Sigurnosni aspekti elektronskog i mobilnog bankarstva

Sadržaj 1 Uvod 2 Elektronsko bankarstvo 3 Internet bankarstvo u Hrvatskoj 4 Rizici u elektronskom bankarstvu 5 Mobilno bankarstvo 6 Praktični dio: Primjer PBZ Internet i mobilno bankarstvo 7 Zaključak 8 Literatura

Uvod

U ovom radu najprije ćemo navesti neke općenite značajke elektronskog i mobilnog bankarstva te mjere sigurnosti koje se provode, a kasnije ćemo na primjeru pokazati kako funkcionira mobilno bankarstvo u Privrednoj banci Zagreb. Razvoj tehnike je u današnjem svijetu sve više i više izraženo i sve više poduzeća u svoje poslovanje uvodi elektronsko poslovanje. Isto tako je sve više raširena primjena mobilnih uređaja u svrhu poboljšanja načina poslovanja poduzeća. I banke sve više uvode u svoje poslovanje primjenu mobitela čime dolazi do širenja mobilnog bankarstva.

Elektronsko bankarstvo

Elektronsko bankarstvo možemo opisati kao bankarstvo gdje se iskoristila sve veća zastupljenost interneta na način da se ta moderna računalna tehnologija koristila kako bi se olakšalo poslovanje u bankama i ubrzalo načinom obavljanja transakcija te da bi se olakšalo upravljanje financijama. U slučaju da neki korisnik želi koristiti elektronsko bankarstvo on mora zadovoljiti nekoliko uvjeta. Potrebno je da korisnik ima, prije svega, račun u određenoj banci te računalo sa konekcijom prema internetu ili pak mobilni uređaj. Isto tako, potrebne su osnovne vještine kod rada sa računalom. Takav način bankarstva se uvodi iz razloga je postoje mnogobrojne prednosti takvog načina poslovanja u odnosu na klasično poslovanje. Na primjer smanjeni su troškovi transakcija, obrt sredstava postaje brži, štedi se na vremenu obavljanja poslova u banci, postoji opcija da se transakcija obavi kod kuće ili na poslu te imamo mogućnost stalnog uvida u stanje našeg računa i u promet našeg računa. (parafrazirano sa [1]

Vrste elektronskog bankarstva

Osnovna podjela elektronskog bankarstva je na PC bankarstvo te mobilno bankarstvo. PC bankarstvo se dijeli na Internet i desktop bankarstvo. Razlika između ta dva bankarstva se očituje u načinu pristupa sustavu pa se tako kod Internet bankarstva sustavu pristupa preko Internet web stranice, a kod desktop bankarstva se sustavu pristupa preko aplikacije koju moramo prethodno instalirati na računalo. Za razliku od PC bankarstva, mobilno bankarstvo nam pruža pristup sustavu i uvid u stanje računa preko mobilnog uređaja. (parafrazirano sa [2]

Internet bankarstvo u Hrvatskoj

Kako bi se vidjela raširenost Internet bankarstva navest ću primjer istraživanja Erste grupe koje pokazuje koliki postotak građana koriste Internet bankarstvo s obzirom na dobnu granicu. Istraživanjem je utvrđeno da internet bankarstvo najviše koriste građani između 15 i 29 godina, 43%, zatim između 30-49 godina (36%), a najmanja zastupljenost je kod građana starijim od 50 godina, 13%. Sljedeći podaci koje je izdala HNB govore o ukupnoj vrijednosti transakcija putem interneta u prvih 6 mjeseci 2014. koja je iznosila 36,37 milijardi kuna. Uspoređujući sa ostalim zemljama oko nas to bi izgledalo ovako: Češka (64%), zatim Slovaci (63%), Austrijanci(47%), Mađari (41%), Hrvati (27%), Rumunji(25%) Srbi (14%). (parafrazirano sa [3]

