mehanizma lahko uporabljamo skupaj ali ločeno. Izmenjava ključev pri standardu IPSec lahko poteka ročno, ko administrator sistema ročno vstavi potrebne ključe v sistem za komunikacijo, ali pa avtomatično, ko se računalniki sami dogovorijo za skupen ključ. Avtomatično izmenjavo ključev nam omogoča protokol IKE (Internet Key Exchange), ki za identifikacijo predvideva uporabo digitalnih certifikatov (Jerman-Blažič 2001, 118).

- 37 -

4.8.2 Protokoli za zaščito transakcij na internetu Za zaščito transakcij na internetu se med drugim uporabljajo različni protokoli. Najbolj znani med njimi so (Jerman-Blažič 2001, 118):

- SSL (angl. »Secure Sockets Layer«) - TLS (angl. »Transport Layer Security«) - WTLS (angl. »Wireless Transport Layer Security«) – pri poslovanju prek brezžičnih

povezav. Skupna značilnost vsem trem protokolom je vzpostavitev varnega kanala med internetnim brkljalnikom in strežnikom. Vsem podatkom, ki se izmenjujejo v tem varnem kanalu, je zagotovljena zaupnost, neokrnjenost in verodostojnost. V elektronskem bančništvu se najpogosteje uporablja SSL protokol, ki ga je razvilo podjetje Netscape Communications in prvič objavilo leta 1995. Odlikujejo ga odprtost, neopaznost za uporabnike, možnost dograjevanja z novimi kriptografskimi algoritmi ter učinkovitost. Omogoča vzpostavitev varne šifrirane povezave med dvema točkama, strežnikom in odjemalcem. S pridom ga izkoriščajo razne internetne aplikacije, saj na TCP/IT povezavi zagotavlja (SSL 2004):

- šifriranje podatkov; - avtentikacijo strežnika in odjemalca; - zaupnost sporočil; - neoporečnost sporočil.

Protokol SSL je sestavljen iz dveh delov (SSL 2004):

- SSL Handshake Protocol, katerega naloga je preverjanje verodostojnosti strežnika in uporabnika ter prenos digitalnih certifikatov in simetričnih ključev, omogoča pa tudi usklajevanje algoritmov;

- SSL Record Protocol, ki definira osnovni format izmenjanih podatkov, zagotavlja neokrnjenost in šifriranje.

Strežnik in odjemalec pri vzpostavitvi povezave najprej na podlagi prvega protokola preverita identiteto drug drugega, uskladita kriptografske algoritme ter si varno izmenjata ključ in ostale podatke. Ko je ta postopek končan, se lahko s pomočjo drugega protokola začne izmenjava podatkov. Protokol dopušča tri možnosti overjanja (Jerman-Blažič 2001, 119):

- obojestransko, vsak preveri digitalno potrdilo nasprotne strani; - enostransko, anonimni odjemalec preveri certifikat strežnika; - overjanja ni, najslabša možnost, ker dopušča napad tipa »man-in-the-middle«

podatke, ki se sicer izmenjujejo šifrirani, lahko nekdo prestreže in spremeni. 4.9 Sklepne misli Če želimo zagotoviti varnost prenosa informacij in podatkov na internetu, moramo vzpostaviti določene varnostne aplikacije. Pri tem moramo paziti, da morajo biti te aplikacije predvsem cenovno optimalne in enostavne za uporaba. Že sedaj obstaja veliko takšnih aplikacij (v diplomski nalogi smo predstavili samo tiste, ki se najpogosteje uporabljajo v elektronskem bančništvu), vendar pa se to področje naglo razvija, zato lahko pričakujemo, da bodo le-te v prihodnje še bolj izpopolnjene in dodelane. To pa še ne pomeni, da bodo zagotovile popolno varnost internetnega bančništva. Skladno z razvojem varnostnih rešitev se pojavljajo vsak dan tudi nove nevarnosti (virusi, črvi,…), ki prežijo na uporabnike.

