Jelena Obradovi

Milo Dragosavac
Sonja Arsi

Primena
savremenih
tehnologija u
bankarstvu zloupotrebe i
mogua
reenja

U cilju dostizanja to bolje trine pozicije, u uslovima postojanja

ogromne konkurencije, rastuih zahteva klijenata i korienja novih
tehnologija, banke prolaze kroz proces tehnoloke revolucije.
Prolazei kroz taj proces, sve vie svojih usluga pruaju
elektronskim putem to doprinosi veem kvalitetu poslovanja.
Elektronsko bankarstvo (e-banking) je doprinelo znaajnom
poveanju baze korisnika putem vee dostupnosti usluga.

Uprkos injenici da elektronsko bankastvo prua mnoge prednosti i

dalje postoji velika grupa klijenata koji odbijaju da usvoje takvu
uslugu zbog neizvesnosti i zabrinutosti za bezbednost (Littler i
Melanthiou, 2006). Shodno tome, kada je re o primeni savremenih
tehnologija u bankarskom poslovanju, bitno je identifikovati
nedostatke i pretnje u procesu primene, ali i pronai adekvatna
reenja za nastale probleme. Davaoci ovakvih usluga moraju
odgovoriti na zahteve u polju bezbednosti.

RIZICI U ELEKTRONSKOM
BANKARSTVU

Banke projektuju svoje ciljeve za budui vremenski

period na osnovu podataka o pojavama koje mogu
uticati na ostvarenje ciljeva u definisanom
vremenskom intervalu. Iako danas postoje mnogi
modeli i programi za projektovanje odreenih veliina
(u ovom sluaju rezultata poslovanja banke) na
osnovu njihovog odnosa sa drugim veliinama,
nijedan od tih modela ne daje 100% precizne
podatke upravo zbog toga to se okolnosti ne mogu
uvek predvideti.
Poslovanje
banaka
prati
odreeni
stepen
neizvesnosti koji se moe definisati kao rizik
poslovanja. Neizvesnost je prisutna u razliitim
podrujima poslovanja banke tako da se moe
napraviti klasifikacija neizvesnosti, odnosno rizika, sa
kojima se banka, kao subjekt koji se bavi
elektronskim poslovanjem, susree.

Tabela 1. Rizici u elektronskom bankarstvu

(Bank for International Settlements)
Operativni rizik

Reputacioni rizik Pravni rizik

Rizik pouzdanosti i
odravanja sistema
Rizik dizajniranja,
implementacije
i
odravanja sistema
Rizik zloupotrebe
proizvoda ili usluge
od strane klijenta

Rizik
negativnog
javnog mnjenja
Rizik
odliva
klijenata

Rizik
internacionalnog
poslovanja

Rizik pranja novca

Rizik zemlje
Rizik
Politiki rizik
neusaglaenosti sa
zakonima

Operativni rizik je izraz opasnosti od direktnih

ili indirektnih gubitaka koji su rezultat
neadekvatnih internih procesa, ljudi, sistema ili
spoljanih dogaaja (Vukovi i Staki, 2010).
Dakle, izvor operativnog rizika su ljudi
zaposleni u samoj banci, ali izvor operativnog
rizika mogu biti i klijenti ukoliko zloupotrebe
usluge ili proizvod banke.
Reputacija je jako bitna za svaki privredni
subjekat, pa i za banku. Ukoliko banka ima
lou reputaciju klijenti nemaju poverenja i ne
ele da posluju sa takvom bankom. Gubici
banke zbog loe reputacije mogu biti veliki.
Istraivanje koje je 2014. godine u Hrvatskoj
sprovela Hypo banka u saradnji sa
konsultanstkom kuom A.T. Kerney pokazalo
je da je najbitniji faktor prilikom izbora banke
od strane klijenata reputacija banke, a na
drugom mestu je blizina banke i cena usluge.

Prvi Zakon o spreavanju pranja novca

u Republici Srbiji donet je 1. jula 2002.
godine. U skladu sa ovim Zakonom
formirana
je
finansijsko-obavetajna
sluba iji je cilj spreavanje pranja novca.
Godinje sluba primi nekoliko hiljada
prijava o sumnjivim transkacijama, a
najvei broj tih transakcija odnosi se
upravo na bankarski sektor.
Danas su gotovo sve banke svoje
poslovanje proirile i na meunarodno
trite, tako da pruaju usluge klijentima
izvan granica drave na ijoj teritoriji imaju
svoje sedite. To je velika prednost za njih
jer mogu proiriti obim svojih poslova, ali s
druge strane to bankama donosi i dodatni
rizik koji se pre svega odnosi na
postojanje drugaijih propisa i prakse
poslovanja u drugim zemljama koje im
esto nisu dovoljno poznati.

