1. No category

FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
DIPLOMSKA NALOGA
VISOKOŠOLSKEGA STROKOVNEGA ŠTUDIJSKEGA PROGRAMA
PRVE STOPNJE
TOMAŽ PERKO
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
DIPLOMSKA NALOGA
STOPNJA VARNOSTI UPORABE SPLETNEGA
BANČNIŠTVA NA DOLENJSKEM IN
V BELI KRAJINI
Mentor: viš. pred. mag Andrej Dobrovoljc
Novo mesto, junij 2014
Tomaž Perko
IZJAVA O AVTORSTVU
Podpisani Tomaž Perko, študent FIŠ Novo mesto, izjavljam:




da sem diplomsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
diplomski nalogi,
da dovoljujem objavo diplomske naloge v polnem tekstu, v prostem dostopu, na spletni
strani FIŠ oziroma v digitalni knjižnici FIŠ,
da je diplomska naloga, ki sem jo oddal v elektronski obliki identična tiskani verziji,
da je diplomska naloga lektorirana.
V Novem mestu, dne ____________________
Tomaz
Perko
Podpis avtorja ____________________
Digitally signed by Tomaz Perko
DN: c=SI, o=ACNLB, o=NLB,
ou=Fizicne osebe,
serialNumber=8741603400,
cn=Tomaz Perko
Date: 2014.06.23 12:39:14
+02'00'
ZAHVALA
Iskrena hvala mentorju, mag Andreju Dobrovoljcu, za strokovne nasvete in usmeritve pri
nastajanju te diplomske naloge. Kolegom, kolegicam in vsem bližnjim, ki so mi kakorkoli
pomagali ob nastajanju diplomske naloge.
Posebno zahvalo pa poklanjam svoji ženi Mariji, hčerama Lauri in Tjaši, ki so me podpirale
ter vzpodbujale ob študiju in ki sem jih resnično pogrešal skozi ves čas študija.
POVZETEK
Razvoj informacijsko komunikacijske tehnologije v današnji družbi postavlja nove in nove
meje, ki nam v veliki meri poenostavijo in olajšajo življenje. Med tako lagodje štejemo tudi
spletno bančništvo, ki nam omogoča oddaljen dostop do svojega finančnega premoženja na
transakcijskem računu. Vendar razvoj informacijsko komunikacijske tehnologije, tako kot
vsaka druga stvar, s seboj prinaša temno plat. Napadalci so se pričeli zavedati, da oddaljen
dostop do finančnega premoženja žrtve lahko močno oteži njihovo identifikacijo. Posledično
jih je težko odkriti, zaradi česar so s svojim znanjem in psihološkimi spretnostmi pričeli
neusmiljen pohod do potencialnih žrtev. Takšni napadi iz dneva v dan naraščajo, česar se
zavedajo razvijalci tehničnih rešitev, ponudniki različnih spletnih storitev in uporabniki. Veliko
raziskav je pokazalo, da so slednji najbolj kritični pri zagotavljanju varnosti. Tako nam
uporabnikovo znanje in posledično vedenje pokaže stopnjo vzpostavljene varnosti.
KLJUČNE BESEDE: Spletno bančništvo, informacijsko varnostna kultura, stopnja varnosti,
finančno premoženje, napadalci, žrtve in identifikacija.
ABSTRACT
The development of information and communication technology in today's society raises new
frontiers and largely simplify and improve our lives. Online banking, is one of our life
improvements which allows us to access remotely, to our bank account. However, the
development of information and communication technology, like any other thing brings us also
negative consequences. Hackers are aware that remote access to victims accounts, highly
complicate their identification and consequently it is difficult to detect them. They use all their
skills and knowledge to get to potential victims. Such actions are increasing day by day and the
technical developers, internet providers and users are fully aware. A lot of researches has shown
that the most vulnerable are internet users, which knowledge and behavior are indicating the
level of established security.
KEY WORDS: E-Banking, information security culture, safety level, financial assets,
attackers, victims and identification.
KAZALO
1
UVOD................................................................................................................................. 1
2
SPLETNO BANČNIŠTVO ................................................................................................ 2
3
4
2.1
Ponudniki spletnega bančništva v Sloveniji ................................................................ 3
2.2
Osnovni varnostni napotki pred zlorabo spletnega bančništva .................................... 6
2.3
Osnovno ukrepanje v primeru zlorabe spletnega bančništva ....................................... 6
SOCIALNI INŽENIRING ................................................................................................. 7
3.1
Socialni inženiring in spletno bančništvo .................................................................... 9
3.2
Netehnični in tehnični pristopi socialnega inženiringa ................................................ 9
3.2.1
Pridobivanje že obstoječih podatkov na spletu .................................................. 10
3.2.2
Virusi, črvi, trojanski konji in kraja identitete ................................................... 11
3.2.3
Pharming in Phishing ......................................................................................... 17
3.3
Kako se zavarujemo pred socialnim inženiringom .................................................... 18
3.4
Primer ribarjenja na dodatno varnostno geslo - NLB ................................................ 20
3.4.1
Soočenje uporabnika s trojanskim konjem (Spyeye) .......................................... 20
3.4.2
Analiza trojanskega konja (Spyeye) ................................................................... 23
ZNANJE IN ZAVEDANJE UPORABNIKA O VARNOSTNIH MEHANIZMIH
SPLETNEGA BANČNIŠTVA ........................................................................................ 24
4.1
Prepoznava prave spletne strani ponudnika bančnih storitev .................................... 25
4.1.1
Identifikacija bančne spletne strani .................................................................... 25
4.1.2
Zasebno sporočilo .............................................................................................. 26
4.2
Identifikacija uporabnika spletnih bančnih storitev ................................................... 26
4.2.1
Geslo ................................................................................................................... 26
4.2.2
Dodatno varnostno geslo .................................................................................... 27
4.2.3
Spletno kvalificirano digitalno potrdilo ............................................................. 28
4.3
SSL tehnologija .......................................................................................................... 29
4.4
Osnovne varnostno tehnične rešitve za uporabnika ................................................... 30
5
4.4.1
Požarni zid (Firewall) ........................................................................................ 30
4.4.2
Protivirusna programska oprema ...................................................................... 31
4.4.3
Protivohunska programska oprema ................................................................... 32
OBNAŠANJE IN VEDÊNJE UPORABNIKA PRI SPLETNEM BANČNEM
POSLOVANJU ................................................................................................................ 33
5.1
5.1.1
Identifikacija bančne spletne strani .................................................................... 34
5.1.2
Zasebno sporočilo .............................................................................................. 34
5.2
6
7
Prepoznava prave spletne strani ponudnika bančnih storitev .................................... 34
Identifikacija uporabnika spletnih bančnih storitev ................................................... 35
5.2.1
Geslo ................................................................................................................... 35
5.2.2
Dodatno varnostno geslo .................................................................................... 36
5.2.3
Spletno kvalificirano digitalno potrdilo ............................................................. 36
5.3
SSL tehnologija .......................................................................................................... 37
5.4
Osnovne varnostno tehnične rešitve za uporabnika ................................................... 38
5.4.1
Požarni zid (Firewall) ........................................................................................ 38
5.4.2
Protivirusna programska oprema ...................................................................... 39
5.4.3
Protivohunska programska oprema ................................................................... 40
INFORMACIJSKO VARNOSTNA KULTURA ............................................................ 41
6.1
Informacijsko varnostna kultura spletnega bančništva .............................................. 42
6.2
Individualni del informacijsko varnostne kulture ...................................................... 42
RAZISKOVALNI PROBLEM, HIPOTEZE IN CILJI RAZISKAVE ............................ 46
7.1
Opredelitev raziskovalnega problema........................................................................ 46
7.2
Raziskovalne hipoteze ............................................................................................... 47
7.2.1
Hipoteza 1 ........................................................................................................... 47
7.2.2
Hipoteza 2 ........................................................................................................... 47
7.2.3
Hipoteza 3 ........................................................................................................... 48
7.3
Raziskovalna vprašanja .............................................................................................. 48
8
9
7.3.1
Raziskovalno vprašanje 1 ................................................................................... 48
7.3.2
Raziskovalno vprašanje 2 ................................................................................... 49
7.3.3
Raziskovalno vprašanje 3 ................................................................................... 49
7.3.4
Raziskovalno vprašanje 4 ................................................................................... 49
7.3.5
Raziskovalno vprašanje 5 ................................................................................... 50
7.3.6
