Bankovni Identita - obrovsky bezpecnostni pruser
Moderátor: Komise předsedajících
Pravidla fóra
Toto je veřejné fórum, které neprezentuje oficiální stanoviska
Diskutujte slušně a respektujte Pravidla internetového fóra
-
- Návštěvník – nepatří k Pirátům
Bankovni Identita - obrovsky bezpecnostni pruser
Po novele trestniho zakoniku a paragrafu 7b prichazi dalsi totalni fail a to podpora Ukradene Identity, pardon Bankovni Identity.
Je to prakticky oauth https://www.isss.cz/archiv/2019/downloa ... olejsi.pdf kdy jmenem obcana muze komunikovat, cituji. "Projekt Bankovní identita je otevřen všem českým bankám. Bude záležet jen na nich, zda se připojí či nikoliv. " - seznam clenu https://czech-ba.cz/clenove - Bank of China, BNP Paribas, Moneta, Sberbank a desitky dalsi
To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti? Nebo to bylo zase narizeno z EU ze to musi projit jako 7b? Neznalost nebo umysl?
A ten potencial pro phishing je taky neco - az se na nejakem eshopu objevi moznost prihlaseni bankovni identitu a BFU si rekne jak to ma ten eshop vychytany a samozrejme si nevsimne ze domena je trosinku trochu, zelenej zamecek to ma tak co by resil (preposilat udaje, ktere predal BFU do banky aby prisla overovaci sms, aby se overil token je to nejmensi).
Je to prakticky oauth https://www.isss.cz/archiv/2019/downloa ... olejsi.pdf kdy jmenem obcana muze komunikovat, cituji. "Projekt Bankovní identita je otevřen všem českým bankám. Bude záležet jen na nich, zda se připojí či nikoliv. " - seznam clenu https://czech-ba.cz/clenove - Bank of China, BNP Paribas, Moneta, Sberbank a desitky dalsi
To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti? Nebo to bylo zase narizeno z EU ze to musi projit jako 7b? Neznalost nebo umysl?
A ten potencial pro phishing je taky neco - az se na nejakem eshopu objevi moznost prihlaseni bankovni identitu a BFU si rekne jak to ma ten eshop vychytany a samozrejme si nevsimne ze domena je trosinku trochu, zelenej zamecek to ma tak co by resil (preposilat udaje, ktere predal BFU do banky aby prisla overovaci sms, aby se overil token je to nejmensi).
- Petr.Vileta
- Člen KS Plzeňský kraj
- Příspěvky: 36073
- Registrován: 22 črc 2009, 18:12
- Profese: Celkem Spokojený Důchodce
- Bydliště: Plzeň 2
- Dal poděkování: 10823 poděkování
- Dostal poděkování: 8773 poděkování
- Kontaktovat uživatele:
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Zkusíme sem nějaké přilákatSvartholm píše: ↑23 pro 2019, 12:26 To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti?

Řadový člen, stínový ministr švihlých nápadů a fórista
Fide, sed cui fidas, vide.
Věř, ale komu věříš měř.
(Perchta z Pernštejna - Bílá paní)
-
- Člen KS Praha
- Příspěvky: 1067
- Registrován: 05 bře 2017, 11:57
- Profese: IT konzultant
- Dal poděkování: 934 poděkování
- Dostal poděkování: 1127 poděkování
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Ahoj,Svartholm píše: ↑23 pro 2019, 12:26 Po novele trestniho zakoniku a paragrafu 7b prichazi dalsi totalni fail a to podpora Ukradene Identity, pardon Bankovni Identity.
Je to prakticky oauth https://www.isss.cz/archiv/2019/downloa ... olejsi.pdf kdy jmenem obcana muze komunikovat, cituji. "Projekt Bankovní identita je otevřen všem českým bankám. Bude záležet jen na nich, zda se připojí či nikoliv. " - seznam clenu https://czech-ba.cz/clenove - Bank of China, BNP Paribas, Moneta, Sberbank a desitky dalsi
To tam fakt nemate jedineho cloveka, ktery by se vyznal v IT bezpecnosti? Nebo to bylo zase narizeno z EU ze to musi projit jako 7b? Neznalost nebo umysl?