Sa razvojem modernih tehnologija i

njihovom sve veom primenom u
elektronskom bankarstvu lista rizika se
stalno proiruje. Od banke se pre
svega zahteva da razvije sistem
upravljanja rizicima kako bi omoguila
njihovo
praenje,
pravovremeno
indentifikovanje i reagovanje na njih.
U procesu upravljanja rizikom,
odnosno prilikom monitoringa rizika,
najee se koristi ALM koncept koji
se drugaije naziva upravljanje aktivom
i pasivom banke. U okviru ovog
koncepta kljuno je indentifikovati
rizike sa kojima se banka suoava, ali i
definisati limite rizika koji moraju biti u
skladu sa poslovnom strategijom
banke.

irenje elektronske aktivnosti banaka je

pred supervizore i kontrolore banaka stavilo
nove izazove koji se ogledaju u sledeem:
1. Potencijalna lakoa i brzina kojom banke
koje su locirane bilo gde u svetu mogu
obavljati poslove sa klijentima preko
povezanih elektronskih mrea iz zemalja u
kojima banke nemaju licencu za poslovanje
i nisu pod nadzorom;
2. Potencijalna sposobnost banke koja
koristei Internet lako moe da povee
svoje bankarske aktivnosti (koje su obino
predmet
nadzora)
sa
nebankarskim
aktivnostima;
3. Praktine tekoe sa kojima se suoavaju
nacionalne vlasti koje ele da kontroliu ebanking pristup sajtovima poreklom iz
drugih zemalja koje ne sarauju sa zemljom
domainom
(Bank
for
International
Settlements, 2000).

ZLOUPOTREBE U ELEKTRONSKOM
BANKARSTVU

Najee zloupotrebe koje se javljaju u

elektronskom bankarstvu su sledee:
1) Zlonamerni kod ovde se pre svega
radi o razliitim virusima i aplikacijama
koje
oteavaju
ili
praktino
onemoguavaju rad sistema, a deluju tako
to kopiraju viak fajlova i na taj nain
mogu zaraziti odreeni program ili
raunar.
2) Hakeri i sajbervandalizam napadi
hakera mogu biti motivisani razliitim
razlozima kao to je unitavanje
konkretnog sajta, kraa informacija,
izmena sadraja sajta i drugo. Pod
hakerima se podrazumevaju svi oni koji
nemaju ovlaeni pristup podacima, a
pokuaju na nedozvoljeni nain da do tih
podataka dou.

3) Zloupotreba kreditnih kartica je jako

esta pojava i ona se moe ogledati u krai
kreditne kartice ili zloupotrebe podataka
vlasnika kreditne kartice. Zato mnoge
banke svojim optim uslovima poslovanja
definiu osnovne mere opreza kojih se
klijent treba pridavati kako ne bi dolo do
zloupotrebe kreditne kartice.
4) Lano predstavljanje ovu vrstu
zloupotrebe najee koriste hakeri kako bi
prikrili svoj indentitet prilikom neovlaenog
pristupa odreenim podacima i time izbegli
eventualno kaznu za to krivino delo.
Najee u tu svrhu hakeri koriste lane
mail adrese kako bi prikrili svoj stvarni
indentitet.
5) Napadi usmereni na odbijanje usluga
sajta ovi napadi se pre svega sastoje u
pokuaju da se konkretni sajt optereti
podacima i informacijama koje nisu bitne i
to u velikom obimu kako bi se blokirao
pravilan rad sajta odnosno sistema.

6) Uhoenje predstavlja vid

zloupotrebe gde se koriste posebni
programi za prislukivanje kako bi
se dolo do poverljivih privatnih
informacija i da bi se te iste
informacije kasnije prezentovale
javno.

7) Napadi iznutra predstavljaju

vrstu
zloupotrebe
koju
ine
zaposleni u odreenoj organizaciji
kada neovlaeno koriste privatne
informacije kojima nemaju pristup
ili ih prenose neovlaeno drugim
licima izvan organizacije (VidasBubanja, 2005.).

