Atklāj, ka klientu atpazīšana caur internetbankām ir nedroša

Tallinas Tehnoloģiju universitātes students Arnis Paršovs no Latvijas pētījumā atklājis, ka gandrīz visos gadījumos klientu atpazīšana caur internetbankām ir nedroša, ziņo TV3 raidījums «Nekā personīga».

Raidījums norāda, ka dažos gadījumos pietiktu pat tikai ar sveša cilvēku vārdu un personas kodu, lai jebkurš piekļūtu tikai konkrētam lietotājam domātajai informācijai, raksta Apollo.lv.

Pētījumā minētās nepilnības gan nekādā veidā neattiecas uz pašu internetbanku drošību. To uzrauga Finanšu un kapitāla tirgus komisija un komisija apliecināja, ka visas operācijas, kas saistītas ar klientu naudas pārskaitījumiem, ir drošas.

Paršovs norāda – problēma rodas apstāklī, ka dzīvē netiek pārbaudīts tas, kuram portālam dati ir paredzēti, vai šie dati jau nav tikuši izmantoti, un cik veci ir šie dati. Paveras iespēja kādam negodprātīgam portāla administratoram saņemt cita cilvēka datus, lai tālāk autentificētos citos portālos ar cita cilvēka identitāti.

Ja situāciju salīdzina ar pases uzrādīšanu, tad bankas kā apliecinājumu izsniedz  pasi bez fotogrāfijas, vai bez pases derīguma termiņa, vai pavisam bez kādas plašākas informācijas par klientu un portāli notic, ka nepilnīgais dokuments apliecina Jāņa Bērziņa īstumu.

Datorspeciālists eksperimentāli pārliecinājās, ka gandrīz 20 analizētajiem portāliem ir drošības problēmas, kas saistītas ar autentificēšanos caur internet bankām.

Tika pārbaudīti 17 Latvijas portāli un visos portālos tika atrastas drošības kļūdas. Ja lielu daļu kļūdas var novērst paši portāli, tad divu banku – «Citadele» un «Swedbank»- gadījumā šīs kļūdas sākumā ir jānovērš bankām.

Par atklājumiem jūnijā Paršovs ziņoja Latvijas nacionālajai IT drošības incidentu novēršanas institūcijai «Cert». Iestāde uz karstām pēdām pārbaudījusi, ka Arņa atklājumi patiešām ir patiesi un nopietni.

«Cert» pārstāvji secina, ka problēmas rada nepilnīgā informācijas apmaiņa starp bankām un interneta portāliem. Latvijā nav noteikts, kādas ziņas bankai jāiekļauj elektroniskajā dokumentā, kas apliecina klienta īstumu.

Savukārt portāli uzticas bankām un no savas puses nepārbauda, vai saņemtās ziņas ir drošas.

«Cert.lv» vadītāja vietnieks Varis Teivāns norāda, ka saite starp banku un pakalpojuma sniedzēju faktiski neeksistē. «Ir iespējams teorētiski realizēt atsevišķos gadījumos uzbrukumus, ka uzbrucējs var savākt kādā noteiktā laikā datus par lietotāju, kas taisās autentificēties, izmantojot internetbanku kādā pakalpojumu sniegšanas servisā, pārtvert tos un izmantot teorētiski kādā citā pakalpojuma sniedzējā,» skaidro Teivāns.

Pētījumā pārbaudītās bankas savas kļūdas atzīst negribīgi. Viņuprāt kibernoziedznieku uzbrukums klientu datiem esot ļoti teorētisks un dzīvē maz iespējams. Tomēr bankas jau gatavojot izmaiņas, lai klientu dati, kas tiek sūtīti citiem portāliem, būtu vēl drošāki.

Gan bankas, gan kibernoziedznieku ķērāji «Cert» uzskata, ka lielākā atbildība ir internetportālu pusē. Tie nepārbauda, vai ziņas par klientiem ir drošas.

«Cert» jūnijā satraucošās ziņas nodevis banku uzraugam FKTK. Komisijas vadība apliecina – bankām par viņu nepilnībām ir paziņots un nu jāgaida, kad tās savas sistēmas sakārtos.