Raziskovalno vprašanje 6 ................................................................................... 50
7.3.7
Raziskovalno vprašanje 7 ................................................................................... 50
7.4
Metoda raziskovanja .................................................................................................. 51
7.5
Cilji raziskave ............................................................................................................ 51
IZVEDBA RAZISKAVE ................................................................................................. 51
8.1
Predstavitev vprašalnika ............................................................................................ 52
8.2
Potek raziskave .......................................................................................................... 53
8.3
Analiza ....................................................................................................................... 55
ZAKLJUČEK ................................................................................................................... 66
10 LITERATURA IN VIRI................................................................................................... 67
PRILOGE
KAZALO GRAFOV
Graf 8.1: Izobrazba uporabnikov spletnega bančništva............................................................ 55
Graf 8.2: Starostna skupina uporabnikov spletnega bančništva ............................................... 56
Graf 8.3: S katero napravo najpogosteje dostopamo do spletnega bančništva ......................... 56
Graf 8.4: S katerim brskalnikom najpogosteje dostopamo do spletnega bančništva ............... 57
Graf 8.5: V katerem okolju najpogosteje dostopamo do spletnega bančništva ........................ 58
Graf 8.6: Znanje in zavedanje uporabnikov o varnosti spletnega bančništva .......................... 60
Graf 8.7: Obnašanje in vedenje uporabnikov o varnosti spletnega bančništva ........................ 63
Graf 8.8: Grafični prikaz stopnje varnosti na Dolenjskem in v Beli krajini ............................. 63
Graf 8.9: Primerjava obnašanja in vedenja med Dolenjsko in Belo krajino ............................ 65
KAZALO SLIK
Slika 3.1: Priponka virusa Cridex v e-poštnem sporočilu ........................................................ 15
Slika 3.2: Zaslonska slika bančnega trojanca (NLB Klik) ....................................................... 22
Slika 4.1: Zasebno digitalno potrdilo izdajatelja AC NLB ...................................................... 29
Slika 4.2: Stanje prikaza vzpostavljene varne povezave SSL .................................................. 29
Slika 4.3: Primer delovanja požarnega zidu ............................................................................. 31
Slika 4.4: Protivohunska programska oprema »Online« s širokim spektrom zaščite .............. 33
Slika 8.1: Osnovni podatki spletnega vprašalnika (ankete) te raziskovalne naloge ................. 54
KAZALO TABEL
Tabela 3.1: Zlonamerna programska koda od nastanka do danes ............................................ 12
Tabela 3.2: Kontrolni seznam preverjanja verodostojnosti prejetega zaprosila ....................... 19
Tabela 6.1: Model individualnega dela informacijsko varnostne kulture ................................ 42
1
UVOD
Življenje ob uporabi spletnega bančništva je zagotovo lepše, saj izvajamo plačila, nakazila,
kontrolo prometa, stanja in veliko drugih ponujenih ugodnosti kadarkoli, kjerkoli in bolj
ugodno kot ob tradicionalni obliki poslovanja z banko. Predvsem veliko odtehta časovna
neomejenost, saj spletno bančništvo ne pozna odpiralnega časa, kot ga imajo bančne ustanove.
Ko utegnemo, opravimo storitev, ki jo je treba opraviti, kar doma iz naslonjača, 24 ur na dan
skozi celo leto. Raziskave uporabe spletnega bančništva kažejo na to, da se Slovenija počasi, a
vztrajno približuje povprečju, ki ga postavljajo vse države članice Evropske unije skupaj. Ali
je za počasno rast uporabnikov spletnega bančništva v Sloveniji kriva varnost, nezaupljivost ali
kateri drugi dejavnik? Srečujemo se z različnimi mnenji posameznikov. Zagotovo pa skorajda
vsakdo čuti strah pred hitro rastočimi, nenehnimi nevarnostmi, ki prežijo na uporabnika. Sprva
so bančne ustanove posvetile veliko pozornost varnosti, ki so jo zagotavljale same ob
vzpostavitvi spletnega bančništva. Kmalu se je izkazalo, da le-to ne zadostuje in da mora ob
vzpostavitvi večje varnosti spletnega bančništva uporabnik primerno zavarovati napravo, s
katero dostopa do uporabniških storitev tega segmenta. Banke običajno nudijo uporabnikom
spletno bančništvo s skrbno varovanih strežnikov ob podpori strokovnjakov z različnih
področij, ki skrbijo za varnost. Uporabnik pa do teh storitev dostopajo iz različnih okolij, kjer
gojijo različno znanje o varnostnih mehanizmih spletnega bančništva in različna vedenja do
uporabe teh varnostnih mehanizmov, s katerimi dosegamo najmanjšo zadovoljivo stopnjo
varnosti. Znanje in vedenje sta tudi na splošno tesno povezana segmenta in ju moramo redno
nadgrajevati ter vključevati v najvišji možni meri, da dosežemo karseda največjo stopnjo
varnosti. Veliko več znanja o vseh varnostnih mehanizmih in ostalih podrobnostih pri spletnem
bančništvu, ki ga imajo nekateri posamezniki, ne zadostuje za vzpostavitev velike stopnje
varnosti, če ne vključuje ustreznega vedenja. Poenostavljeno pojasnilo lahko zapišemo takole:
»Veliko vem, vendar tega ne počnem«. Vedenja pa ne moremo vključevati tudi v splošnem
pogledu, če nimamo ustreznega znanja. Poenostavljeno pojasnilo lahko zapišemo takole: »Rad
bi varno ravnal, vendar ne vem, kaj naj počnem«. Zaradi opisanih ugotovitev želim v diplomski
nalogi raziskati stopnjo varnosti na Dolenjskem in v Beli krajini, ki temelji na znanju in vedenju
posameznikov v okolju spletnega bančništva.
1
2
SPLETNO BANČNIŠTVO
Spletno bančništvo v primerjavi s klasičnim ponuja predvsem preprosto, hitro in kakovostno
izvajanje bančnih storitev, ne glede na čas in oddaljenost od matične banke. Takšna storitev
omogoča, da lahko ugodno nameščeni v domačem naslonjaču pregledujemo stanje na bančnem
računu, plačujemo račune, položnice in usmerjamo ostale izdatke, zaprosimo za povečanje
limita in uporabljamo še vse druge razpoložljive storitve. S takšnim lagodjem so bančne
ustanove sprva pritegnile manjše število uporabnikov, saj so bili nezaupljivi in zelo previdni.
V letu 2002 je takšne storitve v Sloveniji uporabljalo 98.669 fizičnih oseb in samostojnih
podjetnikov. Do leta 2006 se je število navedenih uporabnikov povzdignilo na 351.111, kar je
za približno 256 % več glede na leto 2002. Mnogi pripisujejo takšno rast večji pokritosti dostopa
do interneta in cenejšemu ter predvsem hitrejšemu dostopu do spleta. V naslednjih sedmih letih,
in sicer do konca leta 2013 se je rast števila uporabnikov znatno upočasnila in dosegla raven
690.040 uporabnikov, kar je le za približno 96,5 % več glede na leto 2006 (Banka Slovenije,
2014). Ne glede na opisan velik upad rasti števila uporabnikov je treba upoštevati, da se
odstotek tistih, ki ne uporabljajo spletnega bančništva, zmanjšuje in je takšen upad rasti števila
uporabnikov brž ko ne pričakovan.
Spletno bančništvo spada v segment elektronskega bančništva, ki vse bolj nadomešča
tradicionalen način poslovanja z banko. S takšnim elektronskim poslovanjem tradicionalen
način poslovanja z banko izgublja svoj prvotni pomen in se vztrajno preusmerja v elektronsko
obliko. Elektronsko bančništvo ne predstavlja samo poslovanja z banko prek interneta temveč
vključuje tudi poslovanje prek bančnih avtomatov, POS terminalov1 (Point-of Sale) ter drugih
oblik, pri katerih ni potrebna neposredna komunikacija z bančnim uslužbencem, in to brez
posebnih omejitev oziroma kadarkoli.
Širjenje takšne oblike poslovanja je predvsem v njenih dobrih lastnostih tako za stranko kot za
banko. Banke s takšnim poslovanjem zmanjšujejo stroške, vendar ne, kot so predvidevale.
»Predvidenih 25 odstotkov zmanjšanja stroškov pri poslovanju se je izkazalo za pretiranih, saj
POS terminal je manjša elektronska naprava, po navadi se nahaja ob blagajni, ki omogoča plačevanje z različnimi
plačilnimi karticami (negotovinsko plačevanje).
1
2
so raziskave pokazale, da je resničen prihranek le kakih 5 odstotkov ali celo manj« (24ur.com,
15. april 2014). Ne glede na pričakovan in dejanski odstotek znižanja stroškov, je vseeno
obdelava podatkov lažja, ažurnost podatkov je mnogo večja, znižalo se je število poslovalnic,
pridobivajo se stranke izven območja delovanja svojih poslovalnic in podobno. Uporabniki s
takšnim poslovanjem predvsem pridobijo na času, ki je ob današnjem ritmu življenja vse bolj
dragocen, in hkrati pridobijo na zasebnosti, ki se vse bolj ceni in varuje. Največ uporabnosti
pridobijo uporabniki z dosegljivostjo banke 24 ur na dan skozi vse leto in na tak način opravijo
storitev tudi izven poslovnih ur banke. Kljub temu mora uporabnik upoštevati urnik plačilnega
prometa, kar pomeni, da bo opravljeno plačilo izven urnika plačilnega prometa bilo izvršeno z
datumom plačila na prvi naslednji delovni dan.
Vse pozitivne lastnosti spletnega bančništva ne uspejo potešiti grenkega priokusa in občutka
prisiljenega vzdrževanja stika s tradicionalnim bančništvom ob določenih storitvah. Tako pri
določenih storitvah, npr. povečanju ali podaljšanju limita, kljub potrditvi s spletnim digitalnim
potrdilom, ki omogoča zanesljivo identifikacijo uporabnika, banke zahtevajo še podpis
odobritve na tradicionalen način. V takšnem primeru vse ugodnosti spletnega bančništva
prekrijejo slabi občutki in spoznanje, da ne gre brez načina tradicionalnega poslovanja (Šavc,
2013).
Ponudniki spletnega bančništva v Sloveniji
2.1
V Sloveniji imamo dvajset različnih bank in dve hranilnici, ki ponujajo spletno bančništvo, med
katerimi dve uporabljata dostop do istega strežnika spletnih bančnih storitev (NLB d. d. in njen
gost na strežniku Banka Celje d. d.).

Abanka Vipa d. d., ki ponuja spletno bančništvo pod nazivom Abacom na spletni
povezavi https://abacomweb.abanka.si z uporabo spletnega kvalificiranega digitalnega
potrdila ob prijavi.

