Finanční instituce jsou pro jednotlivce i podniky již po staletí symbolem důvěryhodnosti. Podepsaná bankovní karta je například zárukou při nákupech spotřebitelů. Banky slouží jako důvěryhodní prostředníci i při těch nejvýznamnějších mezipodnikových transakcích. Na finanční organizace se dlouhou dobu pohlíželo jako na velké, vážené instituce, jejichž tradiční model podnikání je odjakživa neměnný.


Pozice těchto institucí je však v poslední době vážně ohrožena, a to ze dvou důvodů. Prvním je liberalizace trhu a druhým exponenciální růst Internetu. S tím, jak služby, které byly kdysi doménou velkých organizací, přecházejí do rukou i menších nových firem, ztrácí se dělicí čára mezi bankami, makléřskými firmami a pojišťovnami. Finanční instituce mohou s pomocí Internetu výrazně snižovat náklady, získávat nové trhy a zdokonalovat služby poskytované zákazníkům. Zjištění, že finančnictví je odvětví, kterému podnikání on-line přináší výrazné snížení nákladů a zvýšení produktivity, obsahuje i nedávná čtvrtletní zpráva analytické společnosti McKinsey. Současně však Internet staví finanční instituce před nové problémy v podobě zvýšené konkurence, nutnosti přechodu z tradičních modelů podnikání na elektronické operace a nutnosti řešit otázky zajištění bezpečnosti a ochrany důvěrnosti dat zákazníků i transakcí on-line.

Otázka bezpečnosti je neoddiskutovatelně tou největší překážkou na cestě k úspěchu elektronického finančnictví. Týká se totiž toho nejvlastnějšího, co finanční instituce vždy představovaly.

Důvěryhodné webové finanční služby
Mezi nejvýznamnější aktivity finančních institucí na webu patří:

. Bankovnictví on-line - jak retail bankovnictví (B2C), tak i komerční bankovnictví (B2B).
. Aplikace usnadňující mezipodnikové transakce (B2B), jako jsou převody finančních prostředků a zásobování podniků.
. Aktivity v oblasti extranetů k vnitropodnikovému využití i k zajištění komunikace s partnerskými organizacemi.

Problematika bezpečnosti je ve všech výše uvedených oblastech obdobná, přestože její význam je v nich různý a rozdílná je i její složitost. Elektronické finančnictví musí požívat stejnou důvěru, jako je tomu v případě tradičního modelu. Musí být jasné, že subjekt je opravdu tím, za koho se vydává (autentifikace), že je oprávněn vstupovat do transakcí (autorizace), transakce nesmí být nijak ohroženy, tj. odposlouchávány či měněny (integrita, důvěrnost, šifrování) ani je žádná ze stran nesmí zapřít (princip neodmítnutí).
 

Autentifikace a autorizace
Rozmach bankovnictví on-line nesplnil původní očekávání. Jako hlavní důvod se často uvádí velmi malá důvěra spotřebitelů. Klienti se všeobecně obávají, že jejich účty budou vystaveny útokům hackerů. Četné novinové titulky o mediálně atraktivních bezpečnostních incidentech a prohlášení typu "počítačová kriminalita je jednou z nejrychleji se rozvíjejících trestných činností a ohrožuje národní bezpečnost a celé hospodářství", jež pronesl ředitel FBI Louis J. Freeh, to jen podporují.

Proto banky hledají způsoby, jak dokázat, že web je pro ně bezpečný. Ověřování totožnosti všech účastníků transakcí je v tomto ohledu prvořadou záležitostí. V retailingovém bankovnictví máme obvykle co do činění se dvěma stranami, klientem a jeho bankou. V oblasti komerčního bankovnictví je často stran více, jako např. v situaci, kdy finanční instituce stojí mezi rozličnými organizacemi v roli zprostředkovatele finančních transakcí. Přitom je nejdůležitější vědět, s kým jednáme (autentifikace) i to, jaké transakce má daný subjekt právo realizovat (autorizace).