Rizici u elektronskom bankarstvu

Iako je elektronsko bankarstvo dovelo poboljšanja u poslovnom svijetu, uz razne prednosti postoje i nedostaci. Prije svega, to se odnosi na prisutnost različitih rizika u elektronskom bankarstvu te se zbog toga mora posvetiti pozornost određenoj razini sigurnosti i korisnici se moraju upoznati sa raznim sigurnosnim mehanizmima prije nego se odluče koristiti aplikacijama koje nude banke. S druge strane, banke moraju pružiti dovoljnu razinu sigurnosti i uspostaviti mjere kako bi spriječile moguću pojavu rizika u elektronskom poslovanju i na taj način spriječile utjecaj napadača i osigurale zaštitu sebi i svojim korisnicima. (parafrazirano sa Vućenović, 2010.) Prema istraživanju spomenutom u časopisu profitiraj.hr, 43 % svih napada na internetu događa se upravo u području bankarstva. (preuzeto sa [4]
Dakle, nije dovoljno samo napraviti aplikaciju za računalo ili mobitel. Potrebno je provesti neke mjere zaštita od upada treće strane.

Mjere sprječavanja nastanka rizika u elektronskom bankarstvu

Tu se uglavnom misli na mjere vezane uz kriptiranje i dekriptiranje podataka. Bitno je da banke imaju tehnologiju zasnovanu na javnom i privatnom ključu. Ta dva ključa predstavljaju algoritamski par što znači da ukoliko znamo javni ključ još uvijek ne možemo znati privatni ključ korisnika. Na primjer, imamo nekog korisnika i određenu banku. Korisnik odluči platiti račun aplikacijom na netu. U tom slučaju banka ima javni ključ toga korisnika. Kada je korisnik otvorio aplikaciju i izdao nalog za izvršavanje transakcije, on šalje poruku koju prethodno šifrira sa vlastitim privatnim ključem. Banka korištenjem javnog ključa korisnika dešifrira poruku korisnika i potvrđuje autentičnost korisnika nakon čega se transakcija može izvršiti. Sljedeći bitan postupak kod autentifikacije integriteta podataka je digitalni potpis. Verifikacija se obavlja na način da korisnik najprije izračunava hash vrijednost poruke i kriptira poruku svojim tajnim ključem, a zatim se šalje kriptirana poruka zajedno sa sažetkom. Banka izračunava sažetak poruke i javnim ključem korisnika dekriptira kriptirani sažetak. Ukoliko su ta dva sažetka znači da poruka nije mijenjana. Digitalne certifikate izdaje CA(Certificate Authorithy), institucija analogna MUP-u koji izdaje osobn iskaznice građanima. Potrebne su i mjere zaštite na tehničkom sloju. To znači da je potrebno postaviti vatrozid, tj. sustav logičkih barijera kojim se kontrolira pristup zaštićenoj mreži i zabranjuje neprihvatljive sadržaje. (parafrazirano sa Vućenović, 2010.)

Mobilno bankarstvo

Prije 1999. godine mobilno bankarstvo se obavljalo na način da su se transakcije obavljale putem SMS-ova, tzv. SMS bankarstvo. To je bilo zbog toga jer nije bilo mobilnih telefona koji su podržavali WAP (Wireless Application Protocol). Tek nakon 1999. godine dolazi do korištenja mobilnog interneta i uvođenja mobilnih telefona, tzv. smartphone-ova koji su podržavali WAP. Već smo ranije rekli da mobilno bankarstvo spada u elektronsko bankarstvo. Plaćanja se kod mobilnog bankarstva obavljaju putem mobilnih uređaja, dakle to su tzv. bežična plaćanja organizirana putem mobilne mreže. To je najnoviji način poslovanja i obavljanja plaćanja i ostalih bankarskih transakcija koji ima razne pogodnosti u odnosu na tradicionalni način poslovanja. Prije svega, brzina i pogodnost obavljanja transakcija. Korisnici se mogu služiti mobilnim bankarstvom ako su ispunili nekoliko uvjeta. Prije svega, potrebno je da imaju mobilni uređaj koji podržava WAP. Isto tako, bitno je da operater korisnika podržava sve usluge vezane uz mobilnu aplikaciju. I naravno, moraju imati račun u banci. Tek toliko da se vidi raširenost mobilnog gospodarstva u Hrvatskoj, pronašla sam podatak koji je 2010. objavio pružatelj informacija o mobilnom tržištu, Wireless Intelligence. (parafrazirano sa [5]
„Broj mobilnih priključaka u svijetu je premašio 5 milijardi te se Hrvatska iste godine sa otprilike 600 000 priključaka mobilnog bankarstva našla u europskom prosjeku.“ (citat sa [6]

