Ar saugi internetinė bankininkystė?

Tame banke nėra eilių, nėra nuobodžiaujančių tarnautojų. Jis veikia vis¹ par¹, kreiptis į jį galima telefonu arba per Internet¹. Bet ar už visus šiuos patogumus netenka mokėti saugumo s¹skaita?

Nors, anot firmos Datamonitor duomenų, Europoje elektronine bankininkyste jau naudojasi beveik 66 mln. žmonių, visuomenės apklausos nuolat liudija, kad visame pasaulyje klientai ja pasitiki kur kas mažiau nei tradiciniais bankais (nepakankamai saugia j¹ laiko nuo kelių iki keliolikos procentų apklaustųjų). Reikalas ne tas, jog sunkiai uždirbtus pinigus klientui tenka paversti abstrakčiais banko kompiuterių elektroniniais impulsais. Daugeliu atvejų klientas negali įvertinti, ar bankas yra pakankamai apsaugotas nuo elektroninių nusikaltėlių puolimo. Kai užeiname į tradicinį bank¹, regime grotas, seifus, šarvuotas duris ir ginkluotus sargybinius. Elektroniniame banke tėra vien šifrai ir slaptažodžiai, kurių efektyvum¹ labai sunku įvertinti.

Nepasitikėjim¹ elektronine bankininkyste nuolat didina ir žiniasklaidoje skelbiama informacija apie sensacingus įsilaužimus (net jei iš tikrųjų nei bankas, nei jo klientai jokių finansinių nuostolių ir nebūtų patyrź), tokius, kaip įsilaužimas į bankininkystės milžino ABN Amro internetinź svetainź, kai į savo s¹skait¹ buvo perpumpuoti kitų banko klientų pinigai. Šį atvejį verta panagrinėti įdėmiau, nes jis yra daugeliu požiūrių labai tipiškas.

Pirma: dalį kaltės privalo prisiimti banke dirbź informatikos specialistai. Jie laikė daug duomenų apie įvairias operacijas slaptažodžiais neapsaugotoje bazėje, į kuri¹ buvo galima patekti per Internet¹.

Antra: tarp banko klientų buvo nemažai lengvatikių. Du studentai hakeriai neapsaugotoje duomenų bazėje susirado informacij¹ apie elektroninių vartotojų adresus ir, apsimesdami banko tarnautojais, išsiuntinėjo jiems elektroninius laiškus. Tuose laiškuose jie prašė savo kompiuteryje instaliuoti 'papildym¹' programai, kuri buvo naudojama rišantis su banku. Iš tikrųjų tai buvo vadinamasis Trojos arklys - tam tikras kompiuterinis virusas, kuris ne tik leido hakeriams pasiekti vartotojų kompiuterius, bet ir užtikrino, kad visi apgautųjų klientų pervedami pinigai pasiekdavo vienintelź įsilaužėlių nurodyt¹ banko s¹skait¹.

Ir trečia: apie visa tai jūs dabar skaitote tiktai todėl, kad banko vadovybė pasielgė ne itin protingai. Abu hakeriai pradžioje pranešė bankui, kad jų sistemoje yra 'skylė'. Tik tada, kai kelias savaites jie nesulaukė jokio atsakymo, o saugos sistemos plyšys vis dar buvo atviras, studentai ryžosi pasidalinti informacija su žiniasklaida. Galima tiktai įtarti, kad daugelis bankų, rūpindamiesi sav¹ja reputacija, apskritai slepia informacij¹ apie įsilaužimus. Pagal nepatvirtintus vertinimus, kuriuos 2000 m. kovo mėnesį paskelbė žurnalas 'Forbes', jau tuomet metiniai Amerikos bankų nuostoliai, patirti dėl elektroninių įsilaužimų, siekė 100 mln. dolerių.

Kartais bankai ir kitos didelės kompanijos už nemažus pinigus nusisamdo buvusius hakerius, kad šie pabandytų įsilaužti į jų sistemas ir taip patikrintų, ar jos yra pakankamai gerai apsaugotos.

'Vieno didelio koncerno Lenkijos filiale darėme audit¹, - prisimena interviu, duotam lenkų laikraščio 'Gazeta Wyborcza' žurnalistui buvźs hakeris, o dabar tokias paslaugas teikiančios firmos savininkas Krzysztofas. - Koncerno šefui matant mano vaikinai per 12 minučių sugebėjo perimti visos sistemos administratoriaus teises. Po 30 minučių jie jau turėjo 90 proc. visų firmos slaptažodžių. Tuo metu jie jau visiškai valdė visas s¹skaitas, galėjo prieiti prie slaptos derybinės informacijos, techninės dokumentacijos ir įvairios korespondencijos, įskaitant ir asmeninius koncerno vadovo laiškus. Visa koncerno valdyba, stovėjusi prie mūsų nešiojamojo kompiuterio ekrano, išbalo nuo išg¹sčio, nes visa tai reiškė, kad jie savo firmoje taikstėsi su labai aplaidžiu kompiuterių sistemos administratoriaus darbu'.

Ar perskaitź šias krauj¹ stingdančias eilutes jūs dar patikėtumėte savo pinigus internetiniam bankui? Ne? Visai be reikalo. Verta prisiminti, kad dauguma įsilaužimų turi vien¹ bendr¹ savybź: dėl jų kaltas žmonių naivumas ir kvailumas. Saugos sistemoje silpniausia grandis yra ne pati technologija, o žmogus. Ties¹ sakant, kompiuteris skiriasi nuo tradicinio seifo visai nedaug: kompiuteris gali būti prastai apsaugotas nuo įsilaužėlių, bet t¹ patį galima pasakyti ir apie seifus. Skiriasi tik patys įsilaužėlių naudojami būdai - kompiuteriniai plėšikai rečiau naudojasi autogenu ir visrakčiais. Saugos ekspertai sako, kad skirtumai dažniausiai tėra grynai psichologiniai - kai banko klientas mato masyvų pastat¹ ir storas į saugykl¹ iš grūdinto plieno vedančias duris, jis mano, kad bankas yra stabili ir saugi institucija. Gi banalūs asmeniniai kompiuteriai tokio įspūdžio niekam nepaliks. Juk jie stovi ant kiekvieno rašomojo stalo, juos galima rasti kiekviename pašte, o norint sunaikinti pakanka vieno spyrio koja.

Žmonės visada norėjo palengvinti sau darb¹. Tame nėra nieko blogo - kitaip iki šiol gyventume urvuose. Tačiau kartais elektroninių bankų savininkams nesiseka rasti kompromisų tarp saugos procedūrų ir savo darbuotojų tingumo. Jūsų, banko klientų, atžvilgiu tai reiškia, kad ten saugomi mūsų pinigai nėra pakankamai saugūs. Kas nors, pavyzdžiui, banko tarnautojas gali juos pavogti. Didžiausiųjų firmų svarbiausia bėda yra tinklo viduje veikiantys hakeriai. Tie, kurie įsidarbino firmos skyriuose ir yra legalūs sistemos vartotojai.

Kokia būtų viso šio pasakojimo moralė? Trivialu, bet tenka dar kart¹ pakartoti: mūsų saugumas visų pirma priklauso nuo mūsų pačių. Jeigu gatvėje paliksime portfelį su pasirašytais banko čekių blankais ir po to prarasime pinigus, galėsime kaltinti tiktai save. Jeigu prie monitoriaus prisiklijuosime lipduk¹ su internetinio banko slaptažodžiais, rezultatas bus lygiai toks pat.