Protože inteligentní čipové karty (smart cards) mají podobný formát jako nám všem známé platební karty (kreditní, resp. debetní), většina bank zvažovala jejich využití v bankovnictví pro soukromé klienty. Protože výrobci osobních počítačů prozatím nezačali dodávat čtečky těchto karet jako součást svých výrobků, jsou inteligentní karty hardwarovým problémem. Standardy inteligentních karet nejsou také ještě definitivní, což působí potíže s kompatibilitou. Některé banky uvažovaly o tom, že své klienty vybaví čtečkami inteligentních karet. Od této myšlenky však upustily jednak z důvodu vysokých pořizovacích a provozních nákladů zařízení a jednak kvůli nedostatečným zkušenostem zákazníků s jejich instalací a nastavováním. I přes uvedené problémy zůstávají inteligentní karty nadále v centru pozornosti celé řady bank. Většina dnešních bankovních aplikací on-line bude však nadále při identifikaci klientů používat hesla, a to až do chvíle, kdy se technologie inteligentních karet stane životaschopnější.

Autentifikace zákazníka pomocí ID a hesla uživatele je zjevně v rozporu se zdravým rozumem. Všichni lidé jsou zvyklí na současné používání debetní karty a PINu v bankomatech. Těžko by však souhlasili s tím, kdyby jim banky navrhly, aby se zbavili karet, a místo nich zadávali jenom ID uživatele. Takové nejisté zabezpečení nelze přece v internetovém bankovnictví používat! V současnosti vystupují do popředí ještě další slabiny - používání mnoha přístupových hesel. Uživatelé si totiž vybírají jednoduchá hesla, která lze snadno uhodnout, častým zlozvykem je hesla si zapisovat a vzájemně půjčovat, helpdesky jsou zaplavovány spoustou žádostí, jež se nějak vážou k heslům, a tak by bylo možno pokračovat.

Jednou z alternativ je používat digitální certifikáty, jež umožňují uložit digitální oprávnění, resp. "bezpečnostní pas" v rámci webového prohlížeče, telefonu s podporou WAPu nebo osobního digitálního asistenta (PDA). Na této cestě jsou skryta dvě úskalí.

1. Prvním je přístup k digitálním certifikátům, který je většinou neomezený, a kdokoli se jednou zmocní zařízení, v němž jsou uloženy, má možnost přístupu ke všem službám on-line, jež může používat skutečný vlastník. Vzpomeňme si v této souvislosti na několik případů z nedávné minulosti, kdy vrcholovým vedoucím pracovníkům finančních institucí byly ukradeny notebooky. Jakmile se zloděj tímto způsobem zmocní něčí digitální totožnosti, může zadávat objednávky, získává přístup k citlivým datům a může jménem okradené osoby vstupovat do transakcí. Nikdo mu přitom nedokáže, že je někým jiným. Něco takového je přece snem každého hackera. Přístup k digitálnímu certifikátu lze sice chránit heslem, tím se však dostáváme zpět ke všem problémům s tím spojeným. Hesla jsou navíc mimo oblast vlivu finanční instituce a neumožňují vybudovat odolnou bezpečnostní politiku.
 
2. Druhým problémem je, že digitální certifikáty omezují působnost svého majitele na osobní počítač nebo jiné zařízení, ve kterém jsou uloženy. Digitální certifikáty tak ztrácejí ještě více na zajímavosti, protože jedním z hlavních příslibů internetového bankovnictví je, že styk s bankou bude možný kdykoli a kdekoli, ať už z domova, z kanceláře nebo z internetové kavárny. Problém návaznosti certifikátu na konkrétní osobu neřeší ani poslední vývoj v této oblasti, kdy certifikát lze stáhnout do libovolného prohlížeče.

Třetí možností autentifikace uživatelů je využití určitých jedinečných osobnostních prvků. Tento způsob je znám pod názvem biometrie a patří sem snímání otisků prstů nebo skenování sítnice. Cena těchto technologií se neustále snižuje, jejich přesnost neustále roste a snáze se i ovládají. Přesto však bude trvat ještě nějaký čas, než dojde k jejich masovému rozšíření.