A ten potencial pro phishing je taky neco - az se na nejakem eshopu objevi moznost prihlaseni bankovni identitu a BFU si rekne jak to ma ten eshop vychytany a samozrejme si nevsimne ze domena je trosinku trochu, zelenej zamecek to ma tak co by resil (preposilat udaje, ktere predal BFU do banky aby prisla overovaci sms, aby se overil token je to nejmensi).
osobne mam z SONIA zmiesane pocity, ale pozitiva asi zlahka prevladaju.
Mozem sa spytat, ktore konkretne bezpecnostne aspekty sa ti nezdaju? Napr. NIA momentalne umoznuje okrem inych moznosti aj prihlasenie sa menom a heslom + sms. Z tohoto hladiska sa mi riesenie u bank nezda nejak zvlast viac zranitelne.
Ak sa niecoho obavam, tak skor o dostatocne monitorovanie pristupu bank do zakladnych registrov, reps. aby bolo pre klienta lahko dohladatelne, kde vsade sa kedy "prihlasoval" (na druhu stranu, ak sa zoznamy toho k comu chceli banky do zakladnych registrov pristupovat nejak zasadne nezmenili, tak prakticky vsetky tie informacie maju uz teraz, len mozno neaktualne).
Je tu aj riziko zneuzivania identit v pripade kompromitacie niektorej z bank, to by ale mohlo byt pomerne jednoducho riesitelne jej docasnym znedoverihodnenim na urovni SONIA v momente zistenia kompromitacie. (+ teda kompromitacia banky pravdepodobne znamena mozny priamejsi financny zisk pre utocnika, a zneuzivanie identit asi nebude to prve, o co sa bude pokusat). Pokial by sa opakovala cielena kradez identity z prostredia jednej banky, asi nie je problem banku az do vyriesenia jej problemov v systeme zneplatnit.
Otazkou je, nakolko takato zmena spravi banky silnejsimi. Budu mat pristup k aktualnejsim/kvalitnejsim informaciam, a isty potencial aj na pripadne zneuzitie.
Medzi pozitiva by potom mohli patrit:
- vacsie rozsirenie v populacii, napr. ludia s trvalym pobytom v CR nemaju standardne ziadny elektronicky identifikator.
- moznost konkurencneho boja/technologickeho rozvoja. To sa moze na prvy pohlad zdat ako nepatrna vyhoda, ale da sa predpokladat ze viacero bank bude aj vo vlastnom zaujme dalej rozvijat moznost bezpecneho prihlasovania sa a overovania transakcii/opreracii. Aj ked prostredia v bankach su obecne pomerne konzervativne, stale to moze byt lepsie nez statna sprava, kde nie je priama financna motivacia na zlepsovani stavu (a casto ani "mindset").
Ako pisem na zaciatku, niesom z celeho projektu nijak zvlast nadseny, ale oproti sucasnemu stavu asi predstavuje zlepsenie v oblasti pouzitelnosti, a z hladiska bezpecnosti by mohlo ist o kratkodobe mierne zhorsenie, dlhodobo snad o neutralny vplyv. Ako kriticke miesto vidim hlavne dosledne monitorovanie vsetkych pristupov k datam priamo z bank a potvrdenych identit, a to vratane moznosti prehladu pre klientov.
- Ondrej.Profant
- Vedoucí resortního týmu
- Příspěvky: 7981
- Registrován: 22 dub 2009, 23:55
- Profese: Náměstek člena vlády
- Bydliště: Praha 8
- Dal poděkování: 3725 poděkování
- Dostal poděkování: 1965 poděkování
- Kontaktovat uživatele:
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Zákon již před novelizací předpokládal vstup bank do základních registrů. A to z důvodu evropské směrnici proti praní špinavých peněz (AML). Čili banky a pobočky zahraničních bank mají obecně dokonce povinnost ověřovat klienty proti základním registrům.
SONIA funguje obráceně. Stát vzal extrémně regulované prostředí a u ztotožněných klientů bank dovolil jejich zapojení do NIA. Toto zapojení předpokládá certifikaci popsanou v eu nařízení EIDAS. Nedovolit toto bankám by nejspíš bylo v rozporu s nařízením. Tu certifikaci musí splnit kdokoliv, kdo je v NIA (státní eobčanky, soukromé mojeID apod).
Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.
V rámci procesu byli zapracovány připomínky zpravodajských služeb.
Více: https://www.profant.eu/2019/sonia.html
SONIA funguje obráceně. Stát vzal extrémně regulované prostředí a u ztotožněných klientů bank dovolil jejich zapojení do NIA. Toto zapojení předpokládá certifikaci popsanou v eu nařízení EIDAS. Nedovolit toto bankám by nejspíš bylo v rozporu s nařízením. Tu certifikaci musí splnit kdokoliv, kdo je v NIA (státní eobčanky, soukromé mojeID apod).
Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.
V rámci procesu byli zapracovány připomínky zpravodajských služeb.
Více: https://www.profant.eu/2019/sonia.html
- Tito uživatelé poděkovali autorovi Ondrej.Profant za příspěvky (celkem 5):
- Ivor.Kollar, Tomas.Martinek, Michael.Polak, wajrou, Pavel.Moravec
profant.eu
vedoucí resortních týmů Informatika
- Andrej.Ramaseuski
- Republikový výbor
- Příspěvky: 3982
- Registrován: 28 srp 2016, 20:49
- Profese: programátor
- Bydliště: Sedlíšťka (Radhošť)
- Dal poděkování: 890 poděkování
- Dostal poděkování: 2662 poděkování
- Kontaktovat uživatele:
Re: Bankovni Identita - obrovsky bezpecnostni pruser
myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeIDOndrej.Profant píše: ↑24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.

- Tito uživatelé poděkovali autorovi Andrej.Ramaseuski za příspěvek:
- anon539
0x8DE5F4739D2A2F0B | Ceterum censeo Facebook esse delendam
-
- Člen KS Praha
- Příspěvky: 1067
- Registrován: 05 bře 2017, 11:57
- Profese: IT konzultant
- Dal poděkování: 934 poděkování
- Dostal poděkování: 1127 poděkování
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Osobne sa domievam, ze (opakovane, umyselne) falosne ztotoznenie je z kategorie pochybeni, ktore by mohli viest az k odobratiu bankovej licencie, a minimalne k okamzitemu zablokovaniu banky v syteme sonia, az do vyriesenia problemov. Mozno sa na to pozeram prilis naivne, ale taketo riesenie by som ocakaval ja. Prevadzkovatel (banka) by mal byt potom motivovany moznou stratou bussinesu, aby k podobnym incidentom nedochadzalo.Andrej.Ramaseuski píše: ↑24 pro 2019, 14:26myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeIDOndrej.Profant píše: ↑24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.jen nas ztotozni a z tim do heliosu
- Tito uživatelé poděkovali autorovi Ivor.Kollar za příspěvky (celkem 3):
- Ondrej.Profant, Vit.Fux, Pavel.Moravec
- Ondrej.Profant
- Vedoucí resortního týmu
- Příspěvky: 7981
- Registrován: 22 dub 2009, 23:55
- Profese: Náměstek člena vlády
- Bydliště: Praha 8
- Dal poděkování: 3725 poděkování
- Dostal poděkování: 1965 poděkování
- Kontaktovat uživatele:
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Nejde o nefunkční systém, jde o to volitelně napojit další systémy. Nikdo občana nenutí mít účet u banky propojené na NIA.Andrej.Ramaseuski píše: ↑24 pro 2019, 14:26myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeIDOndrej.Profant píše: ↑24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.jen nas ztotozni a z tim do heliosu
Předávání dat bankám je problém. Zvláště pak nemám příliš velkou důvěru v národní banku, že to dostatečně kontroluje. Nicméně tento problém vznikl u bankovních regulací a AML směrnice, nikoliv teď.
profant.eu
vedoucí resortních týmů Informatika
- Petr.Vileta
- Člen KS Plzeňský kraj
- Příspěvky: 36073
- Registrován: 22 črc 2009, 18:12
- Profese: Celkem Spokojený Důchodce
- Bydliště: Plzeň 2
- Dal poděkování: 10823 poděkování
- Dostal poděkování: 8773 poděkování
- Kontaktovat uživatele:
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Co máš proti MojeID? Já osobně ho pokládám za mnohem přijatelnější, než zaručený elektronický podpis, nebo dokonce datovou schránku pro fyzickou osobu-nepodnikatele. Myslím, že to je něco téměř jako čipová občanka.Andrej.Ramaseuski píše: ↑24 pro 2019, 14:26 hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeIDjen nas ztotozni a z tim do heliosu
Řadový člen, stínový ministr švihlých nápadů a fórista
Fide, sed cui fidas, vide.