Banka Celje d. d., ki gostuje v spletnem bančništvu pod nazivom NLB Klik na spletni
povezavi https://klik.nlb.si z uporabo spletnega kvalificiranega digitalnega potrdila ob
prijavi.
3

Banka Koper d. d., ki ponuja spletno bančništvo pod nazivom i-Net na spletni povezavi
https://i-banka.banka-koper.si z uporabo prenosnega čitalca ali z mobilno napravo ali s
certifikatom na kartici ob prijavi.

Banka Sparkasse d. d., ki ponuja spletno bančništvo pod nazivom Net.Stik na spletni
povezavi https://netstik.sparkasse.si z uporabo uporabniške številke in geslom ob
prijavi.

Banka Volksbank d. d., ki ponuja spletno bančništvo pod nazivom VB Online na
spletni povezavi http://online.sberbank.si/defaultFO.htm z uporabo fiksnega čitalca
pametnih kartic ali s prenosnim OTP čitalcem pametnih kartic ali z digitalnim
kvalificiranim potrdilom ali s PIN št. pri čemur lahko vidimo le stanje na računu.

Bawag Bank d. d., ki ponuja spletno bančništvo pod nazivom Bawag PSK eBanking
na spletni povezavi, https://ebanking.bawagpsk.com z uporabo verifikacijske številke
in geslom ali varnostno kartico.

Deželna banka Slovenije d. d., ki ponuja spletno bančništvo pod nazivom DBS Net na
spletni povezavi https://abacomweb.abanka.si z uporabo enkratnega gesla ali spletnim
kvalificiranim digitalnim potrdilom ob prijavi.

Faktor Banka d. d., ki ponuja spletno bančništvo pod nazivom FB@PRO na spletni
povezavi https://ebanka.factorb.si/fbpro/tb.vstop z uporabo spletnega kvalificiranega
digitalnega potrdila ob prijavi.

Gorenjska Banka d. d., ki ponuja spletno bančništvo pod nazivom Link - osebni in
Link|m
na
spletnih
povezavah
https://elba.gbkr.si/link_vstop/
in
https://elba.gbkr.si/linkm/ z uporabo spletnega kvalificiranega digitalnega potrdila ob
prijavi.

Hypo Alpe-Adria Bank d. d., ki ponuja spletno bančništvo pod nazivom HYPONet na
spletni povezavi https://www.hyponet.si/ z uporabo uporabniškega imena in gesla ob
prijavi.

Nova KBM d. d., ki ponuja spletno bančništvo pod nazivom Bank@Net na spletni
povezavi https://bankanet.nkbm.si/prijava/bnk z uporabo uporabniškega imena in gesla
ob prijavi.

Nova Ljubljanska Banka d. d., ki ponuja spletno bančništvo pod nazivom NLB Klik
na spletni povezavi https://klik.nlb.si z uporabo spletnega kvalificiranega digitalnega
potrdila ob prijavi.
4

Poštna Banka Slovenije d. d., ki ponuja spletno bančništvo pod nazivom PBS.net na
spletni
povezavi
https://ebanka.factorb.si/fbpro/tb.vstop
z
uporabo
spletnega
kvalificiranega digitalnega potrdila ali imena in gesla ob prijavi.

Probanka d. d., ki ponuja spletno bančništvo pod nazivom Prosplet na spletni povezavi
http://www.probanka.si/prosplet/prosplet.htm z uporabo spletnega kvalificiranega
digitalnega potrdila ali s SecurID kartico ob prijavi.

Raiffeisen Banka d. d., ki ponuja spletno bančništvo pod nazivom ReiffeisenNET na
spletni povezavi https://eureka.raiffeisen.si/fizicne/tb.vstop z uporabo uporabniškega
imena in gesla ob prijavi.

SKB Banka d. d., ki ponuja spletno bančništvo pod nazivom SKBNET na spletni
povezavi https://www.skb.net/Default.aspx z uporabo uporabniškega imena in gesla ob
prijavi.

SID - Slovenska izvozna in razvozna banka d. d., ki ponuja spletno bančništvo pod
nazivom SID-NET na spletni povezavi http://www.sid.si/index.php?i=123 z uporabo
uporabniškega imena in gesla ob prijavi.

Unicredit Bank d. d., ki ponuja spletno bančništvo pod nazivom Online b@nka na
spletni povezavi https://si.unicreditbanking.net/disp?r=8439.449592548734 z uporabo
uporabniškega imena in gesla ob prijavi.

Delavska hranilnica d. d., ki ponuja spletno bančništvo pod nazivom Dh-Plus na
spletni povezavi
https://dheb.delavska-hranilnica.si/fizicne/tb.vstop z uporabo
spletnega kvalificiranega digitalnega potrdila ob prijavi.

Hranilnica LON d. d., ki ponuja spletno bančništvo pod nazivom Osebni eLON na
spletni povezavi https://e-lon.lon.si/pls/fizicne z uporabo spletnega kvalificiranega
digitalnega potrdila ob prijavi.

BKS Bank AG, ki ponuja spletno bančništvo pod nazivom BKS Bank Net na spletni
povezavi https://ebanka.factorb.si/fbpro/tb.vstop z uporabo uporabniškega imena in
gesla ob prijavi.

Zveza Bank, ki ponuja spletno bančništvo pod nazivom ELBA Internet na spletni
povezavi
https://banking.raiffeisen.at/logincenter/login.wf
z
uporabo
spletnega
kvalificiranega digitalnega potrdila, uporabniškega imena ali št. računa oziroma
depozita ob prijavi.
5
»Ključna slabost pri spletnem bančništvu je zagotovitev varnosti« (Pinterič in Grivec 2007, str.
59). Zaradi tega različne banke ponujajo različne mehanizme za vzpostavitev osnovne stopnje
varnosti ob uporabi ponujenih storitev. Uporabniki lahko pri določenih bankah izberejo večjo
stopnjo varnosti na podlagi boljših mehanizmov (dostop s pametno kartico in čitalcem …),
vendar z doplačilom za nakup ali mesečnim zakupom takšnega mehanizma.
Osnovni varnostni napotki pred zlorabo spletnega bančništva
2.2
Nobena zaščita in napotki niso stoodstotni, vendar pa z njihovo uporabo ravnamo zaščitniško,
kar v določenih pogledih zadostuje za varno uporabo. Pri uporabi spletnega bančništva bi morali

vedno ročno vpisati spletni naslov (URL2) v orodno vrstico brskalnika in nikoli
dostopati do spletnega bančništva prek spletne povezave (link3), ki jo dobimo po
elektronski pošti;

vedno preveriti digitalni certifikat spletne banke, če se ujema s spletnim naslovom, ki
smo ga obiskali. Sodobnejši brskalniki to storijo samodejno;

vedno uporabljati vse varnostne mehanizme, ki jih ponuja ponudnik spletnega
bančništva (zasebno sporočilo, obvestilo SMS, dodatno varnostno geslo in podobno).
Osnovno ukrepanje v primeru zlorabe spletnega bančništva
2.3
V kolikor se zgodi, da postanemo žrtev napadalcev, ki nezakonito uporabijo naš račun spletnega
bančništva, nikoli in prav nikoli ne smemo zgubljati časa. Nemudoma, ko nam omogočajo
okoliščine, bi morali

preklicati digitalni certifikat, v kolikor ga uporabljamo, oziroma ostale varnostne
mehanizme za dostop do računa spletnega bančništva;

pridobiti s strani banke vse izpise spornih transakcij z vsemi podatki, s katerimi
razpolaga banka, in to ob prijavi dostaviti kar se da hitro policiji, da lahko prične
uspešno preiskovati dejanje.
URL (Uniform Resourse Locator) predstavlja neke vrste spletni naslov, ki nam omogoča enolično predstavitev
in identifikacijo nekega spletnega naslova ali vira.
3
Link je zapis največkrat v obliki teksta, ponavadi obarvan z modro barvo. S klikom nanj omogočimo določenemu
programu (npr. spletnemu brskalniku), da nas popelje na točno določeno spletno stran.
2
6