Všechna možná řešení tak přinášejí více problémů, než jich sama řeší. To platí jak o úrovni zabezpečení, pořizovacích a provozních nákladech, tak i o oblasti zavádění a podpory. Ideálním řešením jsou tzv. tokeny. Tuto technologii tvoří odolná dvousložková autentifikace, jednorázový přístupový kód, je přenositelná a minimálně zatěžuje uživatele. Vlastní autentifikace spočívá v něčem, co uživatel vlastní (token). Tento předmět při každém použití vygeneruje nový přístupový kód a uživatel musí navíc ještě druhou složku nutnou pro přístup znát (ID uživatele nebo heslo). Bezpečnostní software tokenů umí pracovat s uživatelskými profily. Pojišťovna tak například může definovat, které informace jsou dostupné či nedostupné jednotlivým finančním poradcům, přistupujícím k jejímu extranetu. Bezpečnost práce on-line se tak ještě více zvyšuje.

Výhodou tokenů je i to, že bezpečnost se jejich prostřednictvím stává něčím, co je hmatatelné, a co klienti díky tomu považují za důvěryhodnější. Navíc existují v celé řadě formátů, jako např. zařízení velikosti kreditní karty nebo klíčenky a snadno se používají. Poskytovatel finančních služeb může token využít i k posílení identity své značky, protože je může dodávat se svým logem. To nabývá na významu především u bank, které existují pouze on-line, nejsou vidět na hlavních třídách měst, a přesto mohou budovat svou firemní identitu. Investice do tokenů tak přináší nejenom zvýšenou bezpečnost, ale je výhodná i z hlediska marketingu a snižuje správní režii i zátěž helpdesku.

Důvěrnost a šifrování
Finanční instituce tedy úspěšně autentifikovala a autorizovala svého zákazníka a nyní s ním chce začít obchodovat. V této fázi musí nezbytně zajistit, že její spojení s klienty je bezpečné a transakce zůstane zachována v tajnosti.

Zde vstupuje do hry šifrování typu Secure Sockets Layer (SSL). Při něm je informace před odesláním zakódována a na straně příjemce, jemuž je určena, je zpětně dekódována. Neoprávněná osoba, jež takovou informaci zachytí, uvidí místo původního obsahu jen řádky znaků, které nedávají žádný smysl. Při vývoji standardu SSL hrála významnou roli společnost RSA Security. SSL je dnes standardní součástí všech prohlížečů. Implementace tohoto standardu na straně finančních institucí je jednoduchá a pro uživatele je zcela transparentní. Při použití prohlížeče společnosti Microsoft se na stavové liště jednoduše zobrazí ikonka visacího zámku. Uživatel je tak informován, že SSL je v provozu. Implementace standardu SSL je velmi jednoduchá a velké množství webů shromažďujících citlivá data (např. údaje o kreditních kartách) jej v současné době používá.

Většina finančních institucí má v oblasti styku se zákazníky zájem o implementaci bezpečnostních prvků typu SSL. Bohužel se nedá říci to samé o systémech zpracování vnitropodnikových transakcí těchto institucí. Firmy se totiž musí pečlivě zabývat nejenom šifrováním dat posílaných po Internetu, ale i servery a databázemi, na nichž jejich internetové aplikace běží. V databázích finančních institucí jsou ukládány klientské údaje zásadního významu, jejichž ochrana se řídí ustanoveními zákona na ochranu osobních údajů. Účinnou ochranu v této oblasti poskytuje šifrování. Tato technika i možnost přísné kontroly přístupu pomocí techniky tokenů existuje už celou řadu let. Výsledky průzkumu Institutu pro počítačovou bezpečnost (Computer Security Institute) a FBI podtrhují význam vnitropodnikové kontroly přístupu. 71 % společností totiž zjistilo neoprávněný přístup ze strany nespokojených lidí uvnitř podniku.
Internetové aplikace obvykle využívají jak systémy pro styk s klienty, tak i systémy pro zpracování vnitropodnikových transakcí. Ty musí být navzájem pečlivě provázány, protože právě zde dochází k většině bezpečnostních incidentů. Celá řada medializovaných případů z poslední doby (společností Barclays, Powergen, Virgin a Egghead.com), kdy došlo k vyzrazení čísel kreditních karet zákazníků i dalších údajů, byla důsledkem kombinace příčin v podobě špatně napsaného kódu a skutečnosti, že údaje v databázi pro zpracování vnitropodnikových transakcí nebyly šifrovány. V některých případech se dokonce vůbec nejednalo o zlý úmysl, ale data byla prozrazena náhodou. Řádné zabezpečení vnitropodnikových transakcí je další oblastí, kde se finanční instituce mohou odlišit od konkurence a zvýšit bezpečnost klientů při podnikání on-line.

