Sigurnost PBZCOM@NET usluge

Zbog otvorenosti i sveopće dostupnosti interneta, u svakom se poslovanju koje ga koristi kao medij posebna pozornost mora posvetiti sigurnosti i pouzdanosti. Najveću prepreku korisnicima internetskog poslovanja predstavlja nepovjerenje u sigurnost kanala koji je svima dostupan.

Upravo je zbog toga tijekom projektiranja i razvoja PBZCOM@NET usluge sigurnost postavljena kao temelj cjelokupnog sustava. U tu svrhu primijenjena je PKI infrastruktura, najsuvremenija svjetska tehnologija koja postavlja standarde u sigurnosti i pouzdanosti internetskog poslovanja.

Sigurnost PBZCOM@NET usluge sastoji se od sljedećih segmenata:

  • elektronički potpis
  • autentičnost poslužitelja Privredne banke Zagreb na internetu
  • zaštita podataka tijekom njihova prolaska internetom
  • zaštita informacijskog sustava Privredne banke Zagreb

Elektronički potpis

Elektronički potpis je najopsežniji i najvažniji segment sigurnosti usluge PBZCOM@NET. Pomoću elektroničkog potpisa identificira se korisnik i elektronički se potpisuju dokumenti koje klijenti razmjenjuju s Privrednom bankom Zagreb. Važeći zakon je "Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ" (dalje u tekstu Uredba), više na linku.

Za elektroničko potpisivanje koristi se PKI (Public Key Infrastructure) tehnologija, koju je Privredna banka Zagreb uspješno implementirala u suradnji s Financijskom agencijom (FINA). PKI tehnologija temelji se na kriptografskim uređajima (pametna kartica - Smart Card ili USB PKI uređaj - USB eToken) s poslovnim certifikatima koje svaki korisnik PBZCOM@NET usluge preuzima u procesu certifikacije. Za korištenje kriptografskog uređaja potreban je PIN (Personal Identification Number), koji posjeduje samo korisnik - vlasnik kriptografskog uređaja. Zaštita i čuvanje kriptografskog uređaja i PIN-a obaveza su svakog korisnika PBZCOM@NET usluge.

FINA je prvi izdavatelj kvalificiranih certifikata u Hrvatskoj koji izdaje digitalne certifikate za javnost. Kao kvalificirani pružatelj usluga povjerenja nalazi na nacionalnom pouzdanom popisu (National Trusted List) pružatelja usluga povjerenja, koja je povezana u jedinstveni popis pouzdanih popisa pružatelja usluga povjerenja u EU (European List of Trusted Lists (LOTL)). Usluge izdavanja digitalnih certifikata obavlja sukladno Uredbi. Kao najdugovječnija ovlaštena institucija (Certificate Authority) u Republici Hrvatskoj, ima nekoliko stotina tisuća aktivnih korisnika koji certifikate koriste u brojnim javnim, komercijalnim te internim servisima mnogih institucija1.

Sam proces certifikacije korisnika (izdavanja FINA poslovnog kvalificiranog certifikata) odvija se u nekoliko koraka:

  • osobno (face-to-face) identificiranje osobe, kreiranje zahtjeva za FINA certifikatom te izdavanje kriptografskog uređaja na PBZ Sinergo desku
  • slanje email poruke s uputom i podacima potrebnim za izdavanje certifikata na preuzeti kriptografski uređaj u PBZ-u
  • klijent samostalno upisuje (preuzima) certifikat na kriptografski uređaj

Pomoću kriptografskog uređaja, korisnik se prijavljuje u PBZCOM@NET aplikaciju te potpisuje svaku transakciju koja se razmjenjuje s Privrednom bankom Zagreb d.d. (PBZ). Korištenjem FINA certifikata dostupne su i druge B2G (Business to Government) usluge poput e-Porezna, e-Mirovinsko i ostale.

Tijekom ulaska u aplikaciju korisnik elektronički potpisuje slučajan niz podataka koje mu šalje poslužitelj PBZ. Aplikacija nakon toga provjerava elektronički potpis slučajnog niza te utvrđuje tko je korisnik koji se u aplikaciju prijavljuje. Tako se provode sljedeće sigurnosne provjere:

  • posjeduje li korisnik valjani certifikat na kriptografskom uređaju (provjera nečega što korisnik ima)
  • posjeduje li korisnik PIN za korištenje kriptografskog uređaja (provjera nečega što korisnik zna)
  • slučajni niz koji se potpisuje onemogućava kopiranje već korištenog potpisa za ulazak u aplikaciju.

Svaki nalog koji se kreira prije izvršavanja elektronički potpisuje jedan ili više korisnika. Time se osigurava neporecivost, odnosno onemogućava pobijanje činjenice o kreiranju i slanju naloga.

Tehnologija elektroničkog potpisa (za one koji žele znati više!)

Elektronički potpis temelji se na kriptografiji javnim ključem (Public Key Cryptography).

Kriptografija je znanost koja se bavi logičkom promjenom podataka zbog potrebe da se podaci pošalju primatelju, a da pritom nitko drugi osim primatelja i pošiljatelja ne zna izvorne podatke.