skušati ugotoviti, na kak način je prišlo do zlorabe podatkov za dostop do računa
spletnega Bančništva, morebiti okužba računalnika, vpisovanje gesel na zahtevo
neznancev, oziroma dobro premisliti, kaj se je dogajalo pred storjenim dejanjem.
3
SOCIALNI INŽENIRING
Informacijski pooblaščenec Republike Slovenije je o socialnem inženiringu v priročniku,
smernice za preprečevanje kraje identitete, zapisal.
Socialni inženiring je nabor tehnik napadalca za prepričevanje uporabnika ali
administratorja sistema, da mu izda avtentikacijske podatke, s katerim se nato nezakonito
prijavi v sistem. Socialni inženiring temelji na t.i. imenovanjih kognitivnih odklonih in
izkorišča reagiranje ljudi v določenih situacijah (npr. pod pritiskom). Izvajalci socialnega
inženiringa s pomočjo obvladovanja veščin prevzemanja identitete drugih ljudi lahko
izjemno uspešno pridobijo pomemben podatke. Verjetno najbolj znani hacker4, Kevin
Mitnick, je slovel ravno po zmožnostih izvabljanja podatkov od ljudi. Pri socialnem
inženiringu so lahko zelo koristna omrežja za spletno druženje (npr. Facebook), kjer ljudje
sami od sebe objavljajo številne osebne podatke, ki napadalcu omogočijo boljše
poznavanje žrtve in s tem predvidevanje njenega reagiranja (Informacijski pooblaščenec
Republike Slovenije, 19. april 2014).
Socialni inženiring pozna dva subjekta, in sicer napadalca, ki naredi prvi korak z namenom
pridobivanja nekaterih koristi, s pomočjo socialnih ali psiholoških trikov, pri čemur doseže
zaupanje posameznika. Slednji »nasede« zlorabi zaupanja in napadalcu največkrat razkrije
občutljive osebne podatke, kot so ime, priimek, EMŠO5, številko svojega transakcijskega
računa, različna gesla za dostop do različnih uporabniških računov ter podobno, in hkrati
postane žrtev, ki jo v večini literature predstavljajo kot drugi subjekt socialnega inženiringa
(Informacijski pooblaščenec Republike Slovenije (a), 19. april 2014). Napadalec tako
Hacker je posameznik, ki z izkoriščanjem ranljivosti varnostnih sistemov pridobiva nepooblaščen dostop do
računalniških sistemov.
5
EMŠO ali Enotna Matična Številka Občana je osebno identifikacijska številka občana v Republiki Sloveniji.
4
7
pridobljene podatke največkrat zlorabi z namenom protipravnega prilaščanja premoženjske
koristi, v nekaterih primerih pa tudi zaradi izsiljevanja in groženj.
Vsa dejanja socialnega inženiringa, kjer nastopi napadalec, ki posameznika pripravi, da postane
žrtev, so protipravna. V Sloveniji so generalno zavedena v različnih zakonskih aktih, odvisno,
ali gre za prekršek ali za kaznivo dejanje. Prekršek predstavlja lažjo oziroma manj škodljivo
obliko protipravnega deviantnega ravnanja, zaradi česar so kazni za takšna dejanja za storilca
milejše, predpisane v obliki denarnih glob ali opozoril. Vendar pri socialnem inženiringu v
glavnem zasledimo težje oblike protipravnih ravnaj, ki imajo hujše posledice in temu primerno
hujšo kazensko odgovornost za storilca v obliki odškodninske odgovornosti ali zaporne kazni.
Različne tehnike socialnega inženiringa so v določenih primerih zelo izpopolnjene in skoraj
vedno izvirajo iz drugih oddaljenih držav, kar organom pregona oteži preiskovanje oziroma
odkrivanje napadalca. Napadalci so dobro teoretično in praktično podkovani, zaradi česar v
večini primerov ostanejo neodkriti in bogatejši za uspešno zbrane podatke ter morebiti
nezakonito pridobljeno premoženje žrtve. V primerih, ki se odkrijejo, pa skoraj vedno obstaja
v ozadju nekakšna združba, ki ima dobro razdeljene vloge in delitev dobička v hierarhičnem
vrstnem redu.
Napadalcu v primeru, da ogoljufa žrtev v škodo njenega ali tujega premoženja, v Sloveniji grozi
denarna kazen ali kazen zapora od enega do osmih let, v primeru, da pridobi podatke z napadom
na informacijski sistem, pa mu grozi največ do pet let zapora, odvisno od okoliščin in podobno
(Kazenski zakonik, 2008). Glede na navedene kazni, se napadalci dobro pripravijo in
organizirajo, da vzpostavijo ravnovesje, ki jim je v prid. Kljub temu se jih nekaj odkrije, saj ne
obstaja popolno kaznivo dejanje, ki bi prekrilo vse sledi za izsleditev napadalca.
Zaskrbljujoče postanejo ugotovitve, da takšne oblike napadov strmo naraščajo iz meseca v
mesec, skorajda kot napredek informacijske komunikacijske tehnologije.
Socialni inženiring tako temelji na socialnih in psiholoških trikih, kjer je zelo pomembno znanje
in zavedanje posameznika o naboru tehnik tega segmenta ter o vedenju pri stiku z njimi. Pri
tem ni toliko pomembno znanje in vedenje uporabe računalniških tehnik.
8
3.1
Socialni inženiring in spletno bančništvo
Vse večja uporaba spletnega bančništva, pri čemer iz oddaljenosti upravljamo s svojim
finančnim premoženjem po javnih komunikacijskih omrežjih skorajda brez omejitev, postane
le-ta za napadalce bolj dosegljiva kot kadarkoli prej. Napadalci za svoj podvig pričnejo z
zbiranjem ključnih podatkov o uporabniku in hkrati žrtvi spletnega bančništva, in to bodisi
preko spleta, socialnih omrežij, zlonamernih programskih kod in podobno. Podatki, ki se
zbirajo v večini primerov, predstavljajo uporabnikovo ime, priimek, naslov bivanja, e-poštni
naslov, tip operacijskega sistema računalnika, podatke o brskalniku, s katerim dostopajo do
spletnih bančnih storitev in podobno. Zaradi kopice podatkov napadalci izluščijo informacije,
ki so pomembne za vzpostavitev nekakšnega odnosa med napadalcem in žrtvijo. Napadalec se
s pridobljenimi informacijami največkrat predstavi kot žrtvin ponudnik spletnega bančništva in
skuša vzpostaviti zaupljiv odnos. V kolikor je napadalcu uspelo vzpostaviti zaupljiv odnos z
žrtvijo, slednja izda zahtevane podatke napadalcu, bodisi z vpisovanjem le teh v elektronsko
sporočilo, ki ji je bilo dostavljeno in odgovorom nanj, bodisi z vpisovanjem podatkov v lažno
spletno stran ali na druge podobne načine.
Velika večina žrtev se še v tem koraku ne zaveda, da so postale uspešno zadeta tarča
napadalcev, saj niso utrpele še nikakršne materialne škode. V kolikor žrtev uspe na kakršenkoli
način v tem delu prepoznati napadalčeva zlonamerna dejanja in ustrezno ukrepa, s tem
pravočasno prepreči dostop do spletnega bančništva svojega transakcijskega računa in zavaruje
svoje finančno premoženje. V nasprotnem primeru napadalca čaka najlažji del, ki po tako
uspešno zaključenem »ribarjenju« izvrši svoje protipravno dejanje in odvzame finančna
sredstva na transakcijskem računu bodisi z nakazilom denarja na drug transakcijski račun,
nakupom ali na kakršenkoli podoben način. Žrtev in napadalec imata vzpostavljen odnos
zaupanja, zaradi česar ni konec nevarnosti za žrtev, saj lahko ostane še naprej pomemben člen
pri zbiranju različnih podatkov, tako svojih kot podatkov drugih, s katerimi razpolaga.
3.2
Netehnični in tehnični pristopi socialnega inženiringa
Socialni inženiring lahko zlahka ločimo v netehnični del, ki temelji na osebnem pristopu, in
tehnični del, ki temelji na tehnologiji.
9
Netehnični del se izraža v obliki osebnega pristopa in se je v zgodovini socialnega inženiringa
pojavil prvi. Osebni pristop je bil temelj netehničnega dela socialnega inženiringa in se je
predvsem izvajal v družbah z večjim številom zaposlenih, kjer se je napadalec lahko skril s
pretvezo, da gre za enega od zaposlenih. Kmalu se je razvila oblika brskanja po smeteh, ang.
»dumster diving ali trashing«, kjer so napadalci iskali različne podatke, kot so telefonski imenik
podjetja, organizacijski diagram, seznam dogodkov in podobno (Gerden, 2013), ki so jih
kasneje sestavljali kot mozaik.
Pri elektronskem bančnem poslovanju, ki ga opravljamo na raznih bančnih terminalih, kot so
bankomati, POS terminali, so se pojavile oblike gledanja čez ramo, ang. »shoulder surfing«,
kjer so si napadalci predvsem skušali zapomniti gesla za dostop do transakcijskih računov na
podlagi uporabljenih plačilnih kartic (Gerden, 2013).
Tehnični del se izraža v obliki pristopa s pomočjo informacijsko komunikacijske tehnologije,
kjer napadalec nima neposrednega stika z žrtvijo, vendar vzpostavi stik s svojo iznajdljivostjo
in tako skuša pridobiti zaupne podatke, ki jih nato zlorabi, največkrat v materialno škodo žrtve.
Tehnični del lahko v povezavi s spletnim bančništvom obravnavamo skupaj z dostopom do
interneta. Tehnični pristop socialnega inženiringa se izvaja predvsem v nekaj naslednjih
