Jiří Nápravník: internetbanking nepoužívám II.

V dnešním pokračování rozhovoru s Jiřím Nápravníkem najdete ostatní dotazy, které se přímo nedotýkaly internetového bankovnictví, přestože některé s ním do jisté míry souvisejí. Mezi odpověďmi opět naleznete pojmy jako nepochopení nebo nezájem kompetentních orgánů, které si zakrývají oči, když mají ukázat vlastní díl odpovědnosti.

Roman Brodsky
Dobrý den pane Nápravníku, nepřipadáte si trošku jako Don Quijote v boji s větrnými mlýny? Je nějaká kauza, kde vám daly zapravdu nejen události, ale třeba se omluvily i banky, nebo jiné kritizované instituce?

Jiří Nápravník: Máte pravdu někdy to opravdu připomíná zápas s větrnými mlýny. Uvažování vyšších manažerů českých bank je v této oblasti opravdu prapodivná. Osobně se domnívám, že věci týkající se bezpečnosti a podvodu by neměly zbytečně znepokojovat klienty. Jenže banky podle mých zkušeností vyloženě hřeší na svoji velikost a pohodlnost klientů, kteří neradi přecházejí k jiné bance.
Těch kauz, kde mi daly za pravdu události, je mnoho. Když zůstanu u internetového bankovnictví, tak v roce 2002 se na mne specialisté v jednotlivých bankách (v ČR se to týká 8 bank) dívali jako na ufona, když jsem jim ukazoval způsob, jak je možné odcizit digitální certifikát a heslo jednomu uživateli nebo i větší skupině. Specialisté z bank mi říkali, že je to nesmysl, že to nejde, že je riziko minimální, apod. Jistě v současné době těch vykradených účtů nebylo mnoho, ale podle mne je podstatné, že banky na řešení takových případů nebyly i po mých upozorněních připravené.

Budem s úřady korepsondenci digitálně podepisovat?

Karel Lánský
Dobrý den, četl jsem Váš článek zde na Penězích o elektronickém daňovém přiznání. Trochu mám pocit, že nepokládáte elektronický podpis za stoprocentně bezpečnou věc. Nebo se mýlím? Díky za odpověď.

JN: Přesně, případy vykradených bankovních účtů, které byly chráněny digitálním certifikátem. (digitální podpis se používá pro podepsání fin. transakce), ukázaly, že tato oblast není bezpečná na 100 %. Nejedná se o problém bezpečnost technologií. Problém není v tom, jaké se používají šifrovací algoritmy, operační systémy a počítačové sítě. Problém je v tom jak se konkrétní aplikace používají, pro co se používají a jak je vyřešeno vyšetřování mimořádných událostí.
Elektronický podpis je zajímavá myšlenka. Je to i prostor pro dobrý business. Například druhý vesmírný turista, Mark Shuttleworth ( http://www.firstafricaninspace.com/ ) si na svoji cestu vydělal právě v oblasti elektronického podpisu a certifikačních autorit. Když jsme uvažovali o společném podniku v ČR, tak mi vyprávěl o tom jak on prosazoval elektronický podpis. Nečekal na nějaký zákon. Mimochodem Mark založil firmu Thawte někdy v roce 1994 a teprve v roce 2000 podepsal B. Clinton americkou obdobu zákona o elektronickém podpisu. Mark Shuttleworth se zaměřil na komerční firmy a jejich manažery, kterým vysvětloval, že stávající e-mail je vlastně pohlednice či korespondenční lístek. Zašifrovaný a elektronicky podepsaný e-mail již má obálku, která zamezuje tomu, aby si jeho obsah přečetl každý správce mail serveru.
Mark Shuttleworth se s elektronickým podpisem orientoval především na podnikatele. V jejich prostředí se případné problémy řeší daleko jednodušeji a podnikatelé mají větší rozpočty na budování PKI a elektronického podpisu. V prostředí státní správy nebo komunikace mezi občany a státní správou musí být činnost jasně popsána v zákoně, prováděcích vyhláškách a teprve poté se může používat. Jenže pokud se vynechá etapa, kdy elektronický podpis používali podnikatele mezi sebou a získali tak zkušenosti a přejde se rovnou na komunikaci občané se státní správou, tak se narazí na mnoho problémů spojených s nezkušeností a nepochopením na obou stranách.
Další věcí, která v 90. letech nebyla tolik aktuální jsou Trojské koně a další havěť, která se může dostat do klientských počítačů. Tyto špionážní programy mohou odcizit (zkopírovat) uživateli jeho digitální certifikát, odposlechnou jeho heslo nebo přinutit jeho čipovou kartu, aby podepsala dokument bez vědomí uživatele. To jsou nové hrozby, které mohou znevěrohodnit elektronický podpis mimo jiné i proto, že podle zákona má mít uživatel prostředky pro tvorbu elektronického podpisu pod svojí výhradní kontrolou. Běžný uživatel, který počítačům nerozumí, nemá pod svojí výhradní kontrolou počítač, na tož věci pro tvorbu elektronického podpisu.

