Pētījumā minētās nepilnības gan nekādā veidā neattiecas uz pašu internetbanku drošību. To uzrauga Finanšu un kapitāla tirgus komisija (FKTK), un komisija apliecināja, ka visas operācijas, kas saistītas ar klientu naudas pārskaitījumiem ir drošas.
Pēdējos gados Latvijā daudzi portāli ļauj lietot elektroniskos pakalpojumus, klientus atpazīstot ar internetbanku palīdzību. Tas notiek tā - pie datora piesēžas, pieņemsim, Jānis Bērziņš, atver portālu, lai samaksātu par fotoradara pārkāpumu. Portāls pierasa, lai lietotājs apliecina, ka patiešām ir Jānis Bērziņš. Ja Bērziņam ir elektroniskā paraksta vai jaunizdotā ID karte, viņš to var izdarīt uzreiz. Bet lielākajai daļai šādu karšu nav. Tāpēc gandrīz visi elektronisko pakalpojumu piedāvātāji klientu atpazīšanā sadarbojas ar bankām. Bērziņš bankai apstiprina savu personības īstumu, un bankas nosūta portālam apstiprinājumu, ka tas tiešām ir Bērziņš un viņš var sākt izmantot portāla pakalpojumus.
"Problēma rodas tajā apstāklī, ka dzīvē netiek pārbaudīts tas, kuram portālam šie te dati ir paredzēti, vai šie dati jau nav tikuši izmantoti un cik veci ir šie dati. Šeit paveras iespēja kādam negodprātīgam portāla administratoram saņemt tos datus, cita cilvēka datus, lai tālāk autentificētos šajos citos portālos ar šo cita cilvēka identitāti," raidījumam apgalvoja pētījuma autors A.Paršovs.
Raidījums vēsta - ja situāciju salīdzina ar pases uzrādīšanu, tad bankas kā apliecinājumu izsniedz pasi bez fotogrāfijas vai bez pases derīguma termiņa, vai pavisam bez kādas plašākas informācijas par klientu un portāli notic, ka nepilnīgais dokuments apliecina Jāņa Bērziņa īstumu.
Datorspeciālists eksperimentāli pārliecinājās, ka visiem gandrīz 20 analizētajiem portāliem ir drošības problēmas, kas saistītas ar autentificēšanos caur internetbankām.
"Tika pārbaudīti 17 Latvijas portāli, un visos portālos tika atrastas kļūdas. Šādas vai citādākas drošības kļūdas. Ja lielu daļu kļūdas var novērst paši portāli, tad šo divu banku gadījumā - Citadele un Swedbank - šīs kļūdas sākumā ir jānovērš bankām," stāstīja A.Paršovs.
Par atklājumiem jūnijā A.Paršovs ziņoja Latvijas nacionālajai IT drošības incidentu novēršanas institūcijai – Cert. Iestāde uz karstām pēdām pārbaudījusi, ka vīrieša atklājumi patiešām ir patiesi un nopietni.
"Mēs esam veikuši testus, pamatojoties uz tā darba rezultātiem arī paši, un es varu apstiprināt, ka ir bijuši veiksmīgi gadījumi, kur ir iespējams apiet autentifikāciju un izmantot šos te pārtvertos datus," raidījumam apgalvoja Cert.lv vadītāja vietnieks Varis Teivāns.
Cert pārstāvji secina, ka problēmas rada nepilnīgā informācijas apmaiņa starp bankām un interneta portāliem. Latvijā nav noteikts kādas ziņas bankai jāiekļauj elektroniskajā dokumentā, kas apliecina klienta īstumu.
Savukārt portāli uzticas bankām un no savas puses nepārbauda, vai saņemtās ziņas ir drošas.
"Tā saite starp banku un pakalpojuma sniedzēju faktiski neeksistē. Un ir iespējams teorētiski realizēt atsevišķos gadījumos uzbrukumus, ka uzbrucējs var savākt kādā noteiktā laikā datus par lietotāju, kas taisās autentificēties izmantojot internet banku kādā pakalpojumu sniegšanas servisā, pārtvert tos un izmantot teorētiski kādā citā pakalpouma sniedzējā," sacīja Cert.lv vadītāja vietnieks.
