Internetes biztonság
A történelem találmányai közül alighanem az internet terjedt el a leggyorsabban. Napról-napra egyre többen használják, és gombamód szaporodnak az új alkalmazások is. A mindennapi életben rengeteg dolgot intézünk online - a bevásárlástól a hivatalos ügyintézéseken és bankügyleteken át a baráti kapcsolatok ápolásáig. Mindezt otthonunk kényelméből tesszük, illetve egyre gyakrabban útközben a mobilunkról is.
Az új technológiák révén időt spórolunk, kevesebbet kell utaznunk, és hatalmas mennyiségű információhoz férünk hozzá bármikor, a világ szinte minden tájáról.
Az új digitális világ azonban nemcsak a jóhiszemű felhasználók számára vonzó, hanem a bűnözőket is vonzza. Egyre több a netes csalás és visszaélés. Lopott digitális személyazonossággal idegenek nevében és idegenek számlájára lehet online vásárolni vagy tárgyakhoz árveréseken hozzájutni. Nemcsak nagyvállalatok szenvedhetnek gazdasági károkat, hanem egyre gyakrabban olyan magánszemélyek is a csalók áldozatául esnek, akik túl könnyelműen bánnak a személyes adataikkal az interneten.
Éppen ezért a személyes adatok védelmének, valamint az internetes technológiák és az elektronikus média felelősségteljes kezelésének elsődleges prioritást kell élveznie. A Reiner típusú chipkártyaolvasó eszközökhasználatával az elektronikus ügyintézési tevékenységek biztonságos módon valósulnak meg.
Nincs olyan alternatív óvintézkedési mód, amellyel elérhető lenne ez a biztonsági szint. Ebben a fehér könyvben a chipkártyaolvasók alkalmazhatóságáról, valamint arról olvashat, hogy miért éri meg a legbiztonságosabb módot választani vásárláskor.
A DIGITÁLIS EMBER
A modern kor embere különféle ingyenes e-mail címekkel rendelkezik, a neten keresztül kezeli a bankszámláját, online vásárol színházjegyet, utazásokat foglal vagy éppen különleges borokat vásárol, netes árveréseken szerez be árucikkeket, tagja különböző közösségi hálóknak, online tárolja fényképeit, dokumentumait és címjegyzékeit, a világhálón intézi hivatalos ügyeit, rövid szöveges üzenetküldő szolgáltatásokon keresztül kommunikál, és gyakran még saját honlapja is van. Az otthoni PC-ről, az irodai számítógépről és egyre gyakrabban az okostelefonjáról lép be a kívánt fiókokba. Egyre csak gyűlnek a felhasználói azonosítók és a jelszavak - és a keveredés elkerülése végett, az egyszerűség kedvéért sok felhasználó mindig ugyanazokat a belépési adatokat adja meg. Elmenti a hitelkártyaszámokat és a banki adatokat a profiljában, hogy ne kelljen mindig újra megadnia őket.
Aztán hirtelen, egyik pillanatról a másikra eltűnik a pénz a számláról, törlődnek a gyerekekről készült képeket tartalmazó albumok, nyoma vész a naptárbejegyzéseknek. És ami még rosszabb: A saját Twitter-fiókjából rasszista bejegyzéseket tesznek közzé, a barátok és üzleti partnerek az ő nevében kapnak kéretlen leveleket és részvétnyilvánító e-maileket, vagy éppen olyan vásárlásokról érkeznek számlák, amelyek soha meg sem történtek.
Ami rémtörténetnek hangzik, az sajnos egyre mindennaposabbnak számít. Egyre gyakrabban hallani a médiában ilyen személyiséglopással járó hackertámadásokról. És a cégek mellett egyre gyakrabban magánszemélyek is áldozatul esnek. A BITKOM adatai szerint minden második internethasználónak volt már kellemetlen élménye a neten. Mondjuk ki: Aki eddig még nem tapasztalt ilyesmit, annak egyszerűen szerencséje volt.
Az anyagi veszteség sokszor jelentős, és az ártatlanság bizonyítása rendkívüli erőfeszítést igényel. Ezenfelül az adatok és dokumentumok sokszor végérvényesen elvesznek - mert mégis ki olyan lelkiismeretes, hogy rendszeresen biztonsági másolatokat készítsen?
Ezért megéri felülvizsgálni saját internethasználati szokásainkat, és az online biztonságot növelő intézkedéseket tenni.