Usluge mobilnog bankarstva

Neke od usluga koje se najčešće koriste su sljedeće:(preuzeto sa [7]

• Provjeravanje stanja i prometa na tekućim, deviznim i žiroračunima
• Provjeravanje kunskih i deviznih oročenja
• Provjeravanje stanja kredita, stambene štednje i kreditnih kartica
• Plaćanje računa u kunama
• Prijenos sredstava s jednog računa na drugi
• Kupnja i prodaja deviza
• Kupnja GSM bonova

Prednosti mobilnog bankarstva:(preuzeto sa [8]

• Mobilnost, tj. potpuna neovisnost o lokaciji te je transakcije moguć obavljati sa bilo kojeg mjesta u Hrvatskoj i svijetu
• Kontrola svih transakcija
• Pristup bankovnom računu putem mobilnog telefona bilo kada i bilo gdje s naglaskom da u inozemstvu dostupnost se temelji na globalnom roamingu i dostupnosti mreže u zemlji u kojem se nalazimo
• Jednostavno rukovanje
• Plaćanje je moguće obaviti u roku od samo nekoliko minuta te nema potrebe za odlaskom u samu poslovnicu banke što još više štedi vrijeme i novac

Nedostaci mobilnog bankarstva:(preuzeto sa [9]

• Pitanje sigurnosti
• Pitanje autentikacije
• Pitanje privatnosti
• Razina razvijenosti mobilnih telekomunikacijskih mreža

Praktični dio: Primjer PBZ Internet i mobilno bankarstvo

PBZ, punim nazivom Privredna Banka Zagreb je banka koja je, u želji da prati trendove tehnološkog razvoja, 2000. godine počela pružati usluge Internet bankarstva. U Hrvatskoj je PBZ banka koja je druga po veličini. Prva je Zagrebačka banka. (parafrazirano sa [10]
Prema podacima sa PBZ Internet stranice, PBZ nudi sljedeće Internet usluge: (parafrazirano sa [11]

• PBZ365@NET – internet bankarstvo za građane i obrtnike
• PBZCOM@NET – internet bankarstvo za poduzeća
• mPBZ – mobilno bankarstvo
• PBZ365TEL – telefonsko bankarstvo
• PBZ365-SMS – SMS bankarstvo
• PBZ INVESTOR – internet bankarstvo za trgovanje vrijednosnicama

PBZ365@NET i PBZCOM@NET

PBZ365@NET i PBZCOM@NET su usluge koje se odnose na internet bankarstvo. Razlika između tih dviju usluga je u tome što PBZ365@NET predstavlja internet bankarstvo za građane i obrtnike, a PBZCOM@NET predstavlja internet bankarstvo za poduzeća, tj. pravne osobe. Nakon što korisnik sklopi ugovor za korištenje tih usluga mora preuzeti PBZ mToken. PBZ mToken je mobilna aplikacija koja služi kao čitač kartica, tj. kao identifikacijski uređaj kod plaćanja internetom. Nakon sklopljenog ugovora i preuzimanja identifikacijskog uređaja korisniku je omogućeno plaćanje putem interneta, pristup vlastitim bankovnim računima putem interneta, provjera stanja na tim računima, razne transakcije ili pak uplate rata kredita te mnoge druge opcije. (parafrazirano sa [12] i [13]