Cert jūnijā satraucošās ziņas nodevis banku uzraugam FKTK. Komisijas vadība apliecina – bankām par viņu nepilnībām ir paziņots un nu jāgaida, kad tās savas sistēmas sakārtos.
"Protams, ka šis pētījums ir atklājis arī tādas lietas, ko mēs ar bankām arī esam pārrunājuši, tai skaitā esam konstatējuši, ka šī sadarbība ar portāliem nu ja ne savādāk, tad rada kā minimums reputācijas riskus priekš mums, ka mēs sniedzam kādu pakalpojumu kādai trešai pusei, kura līdz galam nav kvalitatīva tāda kā mums gribētos. Šis ar bankām arī ir pārrunāts un bankas gan to ir sapratušas, gan mēs tam pievērsīsim uzmanību kā mēs šo novēršam," Nekā personīga uzsvēra FKTK priekšsēdētāja vietnieks Jānis Brazovskis.
Pētījumā pārbaudītās bankas savas kļūdas atzīst negribīgi. Viņuprāt kibernoziedznieku uzbrukums klientu datiem esot ļoti teorētisks un dzīvē maz iespējams. Tomēr bankas jau gatavojot izmaiņas, lai klientu dati, kas tiek sūtīti citiem portāliem, būtu vēl drošāki. "Tas, ka līdz šim bija šis te moments tas nenozīmē, ka šis te rīks bija nedrošs. Tas bija tā pat drošs, vienkārši šī ir papildus prasība papildus faktors ko banka tagad iekļauj datu apmaiņas protokolā kas paredz pastiprinātu atbildību no partālu puses autentificējot savus klientus," sacīja bankas Citadele pārstāve Ieva Prauliņa. "Protams, ka šīs lietas mēs esam skatījuši un arī šī konkrētā studenta pētījuma dati arī ir jau pirms kāda laika analizēti un, ja arī bija kādas lietas uzlabojamas, tad dzīvē šīs nianses jau ir pielabotas. Tā ir tāda ļoti tehnoloģiska diskusija un ši riski ko mēs redzam ir vairāk teorētiski un dzīvē viņi ir praktiski nerealizējami," atzina Swedbank pārstāvis Ivars Svilāns.
Gan bankas, gan kibernoziedznieku ķērāji Cert uzskata, ka lielākā atbildība ir internetportālu pusē. Tie nepārbauda, vai ziņas par klientiem ir drošas.
"Lielākā problēma, kas pētījumā tika atklāta, ka piecos lielos un samērā populāros portālos ir pilnībā iespējams apiet šo te banku autentifikāciju un autentificēties kā jebkurai iedzīvotāju reģistrā esošai personai. Šeit ir runa par virtuālo e-parakstu, Lattelecom, Latvijas Universitātes informācijas sistēmu, Lursoft un portālu manabalss.lv," atzina pētījuma autors.
Latvijas valsts radio un televīzijas centrs, kas nodrošina virtuālā elektroniskā paraksta pakalpojumu, atzīst, ka problēma ir bijusi un šobrīd tā salabota. "Ir bijušas bankas, kuras es negribētu nosaukt, kuras mēs uz laiku šīs autentifikācijas izņēmām un lūdzām pilnveidot šos procesus, kas tieši skar arī drošību," sacīja LVRTC valdes loceklis Jānis Bokta.
Ja LVRTC savus "caurumus ir aizlāpījis", tad citos portālos tas nav noticis. Manabalss.lv veidotājus šādas nepilnības nemaz neuztrauc. Portāla veidotājiem galvenais esot iespēja ļaut cilvēkiem izteikt savu viedokli. "Mēs vienkārši saņemam no bankas – ekur šis te cilvēks konkrētais ar vārdu, uzvārdu un personas kodu. Mēs paši neesam saskārušies, ka būtu kaut kādi "gļuki". Ja tur kāds vilto kaut ko, mēs neredzam problēmu. Ja kādam tik ārprātā gribās tikt būt uzklausītam varbūt ir jēga viņu uzklausīt," atzina manabalss.lv pārstāvis Jānis Erts.