Odpovědnost a audit - veřejné klíče (PKI)
Po provedení autentifikace a zajištění nepřetržité bezpečnosti dat je nutno se vypořádat i s problematikou pečlivého vedení auditních záznamů. Ty slouží ke sledování jednotlivých činností a zajišťují, že jednotlivé strany transakce ponesou za své činy odpovědnost. Finanční instituce i jejich klienti musí být schopni prokázat, že transakce skutečně proběhla, zachovat ovzduší důvěry a vyhnout se možným sporům. Při správném zvládnutí technické stránky věci může elektronický podpis zajistit i neodmítnutí. To znamená, že žádná ze stran transakce nemůže popřít něco, co opatřila svým elektronickým podpisem. V současnosti již existuje příslušná legislativa Evropské unie, a to v podobě direktivy EU o elektronických podpisech. Ta od všech členských států vyžaduje, aby do 19. července 2001 zavedly systémy a postupy zajišťující právní závaznost elektronických podpisů, která bude srovnatelná s právní závazností fyzických podpisů. "Síla důkazu", jejíž zvážení je v pravomoci soudce, však v případě elektronického podpisu neobstojí bez účinné ochrany klíčů elektronických podpisů, kde musí být bezpodmínečně zajištěno navázání fyzické totožnosti jedince na jeho totožnost elektronickou.
 
Elektronické podpisy jsou běžně implementovány jako součást komplexního nasazení infrastruktury veřejného klíče (PKI). Tato technologie je v současné době v oblasti elektronické bezpečnosti všeobecně přijímána, a to včetně správy elektronické totožnosti a právní závaznosti transakcí a komunikace on-line. Součástí PKI jsou veškeré šifrovací techniky nutné ke správě digitálních certifikátů. Tato technologie se jeví jako lákavé nejkomplexnější řešení důvěryhodného elektronického obchodování. Pro finanční instituce je v oblasti Internetu zcela zásadní zavedení infrastruktury, jež vychází ze standardů. Umožňuje jim totiž snadno a efektivně obchodovat s ostatními společnostmi, jimž je Internet vlastní. Systémy využívající standardy jsou důležité nejenom z hlediska vzájemné spolupráce, ale i z hlediska možného prokazování skutečností v budoucnosti. Protože technický pokrok jde tak rychle dopředu, je při posuzování bezpečnostní infrastruktury nutno se zaměřit především na otázku její rozšiřitelnosti a dodržování standardů.

Cílem konsorcia Identrus je dát technologii PKI právní a podnikatelský rámec. V oblasti finančních institucí se jedná o unikátní záležitost, která je významným hnacím momentem při rozšiřování technologie PKI v rámci bank a finančních institucí. Konsorcium Identrus pracuje na principu uzavřeného sdružení. Jeho posudek je zárukou, že společnost splňuje přísné podmínky "členství" v oblasti digitálních certifikátů, je důvěryhodná a ostatní organizace s kladným posudkem konsorcia Identrus s ní mohou obchodovat. Snaží se tak "dokončit přeměnu Internetu z riskantního prostředí, kde nakupují pouze spotřebitelé málo hodnotné výrobky a služby, na důvěryhodný globální trh, kde lze obchodovat v jakémkoli rozsahu". Aplikace pro mezipodnikové transakce již zavedlo několik předních bank. Jedná se především o oblast elektronických tržišť, systémy zpracování zpráv, přenos dokumentů, prodej obchodních pojistek, měnové burzy, platby faktur on-line a komerční internetové bankovnictví.
 