CHIPKÁRTYAOLVASÓ ESZKÖZÖK
A chipkártyaolvasó eszközök chipkártyák - például az új személyi igazolvány vagy bankkártyák - kezelését és olvasását teszik lehetővé. A chipkártyák lehetnek érintésesek vagy érintésmentesek, tehát vagy be kell helyezni őket egy olvasóba, vagy rá kell helyezni vagy csak a közelébe kell tartani őket. Hasonlóképp különböző az olvasók felépítése és kialakítása is. Számos változatban, méretben és formában kaphatók.
Négy különböző biztonsági besorolású chipkártyaolvasó létezik a különböző magánhasználatú alkalmazásokhoz:
- 1-es biztonsági besorolás: az ebbe a kategóriába tartozó eszközöknek nincsenek különös biztonsági ismertetőjegyeik. Csupán összekapcsolják a chipkártyát a számítógéppel. Amennyiben PIN-kódot kell megadni, a felhasználó a számítógépe billentyűzetét használja ehhez. Ebbe a kategóriába tartozik a Reiner Basis típusú készülék.
- 2-es biztonsági besorolás: ezek az olvasók saját billentyűzettel (úgynevezett PINpaddel) rendelkeznek, így a személyes azonosító számot (PIN-kódot) a számítógép közbeiktatása nélkül, közvetlenül az eszközön lehet megadni. Ez növeli a biztonságot, és megakadályozza, hogy az esetleg észrevétlenül a számítógépre települt rosszindulatú számítógépes programok kifürkésszék a PIN-kódot. Nem zárható ki azonban, hogy hackerek a megadott adatokat a folyamat lezárása előtt manipulálják.
- 3-as biztonsági besorolás: ezek az eszközök a saját billentyűzet mellett kijelzővel is rendelkeznek. Ezen pl. banki átutalásnál megjelenik a fizetendő összeg és annak címzettje. Secoder®-olvasók esetén például a címzett számlaszáma is megjeleníthető. Így a felhasználó az elküldés előtt láthatja, ha egy észrevétlenül megbúvó rosszindulatú számítógépes program manipulálta a címzettet, az összeget vagy a számlaszámot, és megszakíthatja az átutalást. Az ebbe a kategóriába tartozó olvasókat javasoljuk az online banki ügyintézéshez és más - pl. az új személyi igazolvánnyal végzett - online tranzakciókhoz, valamint elektronikus aláírásokhoz. Ebbe a kategóriába tartozik a Reiner SCT Standard HUN típusú készülék.
- 4-es biztonsági besorolás: amennyiben igazolást nyer, hogy egy 3-as biztonsági besorolású olvasót az alkalmazás nem tud félreérteni vagy manipulálni, akkor 4-es biztonsági besorolású olvasóról van szó. Az ilyen olvasók beépített biztonságos kulcstárral rendelkeznek, ami rendszerint egy további (SIM-formátumú) intelligens kártyát jelent. Ahhoz, hogy az elektronikus személyi igazolvánnyal minősített elektronikus aláírást lehessen létrehozni, ebbe a kategóriába tartozó olvasóra van szükség.
ALKALMAZÁS
a) Online bankolás
Magyarországon is igaz, hogy emberek milliói intézik bankügyleteiket az interneten. A hitelintézetek a legkülönfélébb eljárásokat alkalmazzák ilyenkor. Legyen azonban óvatos! - nem mindegyik tekinthető valóban biztonságosnak.
TAN: Ennél az eljárásnál az ügyfél kap a hitelintézettől egy TAN-listát, és a rajta lévő számsorokat sorban és mindig csak egyszer használhatja. Ez a módszer ma már nem biztonságosnak számít.
iTAN: Ennél az eljárásnál az ügyfél kap a hitelintézettől egy számozott TAN-listát. Az online tranzakció során a rendszer kéri az ügyfelet, hogy adja meg az egyik, véletlenszerűen kiválasztott TAN-kódot a listáról. A tranzakció lezárása után az ügyfélnél megjelenik a szám és a hozzá tartozó TAN is. Ma már ez a módszer sem számít biztonságosnak.
mTAN: Az mTAN a „mobil TAN” rövidített verziója, melyet gyakran „SMS-TAN” néven is emlegetnek. Ezt a TAN-kódot a rendszer csak az online tranzakció során generálja, és a bank elküldi SMS-ben az ügyfél mobiltelefonjára. Az ügyfél megadja az mTAN-kódot, majd lezárja az online tranzakciót. 2010 óta ezt az eljárást sem tekintik biztonságosnak.
chipTAN: A chipTAN (a Volksbanknál: smartTAN) használatához az ügyfélnek TAN-generátort kell beszereznie. Az ügyfél behelyezi az ec-kártyáját az eszközbe, a hitelintézet megjelenít egy villogó mezőt az internetes oldalon, az ügyfél pedig közvetlenül a számítógép képernyője elé tartja a TAN-generátort, amely automatikusan generál egy TAN-kódot. Az így generált TAN-kód csak egyszer használható.
