Lazán és elegánsan szeretné zavarba hozni a banktisztviselőt, amikor megkötik az internetes szolgáltatásról szóló szerződést? Kérdezze szaporán a következőket: A program tárolja-e az átmeneti internet fájlok között a tranzakciós adatokat? Ki kell-e üríteni az úgynevezett cache-t a használat után? Netán ki kell lépni a böngészőből? Esetleg a gépet is tanácsos újraindítani? Ha kellő magabiztossággal adja elő az első hallásra kissé hottentotta szöveget, a pult másik oldalán garantált lesz a zavar, és az alkalmazott valószínűleg lázas telefonálásba kezd az informatikusokkal. Pedig ezek a kérdések nagyon is fontosak annak megítéléséhez, hogy mennyire biztonságos rendszerre bízza az ember a pénzét. Az egyre szaporodó hazai internetes bankok ugyanis kettős szorításban vannak: egyrészt az ügyfelek és a piaci verseny a minél egyszerűbben, bármelyik számítógépről használható, az internetes böngésző programokra épülő megoldások kifejlesztését kényszeríti ki, másrészt viszont, ezzel párhuzamosan több-kevesebb áldozatra kényszerülnek a biztonság oltárán is. Az ügyfél számára a lényeg annak kiderítése, hogy mekkora ez az engedmény, és a maga részéről elfogadja-e a kompromisszumokat.
VÉGKÉPP ELTÖRÖLNI. Tavaly év végén például a legnagyobb hazai pénzintézet, az OTP Bank bevezetés alatt álló új szolgáltatása borzolta a kedélyeket internetes körökben. Kiderült ugyanis, hogy az új házibank szoftver – amit egyelőre csak a WAP-hozzáféréssel bíró ügyfelek használnak – az átmeneti fájlok között tárolja a banki tranzakciók adatait, így például az egyenleget, az átutalások számlaszámát vagy a felhasználó nevét és hitelkeretét, amelyeket aztán a gépen a szoftverből való kilépés után is bárki visszakereshet. Ha ezt a könyvtárat az óvatlan felhasználó nem törli ki, akkor a nem jelszóval védett munkahelyi, otthoni gépről vagy akár a netkávézóból bankoló ügyfelek pénzügyei – kis túlzással – nyitott könyvként tárulnak akár még a közepesen képzett internetezők elé is. Az OTP Bank megoldásától még az is elriaszthatja az érdeklődőket, hogy a banki program használatát szigorúan a kilépő ikonnal kell lezárni. Ha ugyanis az ügyfél csak a böngészőt csukja be, annak újbóli megnyitásával és egy-két kiegészítéssel akár illetéktelenek is folytathatják az „átutalásokat”. A pénzintézet a kifogásokat elismerte, és azzal a kissé lazának tűnő érvrendszerrel védekezett, hogy ez a „rés” a html-alapú internetes szolgáltatással együtt jár, az ideiglenes oldalak törlésére vagy a kilépő gomb hangsúlyos használatára felhívják a kuncsaftok figyelmét, a program pedig 5 percnyi „inaktív használat” után automatikusan kilépteti az ügyfelet. A bank ehhez még annyit tett hozzá, hogy a szoftver lehetővé teszi a tranzakciónkénti azonosítás beállítását, amit a nem biztonságos környezetben bankolók számára külön is ajánlanak.
A pénzintézetek – a fenti biztonsági kételyek ellenére – azonban egyre nagyobb arányban térnek át a tisztán az internetes böngészőkre épülő megoldásokra. Az évekkel ezelőtt még általánosabbnak tekintett, külön telepítendő programokat használó platformok fogyatkoznak, hiszen bizonyos kényelmetlenséggel járnak az ügyfél számára: csak arról a számítógépről tudják használni, amelyekre előzetesen installálták a szoftvert. A jelenlegi hazai kínálatban ilyen fehér hollónak számít, és egyben logikusan nagyobb biztonságot nyújtó rendszert használ a Raiffeisen és – részben – a K&H, az Inter-Európa Bank és a CIB is. Az előbbinél a rendszer úgy működik, hogy egy úgynevezett „plug-in”-t, vagyis egy kis programot le kell tölteni, ami – külön elektronikus aláírás generálásával – megemeli a biztonsági szintet, és a sima böngésző alapú megoldásokhoz képest sokkal nehezebbé teszik a külső behatolást. A pénzintézetnél azonban úgy tájékoztattak, hogy az első negyedév közepe táján „beállnak a sorba”, és a piacon használatos megoldást vezetik be, amit részben összekötnek az sms-értesítéssel.
Hasonlóképpen az átlagnál zártabb rendszert alkalmaz a K&H, amely szintén csak azokról a számítógépekről működik, amelyekre telepítették a programot, és csatlakoztatták hozzá a chipkártya leolvasót. A bank által adott kártyát egy – az ügyfél által szabadon változtatható – PIN kóddal lehet használni, s nyolcszori sikertelen próbálkozás után a rendszer blokkolja önmagát. A kártya sikeres leolvasása után az azonosítás, egy elektronikus aláírás segítségével már automatikus, ráadásul a bank a többlet biztonságot azzal is garantálja, hogy a függetlenül működő mobiltelefonos szolgáltatással egybeköthető, így az ügyfél sms-ben értesítést kap az elvégzett műveletekről. Furcsa kettőssége azonban a rendszernek, hogy az előbb említett átmeneti internet fájlok között itt is tárolódnak az adatok, vagyis használat után ezeket nem árt eltávolítani a rendszerből.