- 38 -

5 SKLEP Ker je okolje, v katerem delujejo banke, spremenljivo in dinamično, se s tem spreminja tudi bančništvo, kot ga poznamo. To pa ne pomeni, da bodo banke izginile, vendar je nesporno, da bodo uspešne le, če se jim bo uspelo prilagoditi spremenjenemu okolju. Zato so kot odgovor na hiter tehnološki razvoj banke uvedle elektronsko bančništvo kot način komuniciranja in nudenja bančnih storitev. Sistem elektronskega bančništva omogoča optimizacijo distribucije bančnih storitev prek elektronskih medijev ter s tem znižuje stroške poslovanja z obstoječimi komitenti. Prav tako omogoča oblikovanje konkurenčne prednosti banke za pridobivanje novih komitentov na virtualno neomejenem trgu. Z nižjimi stroški transakcije in širjenjem baze strank je sistem elektronskega bančništva osnovni del dobičkonosne ponudbe bančnih storitev. Prinaša pa tovrstno bančništvo tudi veliko prednosti za bančne komitente. Vendar pa ne smemo pozabiti, da vsako novost spremljajo tudi slabosti. Vsi udeleženci v elektronskem bančništvu se morajo tudi zavedati, da vsaka novost, ki prvotno zahteva visoka začetna vlaganja, prinaša vidne koristi in prihranke predvsem na daljši rok. Elektronsko bančništvo se je zelo razmahnilo in danes poznamo veliko oblik, od najpreprostejših, ki nudijo komitentom le informacijske storitve, do takšnih, ki skorajda popolnoma nadomestijo bančno poslovalnico. Med slednje uvrščamo tudi internetno bančništvo, ki danes predstavlja gonilno silo elektronskega bančništva in je področje, na katerem so programske in vsebinske rešitve najbolj dodelane. Ko govorimo o internetnem bančništvu (in elektronskem bančništvu nasploh) ne moremo mimo varnosti in zaščite podatkov. Varnost je na odprtem komunikacijskem omrežju, kakršen je internet, zelo pomemben dejavnik, sploh pri občutljivih finančnih podatkih. Internet ponuja vsiljivcem kar nekaj možnosti, da elektronsko izmenjavo informacij prikrojijo svojim interesom in tako ogrožajo poslovanje preko tega medija. Prav nezaupanje v varnost elektronskega poslovanja marsikoga odvrne od tega, da bi svoje finančno premoženje v banki upravljal prek interneta. In tega se banke dobro zavedajo, zato uporabljajo najsodobnejše varnostne tehnologije, ki zagotavljajo zadovoljstvo, seveda pa ne absolutno raven varnosti. Med osnovne tehnike za zagotavljanje informacijske varnosti lahko štejemo storitve overjanja, storitve razpoložljivosti, storitve zaupnosti, storitve celovitosti in storitve preprečevanja tajenja avtorskih podatkov. Vse te lastnosti lahko zagotovimo le z uporabo tehnologij in sistemov za varnost, zaupnost in zaščito podatkov pri elektronskem bančništvu, ki jih z ustrezno kombinacijo povežemo v celoto tako, da je varnost komunikacije prek interneta največja. V internetnem bančništvu se najpogosteje uporabljajo šifriranje, digitalno podpisovanje, varnostni protokoli, pametne kartice, gesla in z ustrezno izbiro in medsebojno kombinacijo, lahko banke zagotovijo optimalno informacijski varnost. Varnostni mehanizmi se iz leta v leto izpopolnjujejo, dopolnjujejo in spreminjajo, vendar pa ne smemo pozabiti, da razvoj tehnologije ne prinaša novosti samo na področju zagotavljanja varnosti, ampak da se hkrati pojavljajo tudi vedno nove nevarnosti (novi virusi, črvi,…), zato ni dovolj da banke samo vzpostavijo varnosti sistem, ampak je potrebno tega nenehno tudi posodabljati, saj bodo le na tak način zagotovile varen prenos ter zaupnost podatkov svojih komitentov. Prav tako pa je potrebno poudariti, da ni dovolj, da za varnost skrbi samo banka. Kljub vrhunskih varnostim rešitvam banke, lahko zaradi malomarnosti in nepazljivosti komitenta – torej uporabnika internetnega bančništva, pride do nezaželenih posledic. Pogosto predstavlja največje tveganje pri uporabi internetnega bančništva prav uporabnik sam, saj se niti ne zaveda kakšne nevarnosti prežijo nanj pri uporabi tovrstnega bančništva, še manj pa kako bi se jim lahko izognil.