Sigurnost PBZ Internet usluge

Kako bi se osigurala sigurnost PBZ Internet usluga, PBZ primjenjuje sustav javnih i tajnih ključeva. U nastavku ću nabrojati na koje se segmente PKI infrastrukture u banci obraća pozornost, a kasnije ću iznijeti specifikaciju njihovog internetskog bankarskog sustava. Dakle, segmenti na koje PBZ obraća pozornost su: (parafrazirano sa [14]

• elektronički potpis
• autentičnost Privredne banke Zagreb na Internetu
• zaštita podataka tijekom njihova prolaska Internetom
• zaštita informacijskog sustava Privredne banke Zagreb
• identifikacija korisnika
• autorizacija

Prema Zakonu o elektroničkom potpisu, elektronički potpis je "skup podataka u elektroničkom obliku koji su pridruženi ili logički povezani s drugim podacima u elektroničkom obliku i koji služe za identifikaciju potpisnika i vjerodostojnosti potpisanoga elektroničkog dokumenta". (citat: Zakon o elektroničkom potpisu)

Možemo reći da je to jedan od najvažnijih segmenata jer se pomoću njega osigurava sljedeći bitan segment, a to je identifikacija korisnika. Elektroničkim potpisivanjem se ostvaruje elektroničko potpisivanje dokumenata koje korisnici razmjenjuju sa PBZ. Temelji se na tehnologiji javnog i privatnog ključa koja je opisana u prethodnim dijelovima rada, a zahtjeva korištenje tzv. Smart Card koje svaki korisnik dobiva u procesu certifikacije, a certifikacija se odvija uživo, licem u lice. (parafrazirano sa [15]

"Smart-kartica je kartica u kojoj se nalazi ili mikroprocesor i memorijski čip ili samo memorijski čip. Na kartici koja sadrži mikroprocesor postoji mogućnost upisivanja podataka, brisanja ili neke druge vrste manipulacije podacima. Kartica koja ima samo memorijski čip može izvoditi samo predefinirane funkcije. Smart-kartice, za razliku od kartica s magnetskom trakom, sadrže sve potrebne funkcije i informacije potrebne za autorizaciju, zbog čega u trenutku transakcije nije potreban pristup udaljenim bazama podataka. Kako biste se mogle koristiti, potreban je čitač smart-kartica koji mora biti instaliran na računalu. Čitač, kao i softver potreban za instalaciju čitača na računalo, korisnik mora kupiti od banke pri registraciji za uslugu." (citat sa [16]
Smart Card je osigurana na način da svaki vlasnik za korištenje jedne takve kartice ima PIN, tj. Personal Identification Number. Dakle, prije nego li se korisnik prijavi u PBZCOM@NET ili PBZ365@NET mora imati pametnu karticu koja ima svoj PIN te nakon toga može potpisati dokument. Aplikacija provjerava potpis korisnika kako bi se utvrdilo tko je korisnik i ima li valjanu karticu. Dakle, vrši se identifikacija korisnika. Ona je važna iz razloga jer korisnik mora biti siguran da se nitko drugi umjesto njega ne može predstaviti i poslovati u njegovo ime. Upravo iz toga razloga je bitno da korisnik ima dva broja, identifikacijski i jednokratni tajni broj kojeg generira token. Token je elektronički uređaj veličine kreditne kartice i izgleda sličnog kalkulatoru, a za njegovo uključenje potrebno je upisati PIN, tj. osobni identifikacijski broj poznat samo korisniku. Kako bi se zamijenilo fizičko korištenje tokena na mobilni uređaj je potrebno instalirati PBZ mToken. Token na temelju toga broja generira i ispisuje jednokratni tajni broj. Važno je napomenuti da je nakon svakoga uključenja njegova vrijednost različita od svih prethodnih vrijednosti. Tu vidimo dvostruku mjeru sigurnosti jer ukoliko dođe do krađe tokena nitko ga ne može uključiti bez PIN-a. Isto tako, nakon obavljene identifikacije jednokratni tajni broj više nije moguće rabiti pa nije moguća ni zloporaba u slučaju prisluškivanja tijekom njegova slanja u PBZ. Bitno je naglasiti da korisnici PBZ Internet usluga PBZ mToken mogu koristiti ukoliko imaju omogućen GPRS pristup internetu te im mobilni telefon mora podržavati Java2 Mobile Edition (J2ME) verzije MIDP 2.0 i CLDC 1.1. (parafrazirano sa [17]