Šifriranje (kodiranje) je postupak kojim se podaci pomoću ključa promijene te se više ne mogu čitati (osim ako imate ključ).

Ključ je način šifriranja i dešifriranja podataka.

Postoje dvije vrste metoda šifriranja. To su metoda simetričnog šifriranja i metoda asimetričnog šifriranja. Metoda simetričnog šifriranja koristi jedinstveni ključ, jednostavnija je, brža, manje sigurna. Metoda asimetričnog šifriranja koristi par ključeva (javni i tajni), kompliciranija je, sporija, ali zato sigurnija, omogućava tajnost. Javni ključ se koristi za šifriranje i dostupan je svima, dok se tajni ključ koristi se za dešifriranje i poznat je samo njegovom vlasniku.

Svaki korisnik posjeduje svoj jedinstveni par ključeva. Jedan ključ iz para je tajan ili privatan i njime se koristi samo njegov vlasnik. Drugi ključ je javan i dostupan svima. Ključevi u paru vezani su složenim matematičkim algoritmom (RSA algoritam) koji jamči da:

  • posjedovanjem javnog ključa nije moguće otkriti tajni ključ
  • sve što je kriptirano tajnim ključem moguće je dekriptirati samo javnim ključem i obratno.

Drugim riječima:

  • sve što korisnik kriptira svojim privatnim ključem, bilo tko može dekriptirati njegovim javnim ključem i tako se uvjeriti da je baš korisnik taj koji je dokument kriptirao (nitko drugi ne posjeduje korisnikov tajni ključ)
  • što god se kriptira javnim ključem nekog korisnika, to može pročitati samo korisnik čiji je javni ključ upotrijebljen (samo on ima tajni ključ kojim to može dekriptirati).

Elektronički potpis temelji se na dvije gore navedene činjenice: na prvoj kako bi se dokazao identitet korisnika i onemogućilo pobijanje činjenice da je on nešto elektronički potpisao, a na drugoj kako bi se jamčila tajnost podataka koji su elektronički potpisani. Certifikat je potvrda u elektroničkom obliku koja povezuje podatke za provjeru elektroničkog potpisa s nekom osobom i potvrđuje identitet te osobe. Običnim rječnikom rečeno, certifikat povezuje korisnika s njegovim javnim ključem. Svaki certifikat elektronički je potpisao njegov izdavatelj, koji jamči da je osoba čiji su podaci upisani u certifikatu ujedno i vlasnik javnog ključa također sadržanog u certifikatu. Certifikate koji se koriste za elektronički potpis izdaje i elektronički potpisuje Financijska agencija (FINA). FINA CA izdaje korisnicima parove ključeva te jamči da je privatni ključ zapisan na kriptografskom uređaju osobe čiji su podaci zabilježeni u certifikatu zajedno s javnim ključem iz istog para.

Primjer prikaza certifikata u Mozilla Firefox pretraživaču

Primjer prikaza certifikata u Mozilla Firefox pretraživaču

Zaštita podataka tijekom prolaska Internetom

Korištenjem tehnologije elektroničkog potpisa zaštićena je neizmjenjivost svih podataka koje korisnici i PBZ razmjenjuju preko interneta. Da bi se podaci koji se razmjenjuju zaštitili i od neovlaštenog čitanja, za njihov prijenos koristi se SSL protokol. Svi podaci koje korisnik izmjenjuje s poslužiteljem PBZ-a u svakom su trenutku šifrirani (kriptirani) uporabom tog protokola. Enkripcija podataka obavlja se pomoću tajnog ključa koji slučajnim odabirom kreira korisnikov pretraživač, i to kod svakoga spajanja na poslužitelj. Tajni ključ dostavlja se poslužitelju zaštićen tehnikom enkripcije javnim i privatnim ključevima. Za uspješno uspostavljanje SSL veze s provjerom autentičnosti poslužitelja PBZ-a korisnik mora koristiti pretraživač novijih verzija. Korisnik može provjeriti odgovara li njegov pretraživač zahtjevima tako da unutar naslovne web stranice klikne mišem na sličicu za provjeru pretraživača. Indikator uspješno uspostavljene SSL veze prikazuje se kao sličica zatvorenog lokota u adresnoj traci pretraživača.

Zaštita informacijskog sustava Privredne banke Zagreb

Poslužitelj i ostatak informacijskog sustava PBZ-a zaštićeni su od neovlaštenog pristupa s interneta suvremenim sustavom vatrozida (Firewall). Vatrozid je posebna virtualna "pregrada" sa strogim i kontroliranim 24-satnim nadzorom protoka podataka. Radi dodatne zaštite, najvažniji dio PKI infrastrukture za provjeru elektroničkog potpisa (PBZ Verification Authority) odvojen je od ostalog dijela informacijskog sustava posebnim vatrozidom.

Izvori

1. http://www.fina.hr/Default.aspx?art=12919&sec=1707, 30.01.2018.

Natrag na vrh stranice