oblikah.
3.2.1
Pridobivanje že obstoječih podatkov na spletu
Socialni inženiring se prične s pridobivanjem informacij, ki jih posamezniki sami ali kdo drug
plasira na splet s pomočjo zapisov na spletnih straneh, socialnih omrežjih in podobno. V veliki
meri se uporabniki spleta tega ne zavedamo.
Kot navdušen uporabnik interneta in hkrati spletnega bančništva večkrat ob surfanju po spletu
s spletnim iskalnikom preverim svoje osebne podatke (največkrat ime in priimek). Rezultatov,
ki bi konkretno izkazovali moje podatke, ni bilo moč najti, saj jih na spletu nisem nikoli
vpisoval oziroma sem vedno uporabljal vzdevek »whMamba«. Veliko je bilo rezultatov mojega
imena in priimka, vendar so bili vsi povezani z drugimi osebami, predvsem s popularnim
slikarskim umetnikom, s katerim deliva le enako ime in enak priimek in nisva edina s takšnimi
10
podatki. V določenih primerih je to dobro, saj je treba preiskati in uskladiti kopico podatkov,
da napadalec najde in poveže tiste, ki sodijo skupaj.
Zatem sem nekega dne v službi, kjer se ukvarjam z odkrivanjem in s preiskovanjem kaznivih
dejanj, dobil možnost dostopa do socialnega omrežja Facebook. Sprva sem se spraševal, čemu
bi se pridružil socialnemu omrežju Facebook, vendar sem nekoliko kasneje brez zadržkov
ustvaril svoj osebni profil. Šment, navedel sem pravo ime in priimek ter tako v nekaj dneh
pridobil več kot tristo prijateljev, ki jih poznam! Kljub temu sem pri uporabi tega socialnega
omrežja zelo previden. Nimam shranjenih slik svoje podobe na uporabniškem računu, prav tako
nimam navedenih ostalih demografskih podatkov, vendar so me nekateri prijatelji označili na
fotografijah, ki so jih dodali na svoj uporabniški račun, in tako se počasi plasirajo občutljivi
podatki na splet. Med takšne podatke ne štejemo samo osebnih podatkov vendar tudi ostale
podatke, npr. podatek o končanih šolah, poklicu, hobijih ter druge. Vsakdo (delodajalec,
društvo, šole …), ki poseduje naše podatke, jih lahko namerno, če postane tarča napadalcev, ali
nenamerno, če v dobri veri objavi preveč podatkov o uspehu posameznika, plasira na splet. Ob
neustrezni pazljivosti lahko še toliko bolj občutljive podatke, npr. gesla in druge, pošljemo kar
sami z uporabo lažne spletne strani, ki smo jo obiskali, misleč, da je prava. V takšnih primerih
najbolj zviti napadalci po vpisanih občutljivih podatkih uporabnika celo preusmerijo na pravo
spletno stran in ga s pomočjo spletnih veščin tudi vpišejo ter tako preverijo resničnost podatkov.
3.2.2 Virusi, črvi, trojanski konji in kraja identitete
Zlonamerna programska koda (Malicious Code - Malware) predstavlja programsko opremo
računalniških hekerjev, ki vsebuje skupek ukazov, ki povzročajo škodo na strojni ali
programski opremi računalnika. Zapis ukazov se lahko pojavi v obliki skriptnih jezikov6, Java
programčkov7, kontrolnikov ActiveX8, »plug-in«-ov9 za spletne brskalnike in podobno.
Skriptni jezik predstavlja nekoliko drugačno programsko kdo kot običajne programske kode, združene v program.
Njihova glavna naloga je povezovati komponente teh drugih običajnih programskih kod, predvsem pri grafičnih
vmesnikih uporabnika, internetu in podobno.
7
Java programčki so programske kode, združene v celoto kot program, ki so bile ustvarjene v programskem jeziku
JAVA.
8
ActiveX so manjši programčki, ki se uporabljajo v spletnem brskalniku, da pravilno prikažejo določeno spletno
stran, saj le-ta s pomočjo njih pravilno izvede določene operacije, ki jih vsebuje.
9
Plug-in je komponenta programske opreme, ki doda posebno funkcijo obstoječi programski opremi. Med najbolj
znanimi sta Adobe Flash Player in QuickTimePlayer.
6
11
Zlonamerna programska koda se lahko aktivira sama ali posredno zahteva posredovanje
uporabnika za izvedbo ukazov, zapisanih v kodi. Uporabnik največkrat aktivira zlonamerno
programsko opremo z enim klikom, v večini primerov pri odpiranju priponke v e-pošti.
Napadalčevo početje se največkrat izraža v pošiljanju sporočil prek elektronske pošte z našimi
podatki, brisanju datotek in ostalih protipravnih dejanjih. Najbolj nevarno početje omenjene
kode je zagotovo pridobljen popoln dostop do naših računalnikov. Zlonamerna programska
koda v bistvu predstavlja programsko opremo hekerjev v obliki virusov, črvov, trojanskih
konjev in podobnih oblik, ki se najpogosteje širjo po omrežjih.
Tabela 3.1: Zlonamerna programska koda od nastanka do danes
Creeper je zlonamerna programska oprema, ki se je v navedenem letu širila po
1970 omrežju ARPANET in ni povzročala hudih posledic, vendar je prikazovala le
sporočilo uporabnikom z vsebino »I´m the creeper, catch me if you can!«.
Elk Cloner se je širila s pomočjo takratnih gibkih prenosljivih medijev, »Disket10«.
1982 Okužila je lahko le računalnike z nameščenim operacijskim sistemom Apple DOS11
v3.3.
1983 Fred Cohen je prvi, ki je sestavil in pričel uporabljati termin računalniški virus.
Brain je prvi računalniški virus, ki je okužil zagonske sektorje12 diskete v
1986 operacijskih sistemih MS-DOS13. Že pri njem se je izoblikovala nadležna lastnost,
očitno upočasnjevanje sistema, ki ga poznajo tudi današnji virusi.
Leto nekoliko resnejšega virusa, in sicer imenovanega Jeruzalem ali bolj znanega
kot Petek13. Po okužbi je čakal na datumsko aktivacijo, ki je bila zapisana za petek,
1988
13-ega. Takrat je virus izbrisal vse aktivne programe, kar je bilo še posebej nevarno
za zahtevnejše uporabnike takratne programske opreme. Pojavi se tudi prvi
računalniški črv, ki mu je uspelo okužiti veliko število računalnikov v izjemno
kratkem času.
1991
Tri leta pozneje se pojavi virus Micheangelo, ki se je aktiviral z ustvarjalčevim
datumom rojstva in pobrisal vso vsebino trdih diskov na računalniku. Posledice so
Disketa je zunanji prenosni spominski medij manjših kapacitet za shranjevanje podatkov. Poznamo jo tudi pod
nazivom mehki ali gibki disk, saj jo je moč nekoliko fizično upogibati, in to brez poškodb ali izgube podatkov.
11
DOS, kratica za Disc Operating System, ki je predstavljal nekaj med seboj povezanih operacijskih sistemov kot
celoto za pogon IBM osebnih računalnikov.
12
Zagonski sektor (ang. Boot Sector) je del prostora, kjer se nahajajo podatki, ki skrbijo za pravilen zagon
nameščena operacijskega sistema.
13
MS-DOS je kratica za Microsoft Disc Operating System.
10
12
za uporabnika bile zelo hude, saj v tistem času ni bilo zlahka dostopne programske
opreme, ki bi povrnila izgubljene podatke, kot je to možno danes.
V tem letu sledi prelomnica virusov, saj je bilo izdelano orodje za generiranje
1992 virusov »Virus Creation Laboratory (VLC)«, kar je povečalo izdelavo virusov za
420 odstotkov glede na leta poprej.
Izdelovalci virusov pri sestavljanju zlonamerne kode posvetijo veliko časa
1993 njihovemu prikritemu delovanju. Odkrivanje virusov (Emmie, Uruguay …), ki so
bili takrat izdelani, postane zelo oteženo.
1994
Leto, ko se prvič pojavi lažni alarm o pojavu takrat poimenovanega virusa Good
Times, ki ima najhujše posledice dotlej.
Napadalci prvič plasirajo virus v obliki vpenjanja v dokument. Poimenujejo ga
1995 Concept. Zaradi najširše uporabe Microsoft Worda je bila prva okužena datoteka
tega programa.
1996
Boza in Larokx sta prva virusa, ki imata neposredno za cilj operacijski sistem
Windows.
Operacijski sistemi, ki so se uporabljali največ v tistem času, in sicer Microsoft
1998 Windows 95, 98 in Millennium, se soočijo s poškodbami sistemskih datotek, ki jim
jih je povzročil virus CIH ali Černobil.
Pojavi se nova oblika virusa z imenom Melisa. Širjenje je bilo možno le z
1999 elektronsko pošto, ki je bila zelo razširjena, zaradi česar se mu je uspelo razširiti in
okužiti okoli milijon računalnikov.
ILoveYou virus, ki je prizadejal večmilijardno škodo po svetu. Okužil je okoli 10
2000 odstotkov vseh uporabnikov interneta in bil prvi, ki je izdelovalcu poslal morebitne
osebne podatke, kot so uporabniška imena in gesla.
Namida, prvi med virusi, ki je bil zmožen okužiti računalnik žrtve na pet različnih
2001 načinov. Pojav novih virusov je bil vse bolj pogost. Prav tako so se pričeli vse bolj
pojavljati različni črvi kakor tudi druge škodljive programske kode.
Črv Slammer poruši vse rekorde, saj v pičlih desetih minutah okuži okoli 75.000
2003 računalnikov in s svojim odzivnim pohodom nadaljuje, zaradi česar mu uspe v