Uz identifikaciju korisnika bitna je i identifikacija banke, tj. poslužitelja. Upravo zbog toga PBZ poslužitelji ima certifikat prihvaćen od tvrtke VeriSign. Taj certifikat korisnik može provjeriti na njihovoj web stranici. Naime, na njihovoj naslovnoj stranici ima sličica VeriSign Secure Site. Ukoliko kliknemo na nju otvara se prikaz na kojem se nalaze certifikati. Korisnik mora u certifikatu koji se prikazao provjeriti naziv poslužitelja (Name), zatim ima li Status vrijednost 'Valid', od kojeg do kojeg datuma vrijedi certifikat (Validity Period) te njegovu pripadnost PBZ-u (Organization, Country, State i Locality). (parafrazirano sa [18]

Kada korisnik izmjenjuje podatke s poslužiteljem PBZ-a potrebno je enkriptirati te podatke, a to se radi uporabom SSL protokola. Točnije, enkripcija uključuje postojanje tajnog ključa koji se sastoji od niza brojeva. Ti brojevi su kreirani na random način od strane korisnikovog pretraživača i to u slučaju svakog spajanja na poslužitelj. Taj tajni ključ se zaštićuje tehnikom enkripcije javnim i privatnim ključevima te se nakon toga dostavlja poslužitelju. Možemo biti sigurni da je SSL veza uspješno uspostavljena ukoliko se u krajnjem donjem dijelu pretraživača pojavi sličica zatvorenog lokota. Time smo osigurali zaštitu podataka tijekom njihova prelaska internetom. (parafrazirano sa [19]

Još je potrebnu osigurati autorizaciju plaćanja koja se obavlja prije nego li korisnik obavi određenu transakciju i to na način da korisnik utipka upit u svoj uključeni token. Upit kreira poslužitelj na slučajan način i u obliku je šesteroznamenskastog broja. Upit se kreira prilikom svake autorizacije plaćanja na internet stranici za izvršenje plaćanja. Nakon toga se korisniku ispisuje drugi posebni broj, tzv. odgovor (Response) koji predstavlja enkriptirani upit, a enkripcija se obavlja s nedostupnim tajnim ključem pohranjenim u tokenu. S tim istim tajnim ključem poslužitelj dekriptira odgovor. U slučaju da je rezultat dekripcije jednak poslanome upitu, potvrđuje se identitet korisnika i autorizacija plaćanja. Dakle, vidimo da je svrha autorizacije dodatno onemogućiti napadaču ubacivanje u vezu.(parafrazirano sa [20]

I naposljetku, potrebno je zaštititi informacijski sustav u PBZ-u. To se osigurava vatrozidom koji konstantno nadzire protok podataka.(parafrazirano sa [21]