PRIMER ONLINE BANKARSKE

PREVARE VIRUS EUROGRABBER

Brojnim online bankarskim prevarama priduio se i virus Eurograbber koji je

nastao 2012. godine i uzrokovao tetu od preko 40 miliona evra preuzimajui
kontrolu nad raunarima klijenata irom Evrope. Nakon to se rtva najpre
zarazi ovim virusom, napada eka prvu uspenu e-banking prijavu rtve,
prilikom koje izlazi lana poruka o proveri podataka sa molbom da klijent bude
strpljiv. Tokom tog perioda ekanja, u pozadini, haker je u stanju da neovlaeno
prenese sredstva sa rauna klijenta (OTP banka, 2012). Dakle, ukoliko korisnik
nenamerno klikne na zlonamerni link, dolazi do prezimanja raunara od strane
trojanca koji eka da se korisnik prijavi na svoj nalog i pokua da izvri neku
transakciju.
Kada korisnik poseti sajt banke, Eurograbber e ubrizgati
JavaScript i HTML oznaku u njegov pretraiva, to e rezultirati sa prozorom
koji e od korisnika zatraiti njihov broj telefona pod izgovorom nadogradnje
bezbednosti bankinog softvera. To je ustvari klju sa kojim Eurograbber prolazi
autentifikaciju sa dva faktora (Online Trite, 2012). Kada korisnik prisuti svom
nalogu i pokua da izvri transakciju, ovaj virus omoguava napadau da
prenosi sredstva sa rauna korisnika na raun napadaa (tzv. raun mule).

Slika 1. Broj pogoenih

korisnika po zemljama
(Kaniai, 2013)

Slika 2. Iznos protivpravno

prisvojenog novca u evrima
po zemljama (Kaniai, 2013)

SIGURNOSNA REENJA U
ELEKTRONSKOM BANKARSTVU
U pogledu sistema elektronskog bankarstva, neki od
bezbednosnih zahteva su:
Kriptovana komunikacija (kako bi komunikacija bila zatiena
od man-in-the-middle napada, neophodno je da ista bude
kriptovana);
Limiti transakcija (limiti mogu biti po transakciji, dnevni, meseni
itd.);
Dvofaktorska identifikacija;
Adekvatno logovanje (sistem mora da je sposoban da kljune
bezbednosne dogaaje loguje i da se ti logovi mogu uvati,
pretraivati i analizirati, uz uvanje integriteta istih) (Kaniai,
2013).

 Kriptografija obezbeuje uvanje tajnosti informacija. Ona

prua mogunost ifrovanja poruka prilikom prenoenja
poverljivih podataka putem Interneta, kao i deirovanja
prilikom prijema. Ovi procesi se vre korienjem
kriptografskih
kljueva,
uz
pomo
kriptografskog
algoritama. Cilj ovih metoda je da se onemogui stizanje
poruke u pogrene ruke.

Dvofaktorska identifikacija predstavlja upotrebu dva

identfikaciona faktora pri autentifikaciji lozinka + PIN kod
oitan sa posebnog ureaja ili biometrija (Kaniai, 2013).
Dakle, postoje tri metode potvrda identiteta: potvrda neto
to znam, kao to je lozinka, PIN kod i sl.; potvrda neto
to imam, kao to je lina karta; i potvrda neto to jesam,
kao to je otisak prsta i sl. (Hyun-Jung, 1995). Dvofaktorska
identifikacija prua vii nivo zatite u poreenju sa primenom
samo jedne od navedenih metoda.

Kada su u pitanju lozinke, banke

najee preporuuju da lozinka
bude sloena, tj. da sadri
kombinaciju malih i velikih slova,
brojeva i simbola, da ne bude laka
za pogaanje, da ne sadri
znaajne datume i imena i da se
redovno menja.
PIN kodovi za dvofaktorsku
identifikaciju generiu se na
posebnim ureajima, i to najee
na svaki minut se generie novi
kod. Ureaji za generisanje
kodova mogu biti razliiti, od USB
tokena, preko obinog tokena u
obliku priveska za kljueve, pa do
jednostavne
aplikacije
na
mobilnom telefonu (Kaniai, 2013).

Biometrija igra znaajnu ulogu u

obezbeivanju sigurnosti, i predstavlja
budunost sigurne provere identiteta.
Sve vie ureaja koje svakodnevno
koristimo su povezani sa biometrijom
(prepoznavanje glasa na mobilnim
ureajima, prepoznavanje lica na
pametnim telefonima i sl.). Kao
posledica toga, klijenti e biti sve
zahtevniji
kada
je
u
pitanju
bezbednost
njihovih
bankovnih
rauna.
U
testu
razliitih
biometrijskih
tehnologija, provera putem otiska
prsta, glas i potpisa, dobijen je rezultat
da je biometrijska identifikacija putem
otiska
prsta
korisnicima
najjednostavnija za korienje i
smatrana je najsigurnijom kada se
uzmu u obzir ove tri vrste identifikacije
(Tassabehji i Kamala, 2012), odnosno,
izazvala je vei stepen poverenja
korisnika.