- 39 -

POVZETEK Ključnega pomena pri uporabi elektronskega bančništva je varnost, saj vse oblike elektronskega bančništva (še posebej internetno bančništvo) poleg vseh prednosti, ponujajo tudi veliko možnosti za zlorabo podatkov. V ta namen banke nenehno razvijajo in uvajajo nove aplikacije za zaščito, varnost in zaupnost prenesenih podatkov. Vendar pa mora za varnost skrbeti predvsem uporabnik sam s pravilno uporabo in varovanjem svojih osebnih podatkov. Ključne besede: elektronsko bančništvo, internetno bančništvo, tveganja internetnega bančništva, sistemi in tehnologije za zagotavljanje varnosti. ABSTRACT When we use electronic banking the safety is most important, because all forms of electronic banking (especially the internet banking) besides all advantages, offer a lot of possibilities for abuse of the data. For this purpose banks are continuously developing new application for protection, safety and confidence of transmitted data. However, the users are the one that must take care for safety with correctly usage and protection of his personal data. Key words: electronic banking, internet banking, risk of internet banking, systems and technologies to assure safety.

- 40 -

6 LITERATURA IN VIRI

1. Banka Slovenije. 2003. Bilten april. [online]. Available: http://www.bsi.si/html/publikacije/bilteni/bil2003_04.pdf [21.04.2005].

2. Bundesverband deutscher Banken. 2001. Daten, Fakten, Argumente: E-

Commerce als Bankdienstleistung. Berlin. 3. Blažič, Jerman B., T. Klobučar, Z. Perše, in D. Nedeljkovič. 2001. Elektronsko

poslovanje na internetu. Ljubljana: Gospodarski vestnik.

4. Braun, Claudia. Viren, Hacker und Lauschangriffe – IT-Strukturen sind zunehmenden Gefahren ausgesetzt. [online] Available: http://www. computer.ch/dokumente/allgemeing/viren_hacker_und_lauschangriffe/it-strukturen_gefahren. pdf [25.01.2005].

5. Center vlade RS za informatiko. (2005). [online]. Available:

http://www.gov.si/cvi/ [18.04.2005].

6. DATALOG Software AG. (2003). DIN ISO 17799 – der globale Sicherheitsstandard [online]. Available: http://www.datalog.de/Download/Flyer/DATALOG-Security-ISO17799.pdf [25.03.2005].

7. Datamonitor: eBanking Strategies in Europe 2002. [online]. Available:

http://www.datamonitor.com [05.03.2005].

8. Electronic banking: the ultimative quide to business and technology of online banking. 2001. Braunschweig/Wiesbaden: Viewg&Sohn Verlagsgesellschaft nbH.

9. Gradiva predavanj. (2004). Informatika v bankah. [online]. Available: http://epf-

oi.uni-mb.si:8000/clani/bobek/FIS/vs32gra.htm [18.04.2005].

10. Glos Anna. Vom eBanking zu Multikanalstrategien: Herausforderungern für die Bankmitarbeiter, Forrester. [online]. Available: http://hfb.de/Dateien/lunch021web.pdf [16.02.2005].

11. Idzig, Štefan. 1999. Projekt varne uporabe interneta v podjetju. Win ini 7-8: 66-

71.