HBCI chipkártyaolvasó eszközzel: A HBCI-eljáráshoz („Homebanking Computer Interface”, otthoni bankoláshoz használt számítógépes interfész) az ügyfélnek (legalább 2-es biztonsági besorolású) kártyaolvasó eszközt kell beszereznie. A hitelintézettől kap egy chipkártyát, amelyen egy speciális online bankolási kulcs van lementve. A kártya az összes banki tranzakciót ellátja digitális aláírással. Az ügyfél minden online tranzakciónál közvetlenül az olvasó billentyűzetén adja meg a PIN-kódját – így a számítógépben esetleg észrevétlenül megbújó rosszindulatú számítógépes programok nem tudják kifürkészni a PIN-kódot.
Jelenleg a Secoder-standard szerinti HBCI számít a legbiztonságosabb eljárásnak. Ismereteink szerint ezt a konfigurációt ezidáig még nem érte sikeres támadás.
b) Online vásárlás
Az „igazi” boltban zajló hagyományos vásárlással ellentétben a számítógépen megkötött online üzletek esetében sem az ügyfél, sem az online bolt nem lehet teljesen biztos benne, hogy a másik fél valóban az, akinek mondja magát. Emiatt az online áruházak gyakran szembesülnek ügyfeleik hamis személyazonosságaival és kifizetetlen számlákkal, egyes vevők pedig a pontos fizetés ellenére sem a kívánt árucikket kapják.
Aki szeretné növelni üzleti kapcsolatainak biztonságát az interneten, használhatja online trankzakciókhoz az új személyi igazolványt.
2010. decembere óta lehet igényelni az új igazolványt, amely rendelkezik az úgynevezett online igazolvány funkcióval. Ennek segítségével az ügyfelek igazolhatják személyazonosságukat az interneten. Ennek párja az online boltok esetében az eID-szolgáltatás, melynek segítségével az új személyi igazolvány a webes ajánlathoz köthető. Ezzel mindkét fél tudja igazolni magát, és biztos lehet benne, hogy valójában kivel köt üzletet.
A vevőnek ehhez az aktivált online igazolvány funkcióval rendelkező új igazolvány és az ingyenes igazolvány alkalmazás mellett szüksége van egy chipkártyaolvasó eszközre is. Szakértők 3-as biztonsági besorolású olvasó beszerzését javasolják. Ideális esetben az olvasónak a Szövetségi Információtechnológiai Hivatal (BSI) által kiadott tanúsítvánnyal kell rendelkeznie. Magától értetődő módon az online üzletkötéshez természetesen a legújabb vírusirtó szoftverrel és tűzfallal védett számítógép is szükséges.
Az új személyi igazolvány és az olvasó kombinációja a biztonságos netes vásárlás mellett további lehetőségekkel is szolgál. Biztosítások révén lehetőség van arra, hogy a biztosítottnak ne kelljen többé az adatait kézzel beírnia a nyomtatványokra, hanem a szükséges adatokat leolvassák az igazolványból - ez mindkét félnek időmegtakarítást jelent, és csökkenti a hibás bevitel lehetőségét is.
Egyes vállalatok lehetővé teszik, hogy a zárt felhasználói csoportokba az új igazolvánnyal lehessen bejelentkezni - méghozzá abban az esetben is, ha valaki pl. blogokban vagy a közösségi médiában névtelen szeretne maradni.
Az online vásárlók akkor is használhatják igazolványukat, ha életkori korlátozás alá eső árucikkek vásárlásakor igazolni szeretnék az életkorukat. Adattakarékossági okokból ilyen esetben nem a teljes születési dátumot küldi el a rendszer, hanem csak azt erősíti meg, hogy a vásárló elért egy bizonyos életkort.
Hamarosan arra is lesz lehetőség, hogy az amúgy személyes jelenlétet és jogilag kötelező érvényű aláírást igénylő eljárásokat a minősített elektronikus aláírás segítségével biztonságosan és egyszerűen online módon, elektronikusan intézzük.