mPBZ

Osim Internet bankarstva, PBZ koristi i mobilno bankarstvo pa tako imaju aplikaciju mPBZ pomoću koje korisnici mogu obavljati transakcije i pregledavati račun sa bilo kojeg mjesta. Kako bi objasnili kako funkcionira ova mobilna aplikacija pomoći će nam korisnik Perica. Najprije ćemo objasniti kako ona funkcionira sa korisničkog aspekta te ćemo kasnije vidjeti specifikacije mobilnog bankarskog sustava te kako izgledaju transakcije promatrajući klijentsku i serversku stranu. Kako bi Perica uopće mogao početi sa korištenjem mPBZ aplikacije on najprije mora imati tekući ili žiro račun u PBZ-u te neki mobilni telefon koji podržava WAP ili WEP enkripciju. To može biti iPhone, iPad i iPod Touch uređaj, Android uređaj ili uređaj koji podržavaju Java 2 Mobile Edition. Isto tako, mora se uvjeriti da ima dovoljno memorije za spremanje programske podrške na mobilni uređaj (oko 300 kB) te mora imati omogućen GPRS pristup internetu s mobilnog uređaja. Naš Perica ima račun u PBZ-u, Android uređaj i ispunjene sve tehničke elemente koji se traže. Sada mora otići u PBZ kako bi ugovorio uslugu i preuzeo aktivacijski kod te instalirao mPBZ aplikaciju na svoj Android uređaj. Ponovimo, instaliranjem programske podrške mPBZ u mobitel, instalira se i PBZ mToken koji jamči potpunu sigurnost rada. Isto tako, mPBZ se automatski isključuje nakon 3 minute neaktivnosti ili nakon 3 uzastopna neispravna unosa aktivacijkog koda ili PIN-a. (parafrazirano sa [22]

Postupak ugovaranja usluge mPBZ na uređaju Android

Nakon što ste ugovorili uslugu u poslovnici na mobilni telefon će stići poruka od pošiljatelja mPBZ s poveznicom (linkom) za preuzimanje mPBZ programske podrške

Potrebno je otvoriti link i preuzeti mPBZ aplikaciju. Ugovaranje je također moguće putem PBZ365@NET. U tom slučaju nakon pristupa na PBZ365@NET odaberite

Nakon uspješne autorizacije prikazat će se identifikacijski i autorizacijski kod koji su potrebni za aktivaciju aplikacije

Nakon toga će na vaš mobilni uređaj stići SMS poruka sa linkom za preuzimanje aplikacije App Store-a.

I eto, Perica je preuzeo aplikaciju. Sada mu preostaje aktivirati uslugu mobilnog bankarstva. To će učiniti tako da unese aktivacijski kod koji je dobio SMS porukom. Taj aktivacijski kod se unosi samo prilikom prvog pokretanja aplikacije. Kad je unio aplikacijski kod mora definirati PIN koji ima između 4 i 8 numeričkih znakova, a koristi se za pokretanje tokena.

Ukoliko imamo slučaj da se krivo unese PIN mobilna usluga se automatski zaključava te je ponovno potrebno ugovoriti uslugu. Isto tako, u slučaju trominutne neaktivnosti, programska podrška se gasi. Aplikacija ima glavni izbornik unutar kojeg se nalaze sljedeći podizbornici:

• RAČUNI
• PLAĆANJA
• ŠTEDNJA
• KARTICE
• KREDITI I 365 POZAJMICE
• GSM BONOVI
• INVESTICIJSKI FONDOVI
• MJENJAČNICA
• LOKACIJSKE USLUGE

Kako bi se lakše pristupilo podizbornicima u glavnom izborniku koriste se redni brojevi ispred izbornika, a pomoću tipki natrag, nastavi, uredi, potvrdi, glavni izbornik omogučeno je kretanje unutar programske podrške. Evo opisa značenja nabrojenih tipki:

• Natrag - povratak na prethodni ekran
• Nastavi - nastavak na slijedeći ekran
• Uredi - omogućava uređivanje podataka u unosnim poljima
• Potvrdi - potvrda unesenih podataka i završetak unosa
• Gl. izbornik - povratak na glavni izbornik

Postupak plaćanja računa korištenjem usluge mPBZ na uređaju Android

Perica je odlučio platiti račun korištenjem mPBZ. Najprije mora otvoriti PBZ mToken i unijeti PIN koji je odredio kod aktivacije.

Nakon toga je ušao u mobilnu aplikaciju PBZ mToken gdje glavni izbornik izgleda kao na slici ispod.