jan.cesky@email.cz
Jak hodnotíte přístup státních úředníků k problematice elektronické komunikace a k těmto technologiím vůbec? Plní podle vás ministerstvo informatiky svou roli? Má vůbec tento úřad smysl? Na co by se hlavně měl zaměřit, kde vidíte jeho největší "dluh"? Díky za odpověď.

JN: Na Ministerstvu informatiky a jeho předchůdcům (ÚSIS, atd.) jsem nabízel své zkušenosti a pohled na rozsáhlé a distribuované systémy již někdy od roku 1996. To je velmi dlouhá doba, za kterou se toho dalo velmi mnoho stihnout, kdyby byl zájem! Jenže ono to stále někde drhne.
Osobně se domnívám, že moderní technologie jsou cestou, jak můžeme držet krok s okolním světem a v některých oblastech proniknout až na špičku. Stejně tak jsou informační systémy cestou, jak zjednodušit a zprůhlednit fungování státní správy. Prvním důležitým rozhodnutím, které musí padnout, je zda opravdu má státní správa fungovat efektivně a průhledně. To může říci podle mne jedině vláda. Dalším krokem je tento nastoupený trend udržet, jenže to může obtížně dělat "řadový" ministr, takže garantem by měl být vícepremiér. Posledním nejdůležitějším bodem je, že se nesmí jednat o zavádění počítačů a Windows do státní správy, ale mělo by jít o zefektivnění pracovních postupů a komunikací mezi jednotlivými úřady.
Pokud jde o smysl Ministerstva informatiky, tak Vám popíši jednu perlu, kterou ministerstvo vypracovalo a následně vláda schválila. Jedná se o elektronické podatelny (nařízení vlády 495/2004 a vyhláška 495/2004). Na jednu stranu je dobré, aby velké úřady měly i v prostředí elektronické pošty obdobu podatelny, která eviduje došlou a odeslanou poštu. To je v pořádku. Jenže ono se nařízení 495/2004 týká všech tedy i té poslední vesnice, kde starosta má jednací místnost doma v obývacím pokoji a pokud přijde dopis pro obecní úřad, tak jej doručovatelka automaticky nosí panu starostovi domů, možná i proto, že na radnici není žádná schránka. Jsou vesnice, kde to takhle fungovalo za války i v době "rozvinutého" socialismu, ale dnes "někdo" došel k názoru, že je to špatně a starosta bude muset zajistit pro obec elektronickou podatelnu.
Ministerstvo informatiky se snaží prosazovat rozvoj internetu, jenže pokud dojde k nějaké nepříjemnosti, tak od toho dávají ruce pryč. Konkrétně mám na mysli případy žlutých linek – dialerů, kde došlo za posledních několik let k poškození několika tisíc začínajících uživatelů sítě Internet a nikdo se jich nezastal. To potom vypadá, jako by se peníze na podporu internetu vyhazovaly oknem.

