Ministerstvo vnitra České republiky  

Přejdi na

eGovernment


Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání


 

Hlavní menu

 

 

Bezpečnost elektronického podpisu a internetové bankovnictví

Ministerstvo vnitra zveřejňuje soubor doporučení pro osoby, které používají elektronický podpis. V případě, že je elektronický podpis používán pro „citlivé“ operace, např. internetové bankovnictví a finanční transakce obecně, je třeba věnovat těmto doporučením zvýšenou pozornost. 

Zákon č. 227/2000 Sb., o elektronickém podpisu stanoví podepisující osobě tyto povinnosti:

a) zacházet s prostředky, jakož i s daty pro vytváření zaručeného elektronického podpisu s náležitou péčí tak, aby nemohlo dojít k jejich neoprávněnému použití,

b) uvědomit neprodleně poskytovatele certifikačních služeb, který vydal kvalifikovaný certifikát, o tom, že hrozí nebezpečí zneužití jejích dat pro vytváření zaručeného elektronického podpisu (soukromý klíč); kvalifikovaný certifikát je následně zneplatněn.

Tyto povinnosti se vztahují na osoby, které používají kvalifikované certifikáty podle zákona o elektronickém podpisu. Pokud se používají jiné certifikáty, například vydané bankou nebo certifikáty označené jako komerční, jsou povinnosti osoby, pro kterou je vydán, zpravidla upraveny ve smlouvě o poskytovaných službách. Zákon o elektronickém podpisu vymezuje základní rámec pro užití elektronického podpisu v oblasti orgánů veřejné moci a při výkonu veřejné moci. Nestanovuje však podmínky jeho používání v soukromoprávní sféře.

V posledních týdnech byla v několika článcích zpochybňována „bezpečnost elektronického podpisu“. Kromě toho, že se často zaměňují a nevhodně používají pojmy jako elektronický podpis, digitální certifikát, soukromý a veřejný klíč, šifrování a hashovací funkce, dochází i k nepřesné interpretaci používaní elektronického podpisu v bankovní sféře, ve veřejné správě a v obchodní a soukromé komunikaci.

Pokud jde o používání elektronického podpisu, a internetové komunikace obecně, pro finanční operace, je nutné si uvědomit, že používání libovolného nástroje má svoje výhody a nevýhody a že každá činnost je spojená s určitým rizikem. Proto je vždy nutné najít vhodnou hranici mezi užitkem, mírou rizika a investicí do zabezpečení. A míru rizika minimalizovat.

Pro uživatele elektronické komunikace platí následující základní pravidla pro zvýšení bezpečnosti. Neuděláte chybu, pokud je uplatníte i při internetovém bankovnictví.