12. Konečnik, Tadeja. 2002. Omrežni: Novi standard za varnost podatkov. Gospodarski vestnik 48: 80.

13. Kovačič, Matevž. 1997. Storitve elektronskega bančništva. Zbornik: Banke in

tveganja. Ljubljana: Zveza ekonomistov Slovenije.

14. Ključavšek, Rado. 2002. Zanimivosti: Kako tvegano je elektronsko bančništvo. Gospodarski vestnik 48: 80.

- 41 -

15. Kuščar, Samo. 2002. O varnostni in odgovornosti. Monitor 11: 8.

16. Lončarek, Davor. 1998. Bančništvo na internetu. Bančni vestnik 1-2: 26-27.

17. Metaling podjetje za proizvodnjo in prodajo d.o.o. (2003). Internet in varnost -

Trojanski konji. [online]. Available: http://www.metaling.si/varnost.php [23.03.2005].

18. Microsoft Slovenija. (26.05.2005). [online]. Available:

http://www.microsoft.com/slovenija/varnost/default.mspx [28.05.2005].

19. Miš-Svoljšak, Irena. 1997. Osnove trženja finančnih storitev. Maribor: Združenje bank Slovenije.

20. Mušič, Matjaž. 2000. Bomo znali izkoristiti svetlo prihodnost E-poslovanja?

Bančik 12: 14.

21. NA – Network Associates. 1999. An Introduciton to Cryptography. Santa Clara: Network Associates Inc.

22. Opportunity Wales. eCommerce Guides. [online]. Available:

http://www.opportunitywales.co.uk/txt/0-0-0/2-0-0/2-2-0/2-2-7/2-2-7d.htm [23.03.2005]

23. Pečenko, Nikolaj. 2002. Virus. PC&Mediji 02/VIII: 60-69.

24. Perše, Zoran. 2000. Varstvo in zaščita osebnih podatkov pri elektronskem

poslovanju. Gospodarski vestnik – Pravna praksa 11: 11.

25. Pipan, Matija. 2002. Elektronski plačilni sistemi na internetu. Ljubljana: Ekonomska fakulteta.

26. Public Key Cryptography Infrastructure. Baltimore Learning Center. [online].

Available: http://www.baltimore.com/library/pki [25.02.2005].

27. Savodnik, Tomaž. 1999. Bančništvo od doma. Moj mikro 7-8: 24-27.

28. Sjekloča, Marko. 1999. Elektronsko bančništvo. Bančni vestnik 1-2: 31-33.

29. Slak, Sabrina. Težava je v povezljivosti. (06.07.2001). [online]. Available: http://www.dnevnik.si/clanekb.asp?id=5349 [15.04.2005].

30. SSL (Secure Sockets Layer). [online]. Available: http://www.gov.si/tečaj/kripto/kr-ssl.htm [30.04.2005].

31. Steinmaurer, Bernhard. 2003. Viren&Co. CD Austria – Sonderheft.

32. Temus. (2003). Der globale Sicheritsstandard: ISO 17799. [online]. Available:

http://www.temeus.com/default.asp?CID=53 [21.01.2005].

- 42 -

33. Turban, Efraim et. al.. 2003. Electronic Commerce. A Managerial Perspective.

New York: Prentice-Hall.

34. Trček, Denis. 2001. Informatika od tehnologije do poslovanja. Koper: Visoka šola za management.

35. White book. 1997. European Commision.

36. Zavod za varstvo potrošnikov. Internet. (23.05.2005). [online]. Available:

http://www.zavod-zvp.si/slo/Dejavnost/Internet/internet5.html [27.05.2005].

Documents

VARNOST, ZAUPNOST IN ZAŠČITA ... - old.epf.uni-mb.siold.epf.uni-mb.si/ediplome/pdfs/pihler-sabina.pdf · Glede na asovno razsežnost bo diplomska naloga statič čna, saj bomo izhajali