Az internet alapú szolgáltatás bevezetésével a bankoknak elsősorban az ügyfélkör szélesítése volt a célja. De ez a nem hagyományos csatorna olyan fejletlen informatikai időszakban érte a bankokat, hogy nem voltak képesek a mai napig sem kellőképp biztonságossá tenni. Körképet festünk.
A '90-es évek végén a hazai bankszektor meghatározó szereplőinek még nagyon kezdetleges volt az internetes jelenléte. Általában egy statikus honlapra tett információhalmaz volt a maximum szolgáltatás, de a háttérben megkezdődtek a mozgolódások.
A hazai bankinformatika sosem volt éppen a jól átgondolt, projekt szemléletet alkalmazó informatikai struktúra alkalmazója. Jellemző a több gyártótól származó, inkompatibilis és nehezen skálázható rendszerek beépítése, majd ha a rendszer elérte a teljesítésének csúcsát, hatalmas költségekkel, esetleg teljesen más gyártótól (a régi közben megszűntette a termék fejlesztését) új architektúra kiépítése. Volt olyan bankközpont, ahol 4 központi banki rendszert üzemeltetettek. Inkompatibilisek voltak, bonyolult interfészeken kapcsolódtak és sok volt a rendszerek között felesleges és káros átfedés. Itt is, mint annyi helyen a "másoljuk az amcsi cuccokat, az biztos jó" felfogás uralkodik, aminek aztán az az eredménye, hogy kapkodva vezetnek be új szolgáltatásokat, mint az internet-banking.
Természetesen, ha bemegyünk egy bankfiókba, az a totális rend, fegyelem és csúcstechnológia benyomását kelti, de higgyétek el, emögött nagy informatikai küszködés rejtőzik és a félelem attól, hogy a rendszert vajon mikor cselezik ki, vagy mikor derül ki egy rejtett hiba, inkonzisztencia, hogy idegen szavakat is használjak. Amúgy ez mindenhol így van, de itt az effektív pénznél is nagyobb értékű információk haladnak sokszor összetákolt rendszerekben. Csak az ügyintézők ilyen kialudtak ...
Aztán szép lassan a hazai bankok is rájöttek az internetben rejlő új irányokra és vezetik be sorban az erre épülő olyan szolgáltatásokat, amik külföldön már sikeresek. Vonzóvá a kényelem és a kedvezőbb díjszabással tették. A nagy gond viszont az, hogy egy olyan problémás médiát kell a biztonságos belső rendszerhez kapcsolni, amin mindennaposak a kártékony betörések (a bank az ügyfelekig ér). Egy banknál sok pénz van, mégis sokszor gyenge és kevéssé átgondolt stratégiát választanak, nem kevésbé amiatt, hogy legtöbbjük az anyacég által távvezérelt, mint annyi minden hazánkban. Külföldön viszont mások a viszonyok mind az ügyfélkör elvárásai, mind a jogi szabályozottság terén. A magyar lakosságnak nagyon nagy a készpénz orientáltsága és a személyes ügyintézés iránti vágya. Ezért az internetes médiával szemben szkeptikusak, következésképpen kicsi az ügyfélkör, viszont nagyok a beruházások és a biztonsági kockázat. Hogy mégis belevágnak, amögött legtöbb esetben marketing megfontolások állnak. Az innovatív, gyors reagálású bank illúzióját hintik el csendben.
Nézzük, milyen szolgáltatásokat érhetünk el interneten keresztül!
A bankok általában ingyenesen adják a banknál vezetett számlához az internet-banking szolgáltatást, mindössze egy szerződést kell aláírnunk. A netbank igénylőlap igénylése és a szolgáltatás aktiválásának mechanizmusa bankonként eltérhet. Némely bank a szerződéskötéskor ad egy plug-int a böngészőnkhöz és megszabja annak verziószámát is, ami szükséges az adott biztonsági szinthez (általában 128 bites SSL kódolás). Ezek után csak egy böngészőre van szükség, hogy a bank online felületén keresztül elérhessük számlánkat. Általában a következő műveletekre vagyunk jogosultak interneten keresztül:
- Bankszámla kivonat letöltése
- Egyenleg és számlaforgalom lekérdezés
- Értesítés a tárgynapi számlamozgásról
- Belföldi átutalási megbízások indítása (egyszeri és tartós)
- Deviza alapú átutalási megbízások indítása
- Pénzlekötés
- Néhol a bankkártya PIN kódját is meg lehet változtatni
Az első komoly indok az internet-banking ellen a biztonságosság. Nézzük meg, milyen technikákat alkalmaznak a bankok!