  • Při používání internetového bankovnictví postupujte důsledně podle pokynů banky. Nesdělujte nikdy a nikomu přístupové informace (uživatelská hesla, přístupové kódy). Přístupové informace po vás nikdy nebude chtít vaše banka. Pokud dostane e-mail s takovou žádostí nebo budete mít jakékoliv pochybnosti, kontaktuje příslušnou technickou podporu banky (nejlépe telefonicky). S vysokou mírou pravděpodobnosti se jedná o podvrženou zprávu, kterou neodeslala banka.
  • Pro kontakt s bankou používejte počítač, jehož systém je pravidelně aktualizován, má aktualizovaný antivirový program a je chráněn firewallem. Používejte vhodné programy pro detekci škodlivého software (malware, spyware apod.).
  • Nepoužívejte jako přihlašovací adresu na banku odkaz např. z e-mailu (phishing, webová stránka může být podvržená), ale do aplikace vstupujte výhradně přes oficiální stránky banky. Přenos dat do banky probíhá protokolem SSL (šifrovaně), který je bezpečnější než běžně používaný. Pozor na hlášení, která se zobrazují během komunikace s bankou (např. žádost o souhlas s výměnou certifikátu pro komunikaci, která je často příznakem pokusu o útok typu „man in the middle“). Tato hlášení je nutné pozorně číst a v případě pochybnosti nebo nejasnosti ukončit práci s aplikací a kontaktovat technickou podporu banky.
  • Zvažte investici do dalších zabezpečovacích zařízení a metod, které banky nabízejí, např. autentizační kalkulátory, čipové karty, potvrzení transakce následnou SMS, používání jednorázových autorizačních kódů. Tzv. dvoufaktorové ověření identity je daleko těžší napadnout než jednofaktorové (dva principiálně odlišné kanály je daleko složitější ovládat – například současně internetovou a mobilní komunikaci). To vás zpravidla bude něco stát, ale míru rizika tak snížíte výrazným způsobem.
  • Dodržujete vždy pokyny výrobce nebo dodavatele při využití dalšího přídavného hardwaru (například čtečky čipových karet, autentizačního kalkulátoru).
  • Pokud je pro komunikaci s bankou používán elektronický podpis, pro uložení soukromého klíče raději používejte čipovou kartu nebo jiný nosič, který je možné udržet pod vlastní kontrolou. Po každém použití vyjměte nosič (např. čipovou kartu z čtečky) a uložte na bezpečné místo. V případě, že se rozhodnete pro uložení soukromého klíče na pevný disk počítače, důsledně používejte pro přístup do počítače přístupové jméno a heslo. Soukromý klíč by měl být chráněn heslem a PINem.
  • Vždy volte „silná hesla“ (v délce minimálně osm znaků), aby je nebylo možné náhodně uhodnout. Jako hesla nevolte jména blízkých, číslo mobilu, data narození, slovníková slova apod. Využívejte také speciální znaky a číslice. Podrobnější informace naleznete například v e-zinu Crypto-World, nebo v článcích zveřejněných na webové stránce časopisů PC svět a PC WORLD
  • Pravidelně měňte hesla, nejméně tak často, jak to doporučuje provozovatel aplikace.
  • Co nejméně používejte aplikaci na nedůvěryhodných počítačích a rizikových místech (například internetové kavárny, nezabezpečené počítače).
  • Po ukončení práce se korektně odhlaste, zavřete okno používaného prohlížeče. Pokud dojde k nestandardnímu chování systému, kontaktujte technickou podporu banky.
  • Nenavštěvujte nedůvěryhodné zdroje dat (internetové stránky s podezřelým obsahem). Nestahujte neznámé soubory, mohou obsahovat viry a další škodlivé programy.
  • Věnujte zvýšenou pozornost práci s nedůvěryhodnými e-maily (neznámý odesílatel, podezřelý předmět, případně obsah, spam), neotevírejte jejich přílohy a neklikejte na odkazy, pokud jsou v těchto e-mailech uvedeny.

Dodržováním těchto jednoduchých pravidel zvýšíte bezpečnost elektronické komunikace včetně internetového bankovnictví a ochráníte sebe a svůj počítač před možným zneužitím. Každý člověk by si měl osvojit základní bezpečnostní návyky, které pomohou předejít možnosti „zneužití“ elektronického podpisu. Pokud je používán kvalifikovaný certifikát, je vždy nutné, aby se podepisující osoba seznámila s daty, která podepisuje. Jiné certifikáty mohou být používány i pro autentizaci nebo šifrování.

Bezpečnosti na internetu se věnuje trvale velká pozornost, existuje mnoho zdrojů i v českém jazyce, pro vážné zájemce o problematiku bezpečnosti elektronického podpisu je k dispozici celá řada odborné literatury i internetových stránek, které se tomuto tématu podrobně věnují, např.

sekce e-podpis webových stránek Ministerstva vnitra,
e-zin Crypto - World,
webové stránky BUSLab,
webové stránky Linux Security,
bulletin Microsoft Security
nebo osobní stránky našich předních kryptologů Vlastimila Klímy a Tomáše Rosy.

vytisknout  e-mailem