Podle stanoviska konsorcia je PKI pouze infrastrukturou. Růst a všeobecné rozšíření mezipodnikových transakcí v oblasti elektronického finančnictví zajistí až vlastní aplikace, které tuto technologii budou používat. Stále více aplikací pro zpracování finančních transakcí podporuje PKI. Dodavatelé bezpečnostních řešení nabízejí sady nástrojů určené jak k dodatečné implementaci PKI do stávajících aplikací, tak i k vývoji aplikací nových. Již brzy budou moci finanční instituce svým klientům nabídnout kompletní sady produktů a služeb on-line. Přínos Internetu je nejvyšší tam, kde elektronické služby nahrazují stávající systémy, jež vyžadují množství papírování a které jsou náročné na pracovní síly při zachování naprosto srovnatelné úrovně právní vynutitelnosti.

Bezpečnost jako strategická investice
Bezpečnostní politika se až donedávna považovala spíše za projekt, který je jednoznačně v kompetenci oddělení informačních technologií a ne za celopodnikový strategický cíl, vyžadující podporu představenstva společnosti. Vrcholové vedení podniku se musí otázkami bezpečnosti zabývat a musí je považovat za prostředek umožňující vlastní podnikání a udržování náskoku před konkurencí, místo toho, aby na tuto oblast pouze pohlíželo jako na nutné zlo. Přínos bezpečných internetových služeb může být sice obrovský, ovšem i jakékoli chyby vedoucí ke zveřejnění údajů klientů, neoprávněné manipulaci s aktivy společnosti nebo zabraňující hladkému průběhu obchodování mohou mít katastrofální následky.

Bezpečnostní politika
Je rozumné uskutečnit malý audit podnikových elektronických procesů, který pomůže vyhodnotit potenciální rizika. V jeho rámci je vhodné podrobit revizi stávající bezpečnostní opatření, jako např. analyzovat antivirovou ochranu a používání hesel. Výsledky auditu jsou základem bezpečnostní politiky, v jejímž rámci jsou definovány postupy a počítačové aplikace, které podnikání chrání a zároveň je i umožňují.

K popisu rámcové strategie stačí většinou jen jedna nebo dvě stránky. Především by se měla zaměřit na následující okruhy problémů:

. klasifikace informací, které chce podnik chránit,
. identifikace bezpečnostních hrozeb a podnikatelských rizik,
. rozhodnutí o úrovni zabezpečení, nutné v oblasti podnikání on-line.

Výsledkem analýzy předchozích tří bodů je porovnání potenciálních nákladů na ochranu podnikání s náklady potenciálního bezpečnostního incidentu.

Doporučovaná praxe pro oblast informační bezpečnosti
Stanovení bezpečnostní politiky může usnadnit britská norma BS7799, kterou vydal britský normalizační institut (BSI). Ta obsahuje i příklady osvědčených postupů v oblasti informační bezpečnosti.

Chtějí-li finanční instituce uspět se svým elektronickým podnikáním, musí investice do bezpečnosti považovat za strategické. Je třeba, aby si pro elektronickou bezpečnost vybraly silného partnera, a přitom pečlivě zvažovaly i možnosti dalšího rozšiřování bezpečnosti.

Závěr
V nové ekonomice budou úspěšné jenom ty finanční instituce, které zvládnou používání internetových technologií. Základem všeho je důvěryhodné prostředí, a to jak pro oblast home banking, tak i pro rozsáhlé obchodní transakce. K využití potenciálu internetových aplikací je nutno zavést odolnou a rozšiřitelnou bezpečnostní politiku, vycházející ze standardů. Její vlastní obsah závisí na potřebách každé jednotlivé organizace a na hodnotě informací, ke kterým by se narušitel mohl dostat. Vždy však musí obsahovat základní stavební kameny, jimiž jsou autentifikace, šifrování a možnost auditu.

Pozn. red.: Autor článku, Tim Pickard, je ředitelem pro strategický marketing ve společnosti RSA Security, jejíž produkty a služby v současnosti pomáhají více než 300 předním světovým finančním institucím při ochraně důvěrných informací. Získané zkušenosti posloužily jako výchozí materiál tohoto článku, jehož cílem bylo seznámit čtenáře s možnými řešeními, jež finančním institucím pomohou maximalizovat potenciální přínos Internetu a zároveň jim umožní se vyhnout některým úskalím.