oseminštiridesetih urah okužiti 500.000 strežnikov.
13
Črv MyDoom prehiti v širjenju predhodnika Slammerja in hkrati s svojim
2004 razširjenim škodljivim ravnanjem omogoča napadalcu dostop do podatkov s trdega
diska.
2005
V tem letu se pojavi prvi virus za mobilne telefone z operacijskim sistemom
Symbian Series 60, poimenovan Commwarrior-A, ki se širi prek MMS14 sporočil.
V tem letu podre vse rekorde v zgodovini zlonamerne programske kode Conficker,
2008 ki svoj obseg razprostira v dvestotih državah na več kot sedmih milijonih
računalnikov.
2010
Nastane črv Stuxnet z namenom sabotaže jedrskega programa, ki ni pustil hujših
posledic.
Vir: Prirejeno po Dimc in Dobovšek (2012, str. 51–53)
Ob koncu leta 2013 so nemški raziskovalci inštituta Fraunhofer naredili velik korak naprej in
pripravili koncept zlonamerne programske opreme, ki se lahko prenese z enega računalnika na
drugega z uporabo vgrajenega zvočnika in mikrofona. Dokazali so, da takšna zlonamerna
programska koda na takšen način okuži vse računalnike v območju dvajsetih metrov, vendar se
bo ta razdalja zagotovo povečala na več kilometrov (Drinktrim, 2013). »Širjenje škodljivih
programskih kod prek zraka naj bi kmalu postalo del našega vsakdanjika« (Drinktrim, 2013).
Računalniški virusi (Computer Viruses)
Računalniški virusi so vrsta zlonamernih programskih kod, ki se zadržujejo znotraj zagonskih
datotek oziroma programov ali znotraj datotek dokumentov. Programske datoteke prepoznamo,
ker imajo končnice .exe, .msi, .com, .msm, .mst, … in datoteke dokumentov, ker imajo
končnice .doc, .docx, .txt, .pdf, .xls in mnogo drugih. Ob odprtju okuženih datotek se pričnejo
virusi samodejno razmnoževati in shranjevati v druge, še neokužene datoteke, kakor tudi v
druge računalnike s pomočjo mrežne ali internetne povezave. Virus lahko prenesemo tudi s
pomočjo prenosnih medijev, kot so CD, DVD, Floppy Disc, zunanji disk, pomnilniška kartica,
USB ključek in podobno, v kolikor imamo na njih okužene datoteke ali so se okužile s širjenjem
ob zagonu. Širjenje samodejnega virusa na optične medije ni možno, le na način, da nanj
zapišemo okuženo datoteko.
MMS sporočila so večpredstavnostna sporočila mobilnih telefonov, po katerih je možno poleg teksta pošiljati
tudi multimedijsko vsebino (slike, zvok, video …).
14
14
Viruse lahko delimo tako kot v zdravstvu, in sicer na obstojne in neobstojne. Neobstojni virusi
po zagonu nemudoma poiščejo gostitelja, ki ga okužijo in se zatem prenesejo na zagonsko
datoteko programa. Največkrat je znak take okužbe nekoliko daljši zagon računalnika kot
običajno vendar gre za zelo majhne hitrostne razlike. Obstojni virus se ob zagonu prenese v
delovni pomnilnik (RAM), kjer ostane aktiven in se širi v datoteke, ki jih uporabljajo programi
ali celo sam operacijski sistem (Policijski sindikat Slovenije, 2013). Tak virus dejansko
upočasni računalnik, kar lahko zaznamo z vse bolj počasnejšim delovanjem računalnika.
Spletni informacijski varnostni magazin deli viruse v tri skupine, in sicer viruse, ki okužijo
datoteke »file infectors«, viruse, ki okužijo sistem ali zagonske datoteke »system or boot
infectors«, ter viruse, ki so napisani v makro jeziku »macros viruses« oziroma v jeziku
programskih aplikacij, kot so urejevalniki besedil (Search Security, 2007). Med vsemi
škodljivci, ki jih poznamo, so virusi danes v manjšini.
Zadnji aktualni virus (Cridex), ki se je pojavil v elektronskih sporočilih pri nas, je bil odkrit
februarja 2014. Slovenski nacionalni odzivni center za obravnavo incidentov s področja
varnosti elektronskih omrežij in informacij (SI-CERT) je prejel več prijav uporabnikov, ki so
prejeli e-pošto nemških podjetij, v katerih so priponke dokumentov, kot računi za plačilo plina,
plačilo telekomunikacijskih storitev, bančni izpiski in podobno. Priponka ima ikono datoteke
PDF (Portable File Document), vendar v kolikor dobro pogledamo, opazimo opis tipa datoteke
pod ikono z vsebino Application, kar predstavlja programsko opremo in ne predstavljenega
dokumenta z ikono (SI-CERT, 14. marec 2014).
Slika 3.1: Priponka virusa Cridex v e-poštnem sporočilu
Vir: SI-CERT (14. marec 2014)
»Po trenutno znanih podatkih je napad ciljan predvsem na podjetja in ne toliko na zasebne
uporabnike. Gre za poskus prevare, ko napadalec želi, da z nepremišljenim klikanjem uporabnik
15
enostavno sam sebi naloži virus. Cridex je namenjen kraji gesel za dostop do spletnih storitev,
podatkov za dostop do e-bančnih storitev in podatkov o kreditnih karticah.« (SI-CERT, 14.
marec 2014). Tudi Cridex virus ostane brezpredmeten, če priponko e-poštnega sporočila
ignoriramo. Zakaj že smo odprli priponko? Ne poznamo pošiljatelja, ne uporabljamo storitve
nemškega telekomunikacijskega operaterja, pri tipu je navedeno, da gre za aplikacijo in ne
datoteko pa še bi lahko naštevali, vendar so jo določeni »neverni Tomaži« kljub temu odprli.
Računalniški črvi (Computer Worms)
Tako kot virusi se črvi samodejno razmnožujejo, vendar bolj inteligentno, saj samodejno iščejo
najbolj primerne ciljne datoteke za okužbo. Za svojo pot razmnoževanja uporabljajo
računalniško omrežje in ne potrebujejo obstoječih programov, da bi se vezali nanje. Glavna
naloga črva je, da se razmnoži na čim več računalnikov preko omrežja.
Ko se računalnik okuži s črvom, le-ta prevzame nadzor nad računalnikom, v katerem preišče
naslove iz imenika e-pošte in se zatem samodejno razpošlje na najdene naslove, brez beleženja
zgodovine poslanih sporočil. Ko pride v nov računalnik, stori enako in to ves čas ponavlja, kar
pripelje do preobremenitve zasebnega omrežja, poslovnega omrežja ali celo interneta kot
celote.
Trojanski konji (Trojan horse)
Zlonamerna programska koda, ki se v računalnik pretihotapi s pomočjo legitimne programske
opreme. Podoba v informacijskem svetu se izraža enako kot v resničnem, kjer je dobil ime.
Uporabnik ob namestitvi legitimne programske opreme hkrati namesti tudi zlonamerno kodo
trojanskega konja, ki napadalcu omogoči, da prevzame nadzor nad računalnikom.
Leta 2010 se je njegovo delovanje razširilo v svet mobilne telefonije, saj je bil zaznan prvi SMS
Trojanski konj, ki deluje v okolju operacijskega sistema Android, ki ga uporabljajo nekateri
pametni telefoni. Žrtve so si brezplačno nameščale medijski predvajalnik, ki je namestil
datoteko »Trojan-SMS.AndroidOS.FakePlayerr.apk«, ta pa je nenadzorovano razpošiljala SMS
sporočila.
16
Kraja identitete
Takšna oblika napadalcev se v zadnjih časih množično širi. Tako se lahko napadalec skrije za
našimi resničnimi podatki in počenja zakonsko nedopustne ter kaznive stvari, skrivajoč se za
našo identiteto. Kdo odgovarja za dejanja, storjena z našo identiteto? V Sloveniji je prijav
takšnih dejanj iz meseca v mesec več, morebiti zaradi nezavedanja nevarnosti ali slabše
osveščenosti glede nevarnosti. Uporaba naših osebnih podatkov na spletu se preprosto preveri
na način, da v katerikoli spletni brskalnik vnesemo ime in priimek. Če so osebni podatki
objavljeni na katerikoli spletni strani, kamor jih nismo osebno posredovali, in v primeru, da ne
obstaja oseba z enakim imenom ter priimkom, smo žrtev zlorabe.
3.2.3 Pharming in Phishing
Zvabljanje (ang. Pharming - izpeljanka besed farming kot kmetovanje ter fishing kot ribarjenje)
in lažno predstavljanje (ang. Phishing - izpeljanka besed password kot geslo in fishing kot
ribarjenje) sta metodi, s katerima napadalci skušajo pridobiti občutljive osebne podatke
uporabnikov poti informacijsko komunikacijske tehnologije oziroma s tehničnim delom
socialnega inženiringa. Najpogostejša oblika takšnih tehničnih pristopov se izraža s pošiljanjem
elektronskih sporočil v imenu ponudnika storitev, do katere hočejo dostopati, z različnimi opisi
težav, ki so ali bodo nastopile. Napadalec nato vljudno prosi, naj se uporabnik poveže na spletno
stran, ki je priložena kot povezava v elektronskem sporočilu, da predčasno odpravijo opisane
težave. Uporabnik s klikom na povezavo pristopi lažni, a kar se da podobni originalni spletni
strani, kjer od njega zahtevajo različne podatke za dostop. V kolikor uporabnik vpiše
kakršnekoli zahtevane podatke, lahko zelo hitro postane žrtev.
Ciljna skupina napadalcev so spletni naslovi (DNS15), zaradi česar so zelo težko razpoznavni