A bank webszervere és a felhasználó gépe között a direkt ilyen célra kitalált https kapcsolat épül ki, mely SSL algoritmussal titkosítja az adatáramlást, általában 128 bites kódhosszúsággal, ellentétben a szokásos 40 bittel. Kerülendő az appletek (plug-inek) használata, mivel az az ügyfél gépére töltődik, így megfelelő idővel és tudással visszafejthető az alkalmazott titkosítás. A megoldás, hogy a bank a szerver oldalról dinamikusan építi ki és kommunikálja a folyamatokat. Ezen felül szerveroldalon több tűzfal is védi a belső rendszereket. A biztonságot apró, de annál fontosabb intézkedések is fokozzák. Ilyen az időkorlát, ami pár perc inaktivitás után automatikusan kijelentkezteti a felhasználót (session limit), vagy a rövidebb időnkénti jelszócsere esetleg az egy időben két helyről, egy azonosítóval való belépések tiltása.
Eltérő megvalósítások
A K&H-nál sajnálatos tapasztalatunk, hogy nagyon kevés böngészőt támogat, mellesleg azt sem értjük, hogy a háromból miért a Firefox az egyik, az Operát viszont kihagyták. Sok bank az eltérő fejlesztők miatt eltérő böngészőt és applet/ nem applet technikát választ, de persze nem ez szabja meg, hogy melyik bankot választjuk. :) A Raffeisen bank, mely az első 3 bankban van hazánkban, aki eBank szolgáltatásokat vezetett be, mára elég nagy tapasztalattal rendelkezik, talán ezért sem használ kliens oldali appleteket, nem tudni, vajon a keserű tapasztalatok miatt döntöttek-e így.
Az fenn felsorolt online számla-műveleteken kívül a kiegészítő funkciókban is jelentős eltérések vannak, de a versenyhelyzet miatt ezek folyamatosan egészülnek ki újabb kényelmi és/vagy biztonságtechnikai elemekkel. Egyre több az átfedés az internet, mobil és a bankkártyás szolgáltatások között, egyikről lehet állítani a másik átutalási és készpénz felvételi limitjét, PIN kódját, stb.
A dolog hatalmas hátrányát viszont érdemes kiemelni. Naivan azt lehet hinni, hogy ez a 21.század, az internet kora, tehát amelyik tranzakciót egyik helyen elindították, az közel fénysebességgel áthaladva a hálón, pár másodperc múlva könyvelődik. Ez azonban nem így van, ez nem bruttó elszámolási rendszer, tehát nem real-time a feldolgozás, főleg nem a bankok közötti GIRO rendszerben. A tranzakciók jellemzően kis értékűek, viszont sokan vannak, így a nap végéig összegyűjtik és egyszerre teljesítik őket, ez az ún. kötegelt mód. (megj.: Egyszer az OTP és az Erste bank közötti online utalás 3 napig tartott, közben mindketten egymásra mutogattak, senki nem tudott semmit. Azóta ezt a módot nem használta senki a családban.)
Egy lehetőség a szívásra
Az utóbbi év trükkös próbálkozásihoz tartozik az a csel, amivel értékes belépési kódokat szereztek meg okos emberek. Az internet banki szolgáltatást csak egyetlen honlapon keresztül lehet elérni, amit pedig az adott bank internetes felületén keresztül. A támadók azonban egy hamis honlapra irányították a számlatulajdonosokat, amin egy belépési felület volt, teljesen az adott bank design felületével. A gyanútlanok beütötték adataikat, majd az oldal ezt letárolta és átirányította a "hivatalos" felületre, ami "helytelen felhasználónév és jelszó" üzenettel tért vissza. Ismételt bosszús gépelés és lám, most be lehet lépni, megnyugvás, öröm. Mindeközben a kódjainkat már régen kiadtuk.
Aki idáig eljutott az olvasásban, azt így már nem lehet megtéveszteni! Hurrá!
Hardver
Az internet alapú szolgáltatás bevezetésével a bankoknak elsősorban az ügyfélkör szélesítése volt a célja. De ez a nem hagyományos csatorna olyan fejletlen informatikai időszakban érte a bankokat, hogy nem voltak képesek a mai napig sem kellőképp biztonságossá tenni. Körképet festünk.
Szöke Mónika - 2011. április 30. 14:05 - 