Greke koje se najee javljaju u biometrijskom sistemu su:

pogreno prihvatanje i pogreno odbijanje.
Sigurnosni prag sistema (Security Threshold) utie na vrednosti za
FAR (False Acceptance Rate) i FRR (False Rejection Rate), a
njegova visina zavisi od svrhe biometrijskog sistema.
Slika 4. Primer zavisnosti FAR-a i FRR-a od sigurnosnog praga
(Paunovi i Starevi, 2013)

Narodna banka Srbije (NBS) je tokom marta 2013. godine donela Odluku
o minimalnim standardima upravljanja informacionim sistemom
finansijske institucije, koja je stupila na snagu 01.01.2014. godine i u
kojoj se, izmeu ostalog, istie i znaaj dvofaktorske autentifikacije u
procesu poveanja sigurnosti i zatite korisnika elektronskog bankarstva.
U taki 50 Odluke se navodi da je banka duna da, pri izvravanju platnih
transakcija u okviru elektronskog bankarstva, obezbedi da autentifikacija
korisnika tog bankarstva ukljui kombinaciju najmanje dva elementa za
potvrivanje korisnikog identiteta (Slubeni glasnik RS, br. 23/2013. i
113/2013., 2013).
U skladu sa Odlukom neophodno je da banke u narednom periodu
posvete vie panje pitanju sigurnosti njihovih korisnika, pri emu je,
pored ovih uputstava, od kljunog znaaja i to da se vode primerima iz
prakse. Kada je dvofaktorska autentifikacija u pitanju, praksa pokazuje da
je za njen uspeh kljuna sutinska odvojenost faktora, jer bi u tom sluaju
bilo neophodno hakovati istovremeno dva sistema, to oteava i
komplikuje napad.

ZAKLJUAK

U svom poslovanju banke se susreu

sa brojnim rizicima, pri emu su
najznaajniji operativni, reputacioni,
pravni
i
rizik
internacionalnog
poslovanja.
Razvoj
i
primena
savremenih
tehnologija
je
u
elektronskom
bankarstvu
pruila
mogunost bankama da znatno
poveaju obim poslovanja i da
znaajno proire svoju bazu klijenata i
van granica drave u kojoj je
pozicionirano njihovo sedite. Meutim,
savremene tehnologije su znaajno
poveale i rizike kojima su izloene
banke i klijenti. Zbog toga je veoma
bitno da banke razviju strategiju
upravljanja rizicima.

Za ouvanje reputacije banaka i dostizanje uspeha u uslovima otre

konkurencije na tritu, banke moraju neprestano raditi na poveanju
nivoa sigurnosti svojih podataka, a naroito privatnih podataka klijenata,
kako bi smanjila mogunost zloupotrebe istih.
Najvea pretnja za zloupotrebu privatnih podataka klijenata su razliite
vrste sajber kriminala, kao to su virusi, neovlaeno korienje kartice,
razni programi za prislukivanje, lano predstavljanje i sl.

 U cilju eliminisanja ovakvih pretnji, ouvanja sigurnosti i privatnosti na

najviem moguem nivou, pred banke i njihove klijente se stavljaju mnogi
bezbednosni zahtevi, kao to su kriptovana komunikacija, limiti
transakcija, dvofaktorska identifikacija i adekvatno logovanje. Narodna
banka Srbije je donela Odluku o minimalnim standardima upravljanja
informacionim sistemom finansijske institucije koja se primenjuje od
poetka 2014. godine i koja je, izmeu ostalog, imala za cilj poveanje
sigurnosti korienjem dvofaktorske autentifikacije pri obavljanju
elektronskog bankarstva.
S obzirom da ovakva autentifikacija podrazumeva kombinaciju dva
faktora pri autentifikaciji, smanjuje se mogunost zloupotrebe, a naroito
jer se preporuuje sutinska odvojenost faktora, kako bi se oteao
napad. Jedan od faktora najee podrazumeva biometrijsku
identifikaciju koja se u praksi pokazala kao veoma uspena. U
savremenim uslovima poslovanja je neizbeno da banke usvajaju i
koriste savremene tehnologije koje znaajno doprinose unapreenju
njihovog poslovanja, ali i to da e i dalje esto biti meta hakera i slinih
pretnji. Jedino to mogu da uine jeste da nastoje da uvek budu bar
jedan korak ispred njih na polju sigurnosti.