Věř, ale komu věříš měř.
(Perchta z Pernštejna - Bílá paní)
-
- Návštěvník – nepatří k Pirátům
Re: Bankovni Identita - obrovsky bezpecnostni pruser
Jenze ta banka (resp kdokoliv kdo ma pristup do jejich systemu, a zneuzivani techto pristupu se deje jiz ted) te muze falesne ztotoznit i kdyz tam zadny ucet nemas! To je snad jasne.Ondrej.Profant píše: ↑24 pro 2019, 14:39Nejde o nefunkční systém, jde o to volitelně napojit další systémy. Nikdo občana nenutí mít účet u banky propojené na NIA.Andrej.Ramaseuski píše: ↑24 pro 2019, 14:26myslim si ze ruska nebo cinska banka nemuseji predavat vubec nic. staci kdtyz obcas nekoho falsesne ztotozni. povazuji za naprosto tragicke resit nefunkcni statni system identit predanim na soukrome subjekty. to si nedovolujeme ani my ve strane - hej, co tady resime nejake SSO - pojdme se hlasit pres identitu facebooku, nebo aspon pres MojeIDOndrej.Profant píše: ↑24 pro 2019, 13:33 Celé přihlašování je SSO, kde je možné nepředávat skoro nic (jen ztotožňovat). Dokonce nízká úroveň mluví jen o jednoznačnosti, ale nikoliv o předání jména či tak.jen nas ztotozni a z tim do heliosu
Předávání dat bankám je problém. Zvláště pak nemám příliš velkou důvěru v národní banku, že to dostatečně kontroluje. Nicméně tento problém vznikl u bankovních regulací a AML směrnice, nikoliv teď.
Fakt to chce nastudovat zaklady bezpecnosti (a premyslet o tom) nez umoznite odcizeni identity 10 milionu lidi - fakt pecka, az na to bude nepojeny katastr a zamestnanec banky ti zalozi fake ucet aby ti ukradl barak. Kterekoliv z 39 bank.
Vymluva ze vam to tlaci EU je trapna. Minimalne je potreba legislativne zajistit moznost opt-out aby si obcan mohl na "portale obcana" kliknout "zakazat Bankovni Identitu" a zakazal tak tem 39 bankam aby se za neho vydavali. Je to pruser.
-
- Návštěvník – nepatří k Pirátům
Re: Bankovni Identita - obrovsky bezpecnostni pruser
To je silene naivni pristup. Par desitkam/stovkam obcanum zniceme zivot a potom si treba nekdo vsimne (spis ne!) ze identity nekdo zneuziva. Pak se to hodi na jednoho zamestnance/hackera a jede se dal. Nemluve o utocich na koncove uzivatele (a phishing na internetove bankovictvi je i v cr rozsireny) kdy s pristupem k bankovictvi dostavas moznost se za toho obcana vydavat i vuci statu (a obcan s tim nic nenadela).Osobne sa domievam, ze (opakovane, umyselne) falosne ztotoznenie je z kategorie pochybeni, ktore by mohli viest az k odobratiu bankovej licencie, a minimalne k okamzitemu zablokovaniu banky v syteme sonia, az do vyriesenia problemov.
Dovolit 39 bankam aby mohli vystupovat vuci statu ve jmenu jakehokoliv obcane ja silenost (druha vec je pristup ve jmenu banky k informaci o obcanovi - o tom se tady nebavime). Je potreba, minimalne, legislativne zajistit aby mel obcan moznost Bankovni Identitu kompletne zakazat, pripadne omezit na urcite banky.
Obcan u konkretni banky nemusi mit vubec ucet aby se za nej mohla vydavat.