in sila uspešni. Pharming napade datoteko o zapisu gostiteljev (host file), v kateri najdemo
podatke o spletnih naslovih in v katere zabeleži preusmeritev na lažno stran. Uporabnik je kljub
ročnem vpisu spletnega naslova v brskalnik prepričan, da je obiskal pravo spletno stran in ne
lažne. V kolikor je lažna spletna stran neprepoznavna v razlikah od originalne, uporabnik vnese
zahtevane podatke in postane žrtev Pharminga.
15
DNS je pisno poimenovanje IP številke računalnika v omrežju interneta.
17
Pharming se od Phishinga razlikuje v tem, da zavzema bolj položaj tehnike genetskega
inženiringa. Phishing predstavlja najpogosteje zavajanje uporabnika k prostovoljni predaji
svojih osebnih občutljivih podatkov, in to na različne pretkane načine. Najbolj znani načini so
pojavna okna z zahtevki o nujni spremembi gesla na računu zaradi boljšega zagotavljanja
varnosti in potrditev identitete v povezavi z bančnim računom. Phishing se največkrat predstavi
s pretvezo po preveritvi podatkov z namenom zaščite uporabnika, da morebiti ne postane žrtev.
3.3
Kako se zavarujemo pred socialnim inženiringom
Najboljša oblika zavarovanja pred socialnim inženiringom je stalno izobraževanje in
izpopolnjevanje, na podlagi katerega lahko primerno ravnamo in se vedemo. Posebej
pomembno je to pri varovanju osebnih in drugih pomembnih podatkov, ki jih uporabljamo pri
spletnem bančništvu, saj le na tak način zagotovimo ustrezno varnost našega finančnega
premoženja na tekočem računu.
Statistični podatki govorijo o porastu socialnega inženiringa, vendar mu moramo preprečiti
uspešnost z odločitvijo o primernem življenjskem slogu oziroma s proaktivnim delovanjem. S
takim načinom se seznanimo, kateri podatki so v nevarnosti pred razkritjem in na kakšen način
jih zavarujemo.
Tehnična zaščita, med katero najpogosteje štejemo protivirusne programe, požarne zidove,
protivohunske programe in ostale tehnične rešitve, ki nam jo ponujajo izdelovalci, ne
zadostujejo, da zagotovimo visoko stopnjo varnosti. Segment našega vedenja, ko se zapletemo
z iznajdljivostjo napadalca in njegovim izpopolnjenim pristopom Phishinga ali drugih podobnih
oblik, odigra veliko vlogo saj nam tehnična zaščita ne more veliko pomagati, vendar je takrat
vse odvisno od nas samih. Ker pa človeška radovednost in pretirano zaupanje, posebej
neznancem, ne pozna meja, jim velikokrat nasedemo.
ENISA (Agencija Evropske unije za varnost omrežij in informacij) priporoča, da pri hitrem
preverjanju verodostojnosti prejetega zaprosila, upoštevamo naslednji kontrolni seznam, s
katerim ugotavljamo, ali gre za legitimno zahtevo ali pa gre dejansko za poskus manipulacij in
izvabljanja informacij (Enisa, 2008):
18
Tabela 3.2: Kontrolni seznam preverjanja verodostojnosti prejetega zaprosila
Ali se zdi zahteva legitimna in običajna? Npr., ali bi vas res nekdo smel
Legitimnost
spraševati za te informacije in ali je to tisti način, na katerega bi informacijo
običajno predali?
Pomembnost
Vir
Odzivnost
Kakšna je vrednost informacije, za katero vas sprašujejo, ali pa dejanja, ki
naj bi ga izvršili in kako oziroma za kaj bi lahko bilo to zlorabljeno?
Ali resnično lahko zaupate viru zahteve? Ali bi to lahko na kakšen način
preverili?
Ali morate odgovoriti takoj? Če imate še vedno dvome, si vzemite čas za
dodatne poizvedbe ali poiščite pomoč.
Vir: Enisa (2008)
Vzpostavitev zaupljivega odnosa med prejemnikom (žrtvijo) in pošiljateljem (napadalcem) je
temelj vsakega Phishinga, zaradi česar je pomemben pristop k reševanju takšnih zahtevkov
oziroma vzpostavljanju zaupljivega odnosa, iz katerega izvira razkritje zaupnih podatkov.
ENISA priporoča ob prejemu zahtevka hitro preveritev v štirih segmentih, in sicer je treba
preveriti legitimnost, pri čemur izluščijo poudarek na legitimnosti in običajnosti takšnega
zahtevka. V tem segmentu moramo predvsem dobro premisliti in preveriti, ali nas lahko
pošiljatelj sprašuje po zahtevanih podatkih. Phishing na dodatno varnostno geslo spletnega
bančništva NLB Klik (spletno bančništvo Nove Ljubljanske banke).
Nedavni poskusi Phishinga na NLB Klik o vpisu dodatnega gesla zaradi posodobitve sistema
so sila nesmiselni. Govorimo o dodatnem varnostnem geslu, ki je predvideno za vpisovanje ob
transakcijah, ko smo že vstopili v sistem spletnega bančništva, sedaj pa ga je treba vpisati pred
vpisom. V kolikor se zavedamo, zaradi česar imamo varnostno geslo in čemu služi, lahko takoj
posumimo o legitimnosti in običajnosti takšnega zahtevka. V kolikor dvomimo v zahtevek,
nadaljujemo s preverjanjem. Pomembnost zahtevanih informacij v tem primeru je na zelo
visok ravni. Napadalec ne more izvesti transakcije z našega tekočega računa na katerikoli drugi
račun ali kako drugače odtujiti našega finančnega premoženja, v kolikor je že uspel pridobiti
naš certifikat in geslo za vstop, če ne poseduje dodatnega varnostnega gesla. Tudi v tem koraku
lahko podvomimo v zahtevek.
19
Ker smo že drugič posumili v zahtevek, preverimo tretji korak in prevrimo, ali lahko zaupamo
viru (pošiljatelju). Zelo enostavno bi poklicali na katerokoli poslovalnico NLB, kjer bi
povprašali o potrebi vpisa dodatnega gesla, ki se zahteva ob uporabi njihovega spletnega
bančništva. S tem bi dobili potrditev, da tega ne počnimo, ker gre za poskus Phishinga. V tem
primeru bi zaključili in ugotovili, da smo bili preizkušeni s strani napadalca, ki smo se uspešno
ubranili. Kaj pa če je treba odgovoriti takoj (odzivnost)? Napadalec izrablja »časovno stisko«
žrtve in ga skuša prisiliti, da se mora takoj odzvati ter tako prepreči morebitno preverjanje
verodostojnosti prejetega sporočila. Vendar v takšnih primerih žrtve niso razmišljale prisebno
in se spraševale kaj bi se zgodilo, če bi spletno bančništvo ne uporabljale naslednjih nekaj dni,
tednov ali mesecev. Kdo bi namesto njih vpisal dodatno varnostno geslo, ali bi zaradi tega brez
obvestila banke zgubili dostop do uporabniškega računa? Popolnoma nesmiseln zahtevek po
takojšnjem vpisu dodatnega varnostnega gesla.
V navedenem primeru smo s pomočjo »Kontrolnega seznama preverjanja verodostojnosti
prejetega zaprosila« lahko enostavno ugotovili, da ne smemo biti preveč zaupljivi in kar tako
na »hitro« razkrivati zaupnih podatkov nekomu, ki ga sploh ne poznamo.
3.4
3.4.1
Primer ribarjenja na dodatno varnostno geslo - NLB
Soočenje uporabnika s trojanskim konjem (Spyeye)
Uporabnik spletnega bančništva je imel v osebni zadolžitvi prenosni računalnik, ki ga je
uporabljal za službene namene. Omenjeni računalnik je zaradi narave dela odnašal tudi domov.
Po nekaj mesecih uporabe na domu si je pri ponudniku spletnega bančništva NLB Klik uredil
vse potrebne zahteve, da je lahko dostopal do svojega tekočega računa prek interneta. Za takšen
korak se je odločil, ker je bil prenosni računalnik enkrat mesečno vzdrževan s strani znanega
zaposlenega informatika v družbi, ki mu je popolnoma zaupal. Nikoli ni pomislil, da samo
tehnično vzdrževanje ne zadostuje za zagotavljanje zadovoljive ravni varnosti. Uporabnik
spletnega bančništva je nato doma po navodilih ponudnika namestil certifikat na omenjen
prenosni računalnik. Pri uvažanju je uporabnik prezrl oziroma ni izrabil možnosti določitve
gesla, ki si ga uporabnik neodvisno od drugih sam izbere in vpiše. Takšno geslo dodatno ščiti
uporabnika, da ga kdorkoli, ki ne pozna tega gesla, ne more izvoziti ali uporabiti. Res je takšno
20
dodatno geslo »tečno«, saj nas brskalnik vsakič, ko se skušamo povezati s spletnim
bančništvom ponudnika, povpraša po njem, da ga vpišemo in potrdimo.
Vendar ne smemo pozabiti, da je varnost sestavljena kot mozaik, vsak delček pripomore k
zvišanju ravni varnosti. Zakaj bi se tej možnosti izogibali? Kakorkoli, uporabnik je bil
postavljen pred dejstvo, da si izbere geslo za dostop do spletnega bančništva, ki ga je treba
vpisati po uspešni avtentikaciji z digitalnim potrdilom.
Težave je imel z izbiro dolžine, saj je bilo treba vpisati več znakov, kot je znakov v njegovem
priimku! Da nebi pozabil gesla, je dodal še zadnji dve številki letnice rojstva. Geslo je bilo tako
sestavljeno iz priimka in zadnjih dveh številk letnice rojstva, kar je v popolnem nasprotju z
vsemi nasveti, ki jih je možno dobiti kjerkoli na temo izbire gesla.
Na spletni strani računalniške pomoči na domu ARIGON so v kategoriji nasvetov in navodil za