Žluté linky a tuhnoucí úsměv s účtem za telefon

pbrozik@seznam.cz
V textu o p. Nápravníkovi jste zmínili i žluté linky. Zrovna tato oblast mne jako jednoho z postižených dost zajímá. Je nějaké řešení jak zabránit okrádání přes žluté linky a domoci se vrácení peněz? Děkuji za odpověď a radu. Petr Brožík

JN: Vedle elektronických podatelen, internetu do škol, elektronického podpisu je přesměrování do internetu přes drahé linky (žluté linky, dialery) dalším důkazem, že státní úředníkům chybí v oblasti informačních systémů a počítačových sítí zkušenosti a jasná představa, o co jde.
V případech žlutých linek jde o to, že uživatelé jsou podvedeni a pod nějakou záminkou stisknou nějaké tlačítko nebo se do jejich počítače dostane specializovaný virus. V obou případech je výsledek stejný, dojde ke změně telefonního čísla, přes které se běžný uživatel připojuje do internetu.
Nejjednodušším řešením by bylo zablokovat přístup na linky s vysokým tarifem a povolovat je pouze na výslovnou žádost vlastníka linky. To prý nejde, protože to nedovoluje zákon. Druhou cestou by bylo nastavit takové podmínky, že by vlastník (provozovatel) linky s vysokým tarifem musel prokazovat, že si klient u něho konkrétní službu objednal. Tedy postup, který je normální u zásilkových obchodů a e-shopů. Opět i tento přístup naráží na odpor vedení Českého telekomunikačního úřadu. Vypadá to, jakoby úřadníci, kteří mají dohlížet na pořádek v telekomunikačních sítích, stáli na straně podvodníků a nikoliv na straně slušných telekomunikačních operátorů a běžných uživatelů. Řešení jak skutečně a účinně zabránit podvodnému přesměrování do sítě internet přes linky s vysokým tarifem má v rukou Český telekomunikační úřad.
Vy jako běžný uživatel se můžete bránit tím, že si sám (dnes již zadarmo) požádáte o zablokování čísel s vysokým tarifem. Pokud už se Vám stane, že vás postihne nepříjemnost v podobě vysokého telefonního účtu za připojení do internetu, tak se braňte. Podejte reklamaci na vysoký účet za připojení do internetu, podejte stížnost na ČTÚ a případně se můžete o radu obrátit i na Sdružení na obranu spotřebitelů.

A další...

Roman Brodsky (nepřihlášen)
Jaké máte vztahy s Komerční bankou?

JN: Pokud máte namysli řadové pracovníky na pobočkách, tak nemám nejmenší problém. Pokud jde o firmu Komerční banka, a.s., tak je to stejné. Pouze na centrále a v jejím vedení jsou podle mne lidé, kteří svým chováním a opakovaným nezájmem o problémy klientů banky ohrožují dobré jméno banky. Jenže tuto věc může vyřešit dozorčí rada, případně valná hromada a nikoliv tato diskuse.

Ivo (nepřihlášen) Do třetice bych chtěl vědět zda hybridní debetní karty (např. VISA od ČSOB) mají nějaký význam pro bezpečnost oproti klasickým magnetkám v současné situaci. Děkuji za odpovědi.

JN: Úplně jsem nerozuměl otázce. Pokud máte na mysli čipové karty, které postupně nahrazují karty s magnetickým proužkem, tak ty jsou v současné době považovány za spolehlivé uložiště informací. Existují laboratorní pokusy o provedení podvodu i s čipovou kartou, ale vždy se jedná o zaslání příkazu do karty, nikoliv zkopírování obsahu jako se to někdy děje u karet s magnetickým proužkem.
Pokud tou hybridní kartou myslíte karty, které vydávají některé banky a je na nich současně čip a současně i magnetický proužek, tak toto řešení je stejně bezpečné jako běžná karta s magnetickým proužkem. Řešení je tak bezpečné, jak bezpečný je jeho nejslabší článek, v tomto případě tedy magnetický proužek.

Přesvědčil vás Jiří Nápravník o správnosti svých postojů, nebo je to podle vás spíše snílek? Co byste mu doporučili do budoucna, bojovat nebo se vzdát?