A többi hazai pénzintézet tisztán vagy részben böngésző-alapú, html-es megoldások mellett tette le a voksát, a különbségek legfeljebb abban látszanak, hogy a kényelem és a nagyobb biztonság kettősségében pontosan hol találták meg a középutat. Abban mindannyian megegyeznek, hogy a saját rendszerüket tűzfalakkal és az interneten szokványos 128 bites SSL (secure socket layer) csatorna titkosítás segítségével védik. Eltéréseket csak abban lehet észrevenni, hogy a felhasználó számára mennyire nehezítik meg az életet jelszavakkal vagy PIN kódokkal.
MEGOLDÁSOK. A legjobb internetes bank címét legutóbb elnyerő CIB Bank úgynevezett Java Appletet használ. Ez a megoldás nem tárol semmilyen személyi és bizalmas banki adatot az ügyfél számítógépén. A pénzintézet a szerződéskötéskor az ügyfél nevéből nem kikövetkeztethető azonosítót és egy rendszeresen módosítandó jelszót generál. Emellett a felhasználó különböző szolgáltatáscsomagok közül választhat, például dönthet úgy, hogy a rendszer csak a bankfiókban előre megadott számlaszámokra engedjen átutalni, vagy éppen kizárólag lekérdezésekre használja az internetet. Az ügyfél – ha igényli – sms-ben kap értesítést arról, ha valaki sikeresen vagy sikertelenül belépett a rendszerbe.
Érdekes, egyszer használatos kódlistával kívánja emelni a biztonságot a HBW Expressz Takarékszövetkezet Netbankja. Itt az ügyfél egy érvényes kóddal a saját gépén képes generálni a tranzakciók végrehajtásához szükséges egyszer használatos kódokat, amelyről a már felhasználtakat értelemszerűen törölni kell. A rendszer lehetőséget ad arra, hogy a felhasználó egybegyűjtsön több tranzakciót, és ezeket egyetlen kóddal hagyassa jóvá.
A Budapest Bank az internetbank, az e-mail és az sms előnyeit próbálja meg ötvözni a biztonság fokozása érdekében. Itt az ügyfél dönti el, hogy a bank által adott felhasználónevet egy állandó netPIN kód vagy sms-ben, illetve e-mailben minden belépéskor elküldött alkalmi és csak rövid ideig élő kódsor egészíti ki, amit a tranzakciók megerősítéséhez is kér a rendszer. Az egyébként mindenképpen kiadott netPIN később arra is szolgál, hogy a telefonos ügyfélszolgálaton az alapbeállításokon (például állandó e-mailcím, mobiltelefon-szám) is lehet módosítani. Az Inter-Európa Bank ügyfele a szerződéskötéskor egy hét karakterből álló felhasználó azonosítót és egy jelszót kap, utóbbit a belépés után azonnal meg kell változtatni, méghozzá úgy, hogy a minimum 8 karakterben kis-, nagybetű és szám egyaránt előforduljon. A rendszer az ügyfél számítógépére telepített szoftverrel működik, ami a titkosítást is végzi. Az úgynevezett BankoNethez az ügyfelek kulcslemezt is kapnak, amely a digitális aláírást adja. A rendszer ezután különböző biztonsági szinteket kínál az ügyfeleknek, akiknek módjukban áll az internetet csak a számlaegyenleg lekérdezésére felhasználni, ha a tranzakciók lebonyolításához nem érzik elég biztonságosnak a rendszert. A banki műveleteknél az óvatosságot szolgálja az is, hogy napi limiteket lehet beállítani. Ennél a pénzintézetnél is külön felhívják a figyelmet arra, hogy a használat után minden böngésző ablakot be kell zárni, habár az átmeneti internet fájlok között nem tárolódnak az adatok.
Citibank lakossági internetes szolgáltatása – amely eltér a nagyvállalatoknak kínált és szofisztikáltabb rendszertől – a banki kártyaszám és egy változtatható ePIN-kód segítségével végzi az ügyfél azonosítását. A program felajánlja, hogy egy szabadon választott felhasználónevet megjegyez, a későbbiekben pedig ennek begépelése után a 16 jegyű és ijesztőnek ható szám utolsó 6 jegyét megmutatja a könnyebb belépés érdekében. A pénzintézet részéről egyébként elismerték, hogy mindehhez a program egy úgynevezett sütit (vagyis cookie-t) használ, amelyben a kártyaszám titkosítva tárolódik, így a bank szerint illetéktelenek számára hozzáférhetetlen. Ezt azonban a PrivátBankár.hu nevű internetes újság – a Figyelő által megkérdezett banki szakemberek szerint egybehangzóan korrektnek és szakmainak nevezett – tesztje kifogásolta, mondván: a kódtörők számára túlságosan nagy kísértés. A Citibanknál azt hangsúlyozták, hogy a szoftver a bankhálózat által nemzetközileg is használt megoldást alkalmazza.