Zatim dobiva svoj jednokratni tajni broj.

Još je potrebnu osigurati autorizaciju plaćanja koja se obavlja prije nego li Perica obavi određenu transakciju i to na način da utipka upit u svoj uključeni token. Upit kreira poslužitelj na slučajan način i u obliku je šesteroznamenskastog broja. Nakon toga se Perici ispisuje drugi posebni broj, tzv. odgovor (Response) koji predstavlja enkriptirani upit, a enkripcija se obavlja s nedostupnim tajnim ključem pohranjenim u tokenu. S tim istim tajnim ključem poslužitelj dekriptira odgovor. U slučaju da je rezultat dekripcije jednak poslanome upitu, potvrđuje se identitet Perice i autorizacija plaćanja.

Nakon što je autorizacija obavljena Perica je ulogiran u mPBZ.

U glavnom izborniku odabere podizbornik plaćanja. Vidimo na slici ispod da podizbornik plaćanja ima također svoje podizbornike.

Perica izabire podizbornik Novi nalog unutar izbornika Plaćanja.

Odabire polazni račun i popunjava ostale podatke i gumb nastavi. Time je plaćanje obavljeno.

Isto tako je u aplikaciji moguće vidjeti i na primjer promet tekućeg računa, detalje tekućeg računa i izvršene naloge. To je prikazano na donjim slikama.

Specifikacije mobilnog bankarstva na primjeru PBZ-a

Možemo reći da je on-line i mobilni bankarski sustav zapravo softverski sustav. Razumljivo je da softver ima dvije strane: klijent i server. Između njih je isto tako potreban i SIM provajder koji će osiguravati komunikaciju između klijenta i banke. Kažemo da imamo visoku razinu arhitekture mobilnog bankarskog sustava. Na klijentskoj strani je korisnik Perica koji se koristi svojim Android mobilnim telefonom u kojem je SIM kartica, a serverska strana (PBZ) treba GPRS. Androidom šaljemo SMS poruku do PBZ-a, ali prije toga poruka prolazi kroz „operatorsku stranu“ gdje imamo server koji osigurava komunikaciju između Perice i PBZ te je na taj način omogućena transakcija između SIM kartice u Peričinom Android uređaju te servera na strani PBZ-a. Server operatera prima Peričin zahtjev, interpretira zahtjev, formatira ga i prosljeđuje zahtjev do PBZ-a. Isto tako, server operatera prima odgovor PBZ-a i šalje ga do SIM kartice Android uređaja. Server PBZ-a ima zadaću autentifikacije Perice, mora osigurati komunikaciju i transakciju između Perice i PBZ-a, mora održavati konekciju operatera i PBZ-a te mora korištenjem sigurnog modula osiguravati sigurnost transakcija. To bi značilo da kada je server PBZ-a zaprimio zahtjev, nazovimo to tako, hardverski sigurnosni modul PBZ-a obavlja kriptografske operacije, tj. generira ključeve transakcija te vrši kriptiranje i dekriptiranje osjetljivih informacija. Takozvani hardverski sigurnosni modul je dodatno pojačan sa mobilnim vatrozidom za sigurne poslovne transakcije. Na serverskoj strani PBZ-a imamo i adapter koji je potreban samo kada se koriste nestandardna sučelja u PBZ, a koristi se kao prilagodljiv modul koji prevodi poruke u i iz formata koji se koristi u PBZ-u. To bi značilo da izolira specifičnosti sučelja njihovog bankovnog sustava. Gateway pomaže operatorima ponuditi SIM kartice i u kontekstu mobilnog bankarstva služi kao „relej poruka“ između Peričinov Android uređaja i servera operatera prevodeći ih iz SMS formata u HTTP format. Sve ove komponente koriste standardne protokole i sučelja kako bi komunikacija između Perice i PBZ-a bila moguća. Proces komunikacije je u tom slučaju sljedeći: SIM kartica šalje zahtjev koristeći SMS poruku. Gateway operatera prevodi tu poruku iz SMS u HTTP zahtjev prije slanja do servera operatera. Nakon toga server operatera prosljeđuje HTTP zahtjev do servera PBZ-a koji komunicira sa hardverskim sigurnosnim modulom kako bi se izvršile kriptografske operacije te sa ostalim sustavom banke preko adaptera. Bankovni sustav odgovara, ali prije nastavka je potrebno šifrirati sve potrebne informacije. Sada server može formatirati i proslijediti svoj odgovor do servera operatera kako bi server operatera mogao poslati odgovor do gateway-a. Sada je još samo potrebno sastaviti odgovor koji se šalje na SIM pomoću SMS kanala. Što se tiče sigurnosti i povjerljivosti informacija mobilno bankarstvo mora osigurati tzv. end-to-end sigurnost i povjerljivost podataka kodiranjem informacija u SIM kartici, GSM mreži, infrastrukturi operatera i u konekciji sa bankom. Sve informacije koje unosi Perica su prikupljane i kriptirane pomoću apleta u SIM kartici. Osjetljivi podaci poput PIN-a i transakcijski detalji se ne pohranjuju ni u SIM kartici ni u platformi, nego su svi takvi podaci pohranjeni u bankovnom sustavu koji je kriptiran. Vidjeli smo kako izgleda transakcija sa gledišta korisnika. No, što se to zapravo događa kada Perica inicira transakciju. Perica je zatražio zahtjev za pregled stanja računa. On unosi PIN za potvrdu transakcije i nakon što je zahtjev kodiran i potpisan u SIM kartici šalje se na server operatera kroz Gateway, a server operatera komunicira sa serverom u banci. Server u banci dekriptira podatke vezane uz transakcije na računu, prevodi PIN, prevodi zahtjev i šalje ga bankovnom sustavu na obradu. Nakon što je server dobio tražene podatke odgovor se šalje do operatera koji ga prosljeđuje do SIM kartice. U SIM kartici je odgovor dešifriran i prikazan Perici. Na sljedećoj slici nalazi se grubi prikaz funkcioniranja bankarskog sustava PBZ-a. [prevedeno sa [23]

