Pastaruoju metu vis dažniau diskutuojama apie Lietuvos banko nutarimą nuo lapkričio 1 d. didinti internetu atliekamų operacijų saugumą. Šis sprendimas lems, kad naudojantis bankų kodų kortelėmis atliekamų operacijų spektras žymiai sumažės. Taigi norint ir toliau naudotis visomis bankų teikiamomis paslaugomis internetu, klientai privalės įsigyti papildomą – saugesnę – tapatybės ir valios patvirtinimo priemonę – banko išduodamą generatorių ar elektroninį parašą. Kaip išsirinkti ir ką vertėtų žinoti apie kiekvieną jų?
Komentaro autorius Mindaugas Pelanis, asociacijos „INFOBALT“ El. parašo komiteto pirmininkas
Alternatyvos kodų kortelėms: el. parašas ar kodų generatorius?
Bankų kodų kortelės, ypač tos, kurių kodai gali būti naudojami pakartotinai, nėra itin saugi tapatybės ir valios patvirtinimo priemonė, tad siekiant apriboti jos naudojimą ir stiprinti saugumą kodų korteles naudojantys bankų klientai patirs tam tikrų suvaržymų: galės atlikti tik nedidelės vertės finansines operacijas arba naudotis tik tam tikromis sąskaitomis bei operacijomis. Jei kliento tokios sąlygos netenkins, jam teks pradėti naudoti kažkurią iš saugesnių tapatybės ir valios patvirtinimo priemonių – banko išduodamą generatorių ar el. parašą.
Kalbant apie vartotojui jaučiamus skirtumus tarp banko išduoto generatoriaus ir elektroninio parašo, svarbiausias jų – priemonės panaudojimo ribos. Banko išduotas generatorius yra tinkamas naudoti tik generatorių išdavusio banko elektroninėms paslaugoms. Tuo tarpu el. parašas – nesvarbu, kokia jo forma – tinkamas naudoti daugeliui el. paslaugų. Tuo pačiu el. parašu, kaip prisijungimo ir valios patvirtinimo priemone, galima naudotis jungiantis prie skirtingų bankų elektroninės bankininkystės sistemų ar kitų privataus sektoriaus elektroninių paslaugų, bendraujant su valstybės institucijomis kaip SoDra, VMI, Registrų Centras ir kt. per jų elektronines paslaugas. Be to, elektroninį parašą galima naudoti ir kuriant teisinę galią turinčius pasirašytus elektroninius dokumentus, kitaip tariant – pasirašyti dokumentą el. parašu, kurio galiojimas bus toks pat, kaip ir dokumento, pasirašyto ranka.
Kaip tai veikia?
Kalbant informacijos saugumo terminais, bankų kodų kortelė yra vienas iš kelių autentifikacijos faktorių – „tai, ką vartotojas turi“. Kiti faktoriai yra „tai, ką vartotojas žino“, pvz., slaptažodis, ir „tai, kas vartotojas yra“, pvz., vartotojo piršto anstpaudas. Saugiai autentifikacijai arba vartotojo tapatybės patvirtinimui reikia bent kelių faktorių. Paprastai tai būna „tai, ką vartotojas turi“ ir „tai, ką vartotojas žino“.
Banko išduotas generatorius arba el. parašas irgi yra „tai, ką vartotojas turi“. Tačiau kodų kortelę, o tiksliau – joje esančius kodus, nesunku nukopijuoti. Tai gali padaryti žmogus, trumpam paėmęs kortelę, arba kenkėjiška programinė įranga kompiuterio atmintyje, sekanti vartotojo įvedamus duomenis. Net teisėtas kortelės savininkas gali perduoti piktavaliams kortelėje esančius kodus.
Tuo tarpu generatoriaus ar el. parašo nukopijuoti neįmanoma. Tai – aukštesnės saugumo klasės priemonės. Beje, jų abiejų veikimo principas yra panašus – kiekvienos tvirtinimo operacijos metu banko internetinė svetainė bendrauja su įrenginiu, pateikdama unikalią užklausą ir laukdama tam tikro atsakymo. Net ilgą laiką sekant tokį bendravimą, neįmanoma suklastoti atsakymo ir taip apgauti sistemos. Tad pakeitus kodų korteles generatoriais ar elektroniniu parašu, tikimybė, kad kažkam pavyks apsimesti kuriuo nors banko klientu, gerokai sumažės.
Pasiruošimas – paprastas
Prieš priimdami sprendimus banko klientai, naudojantys bankų kodų korteles, turėtų pasidomėti, kokios bus šių priemonių galimybės po lapkričio 1 d. ir kokie galimi suvaržymai ar nepatogumai jų laukia. Galbūt vartotojus visos sąlygos tenkins ir priemonės keisti nereikės. Jeigu varotojas nuspręs, kad jam to negana ir reikalinga saugesnė priemonė, rekomenduojama paskubėti ją įsigyti jau dabar, mat tikėtina, kad rudenį susidarys norinčiųjų eilės. Kokią konkrečią priemonę pasirinkti – kiekvieno asmeninis sprendimas, priklausantis nuo priemonės naudojimo apimties, jos suteikimo sąlygų bei vartotojo įpročių. Visgi el. parašas laikomas patogiausiu sprendimu, tai – saugi, universali ir patogi priemonė.
Ryšių reguliavimo tarnybos duomenimis, 2014 m. pabaigoje Lietuvoje buvo išduota beveik 900 tūkst. galiojančių kvalifikuotų el. parašo sertifikatų: SIM kortelėse – kiek daugiau nei 71 tūkst., valstybės tarnautojo pažymėjimuose ir asmens tapatybės kortelėse – beveik 770 tūkst., o USB laikmenose ir kitose lustinėse kortelėse – 71,8 tūkst. Vaidoto Ramono, Ryšių reguliavimo tarnybos tinklų ir informacijos saugumo departamento direktoriaus pavaduotojo teigimu, 2014 metais kvalifikuotų elektroninio parašo sertifikatų skaičius SIM kortelėse išaugo 77,5, o USB kriptografiniuose raktuose ir lustinėse kortelėse (neskaičiuojant asmens tapatybės kortelių ir valstybės tarnautojų pažymėjimų) 7,2 proc. Tai rodo, kad žmonės vis aktyviau naudojasi elektroniniu parašu.