Izvor: izrada autora

Zaključak

Elektronsko i mobilno bankarstvo ima mnogo prednosti. Na primjer nije potrebno dugo čekanje u redovima banke te je na taj način njihovim klijentima ušteđeno mnogo na vremenu. Ali, opet s druge strane potrebno je paziti na razne sigurnosne zahtjeve kod korištenja bankarskih aplikacija. Bitno je da korisnici kod upotrebljavanja internet i mobilnih bankarski apliakcija paze na to da imaju dugu i kompliciranu lozinku te da ne prihvaćaju poruke od nepoznatih pošiljatelja i ne preuzimaju aplikacije koje nisu provjerene. S druge strane, banke moraju koristiti razne tehnologije zaštite informacijskih sustava koje su u koraku sa razvojem svjetskih trendova.

Literatura

http://www.ef.uns.ac.rs/Download/informacioni_sistemi_u_finansijama_bankarstvu_i_osiguranju/2012-06-06-ISuFBO-e-Banking.pdf
http://www.slideserve.com/shayla/e-banking
http://www.pbz.hr/internetsko_bankarstvo#.VL2b1ivF-Bo http://com.pbz.hr/sigurnost.html https://net.pbz.hr/doc/sigurnost365_hr.pdf http://www.gemalto.com/brochures/download/mob_banking_product.pdf https://www.scribd.com/doc/94013825/Software-Requirements-Specification#scribd http://onlinebanka.pbz.hr/mtoken.html#.VL1bqSvF-Bo http://onlinebanka.pbz.hr/dokumenti/Korisnicka_uputa_za_mPBZ.pdf http://onlinebanka.pbz.hr/mpbz.html http://www.wisegeek.com/what-are-the-different-types-of-mobile-banking-technology.htm