učinkovito izbiro gesel (passwords) zapisali: »Pri varnosti našega gesla standardi priporočajo
upoštevanje naslednjih kriterijev: ne uporabljamo svojih imen, svojih rojstnih podatkov …«
(Računalniški servis, 2007). Na spletni strani računalniške pomoči ONline so v rubriki Kako
izbrati enostavno in varno geslo zapisali: »Priporočila za kreiranje dobrega gesla: ne
uporabljamo osebnih podatkov (rojstnih datumov, imen, priimkov) …« (Računalniška pomoč
Online, 2012).
Kljub tako izbranemu geslu in uspešno uvoženemu certifikatu je uporabnik uspešno upravljal s
svojim finančnim premoženjem prek dostopa do spletnega bančništva NLB Klik skorajda leto
dni. Ves ta čas je postajal vse bolj »domač« in uporabo službenega prenosnega računalnika
razširil za zabavo. Pregledoval je različne vsebine na spletu, dostopal do spletnih iger, glasbe,
video vsebin in ga zaupal v uporabo najstniku v času vikenda, ker je bil domač osebni
računalnik na popravilu. Nekaj dni za tem je uporabnik skušal uporabiti dostop do spletnega
bančništva svojega ponudnika in zagledal nenavadno sporočilo.
21
Slika 3.2: Zaslonska slika bančnega trojanca (NLB Klik)
Vir: Varni na internetu (20. april 2014)
Sporočilo je treba sprva zelo dobro pregledati in skušati ugotoviti pristnost. V tem primeru
lahko zelo hitro ugotovimo, da je velika začetnica v besedi »Vas« morebiti napaka. Kljub temu
vidimo v ozadju osnovne strani ponudnika spletnega bančništva, da uporablja primerno spletno
kodiranje črk, zaradi česar so v besedilu šumniki. V besedilu pojavnega okna, kjer se nahaja
beseda »vase« ni pravilno slovnično zapisana, saj bi moralo biti zapisano »vaše«. Takšne
ugotovitve nas kaj hitro lahko pripeljejo do dvoma o pristnosti zahtevka. Ali ne bi tehnično
osebje, ki je pripravilo takšno zahtevo v tako kratkem stavku preizkusilo delovanje in pri tem
ugotovilo slovnične napake? Ali ne bi sestavili bolj domače obvestilo? Npr. Zaradi posodobitve
sistema vas prosimo, da vpišete vse znake dodatnega varnostnega gesla.
Ne glede na ugotovitve, pa je na spletni strani NLB Klik zapisano: »Vnos dveh naključno
izbranih znakov dodatnega varnostnega gesla je treba izvesti izključno pri potrjevanju
izvedenega plačila, naročila ali spremembe. Zahteva po vnosu celotnega dodatnega varnostnega
gesla na kateremkoli drugem mestu pomeni, da je vaš osebni računalnik zlorabljen in zlikovci
želijo pridobiti vaše dodatno varnostno geslo« (NLB Klik, 20. april 2014).
Uporabnik ni imel znanja o takšnem načinu Phishinga, zaradi česar se tudi ni mogel zanesljivo
vesti in je vpisal nekaj znakov dodatnega varnostnega gesla, preden je posumil, da bi lahko šlo
za prevaro. Nemudoma je zbrisal vpisane znake varnostnega gesla in ugasnil računalnik. Težko
je dočakal naslednji dan, saj je premišljeval o stanju na računu in ostalih mislih, ki so ga
22
spreletavale. Takoj zjutraj je odšel na banko in preveril stanje, ki je bilo nespremenjeno. Težave
s službenim prenosnim računalnikom je hotel zaupati sodelavcu informatiku, ki ga tisti dan ni
bilo v službi. Po psihično napornem delovnem dnevu, zaradi pomislekov Phishinga, se je vrnil
domov in pričel po telefonu iskati rešitve. Po nekaj urah je stopil v telefonski kontakt s SICERT (Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih
omrežij in informacij), ki so mu trojanskega konja odstranili in usposobili računalnik za
nadaljnje delo.
Uporabnik je uporabljal licenčni 32-bitni operacijski sitem Windows XP in internet Explorer
v8, vendar ga je zelo motilo samodejno posodabljanje, saj ga je v bližnji preteklosti pred
dogodkom izgubil vso neshranjeno delo, ker ga je računalnik nekaj vprašal, kar je potrdil in se
je samodejno izklopil. Ranljivosti, ki so jih ugotovili napadalci, tako niso bile odpravljene s
posodobitvijo, zaradi česar je bil v veliko meri lahka tarča. Ne vedoč, kakšno funkcijo opravlja
protivirusna programska oprema, je bil sila začuden, zakaj tega ni ta zaščita preprečila.
Uporabnik ni nikoli slišal, da bi moral imeti nameščeno tudi protivohunsko programsko
opremo, je pa zatrjeval, da požarni zid ni opravil svojega dela.
Takšna uporaba naprave, s katero se povezujemo v internet, pomanjkljivo znanje o zaščiti pred
nevarnostmi, ki smo jim takrat izpostavljeni, posledično negotovo vedenje, nas prej ko slej
pripeljejo do žrtve vse bolj iznajdljivih napadalcev.
Uporabnik je bil kljub »očiščenem« prenosnem računalniku upravičeno zaskrbljen, ali je
napadalec prejel le nekaj prvih znakov dodatnega gesla.
3.4.2 Analiza trojanskega konja (Spyeye)
Pri zavarovanju zlonamerne programske kode in njeni analizi je bilo ugotovljeno, da gre za
zlonamerno programsko kodo Trojanskega konja »Spyeye«, ki zna krasti avtentikacijske
podatke in certifikat, ki služijo dostopu do spletnega bančništva NLB Klik, in jih pošiljati
napadalcu. Po okužbi se programska koda skopira v mapo c:\wndows\EC9BF84D53C.exe, kjer
ustvari zagonski ključ v registru. Program se uspe skriti običajni metodi odkrivanja in omogoči
privilegiran dostop do računalnika - rootkit (SI-CERT, 21. april 2014). Tako zamaskiran
23
povzroči kar nekaj protivirusnim programom težave za identifikacijo, in sicer je omenjeno
zlonamerno programsko kodo zaznalo le sedemintrideset protivirusnih programov od
šestinštiridesetih (Virustotal, 21. april 2014). Okužbo zatem javi s POST ukazi na več različnih
domen.
S pomočjo spletne ThreatExpert analize kaže povezave na naslednje domene: seniorhog.net,
prontomentos.com, soledantos.com, www.microsoft.com, patentpendingnotetaker.net in
rontomentos.com (ThreatExpert, 2012). Pri pregledu povezav je bilo ugotovljeno, da omenjena
zlonamerna programska koda vzpostavlja komunikacijo prek IP 16 naslova, ki pripada
ponudniku internetnih storitev v tujini. Zlonamerna koda predstavlja individualne okužbe in
izkorišča ranljivost spletnih brskalnikov Internet Explorer (SI-CERT, 21. april 2014).
4
ZNANJE
IN
ZAVEDANJE
UPORABNIKA
O
VARNOSTNIH
MEHANIZMIH SPLETNEGA BANČNIŠTVA
Znanje posameznika zajema količino vseh podatkov, ki si jih je vtisnil v svojo zavest s pomočjo
učenja, branja ali na kakršenkoli drugačen način (Inštitut za slovenski jezik Frana Ramovša
ZRC SAZU, 11. maj 2014). Zavedati se nekakšne nevarnosti brez znanja, da takšna nevarnost
sploh obstaja, je nemogoče, kar potrjuje, da sta znanje in zavedanje tesno povezana. Da bi se
zavedali nevarnosti, ki prežijo na nas ob uporabi spletnega bančništva, moramo tako sprva imeti
nekaj osnovnega znanja o nevarnostih.
Nedavno me je na enem izmed seminarjev »napadel« slušatelj, ki je trdil, da njemu nihče nič
ne more, ker ne uporablja spletne banke in ne nakupuje po internetu. Možakarju sem nato
pojasnil, da je lahko njegov računalnik za nepridiprave tudi idealno sredstvo za
shranjevanje nelegalnih vsebin (terorističnih priročnikov, vsebin, ki jih iščejo pedofili,
ukradenih informacij …). Poleg tega lahko nepridipravi iz njegovega računalnika vdrejo
tudi v kak drugi, veliko pomembnejši, računalniški sistem, razpošiljajo viruse, neželeno
pošto ipd. Možakar je dobesedno prebledel, ko sem ga vprašal, ali lahko ugane, koga bodo
16
IP je številka, ki natančno določa računalnik v omrežju interneta.
24
v takem primeru policisti prvega zaslišali in morebiti celo priprli. Razpečevanje virusov,
vdori v računalniške sisteme, širjenje nelegalnih vsebin, zaupnih dokumentov ipd. so namreč
kazniva dejanja, za katera so predvidene razmeroma visoke zaporne kazni (Bratuša 2007,
str. 11).
Slušatelj, kot ga je v svojem delu navedel Bratuša, natančno dokazuje zgoraj opisano povezavo
med znanjem in zavedanjem. Zaradi slabega znanja slušatelja o nevarnosti, ki prežijo na
slehernega uporabnika interneta, in posledično lahkomiselnega zavedanja je bil prepričan v
visoko varnost, ki jo uživa pri uporabi interneta. Po prejetem odgovoru in hkrati manjši
razširitvi znanja o le nekaterih redno prežečih nevarnostih, ki prežijo na uporabnika interneta
(ni potrebe, da uporablja spletno bančništvo), je slušatelj zagotovo ugotovil, da prepričanje v
njegovo raven varnosti ni na ravni, ki omogoča varno uporabo interneta.
V nadaljevanju si oglejmo in vtisnimo v zavest nekaj osnovnih varnostnih mehanizmov, ki jih
imamo na razpolago pri različnih ponudnikih za varno uporabo spletnega bančništva, in nekaj
osnovne zaščite proti nevarnostim, ki prežijo na nas ob povezanosti v internet.
4.1
Prepoznava prave spletne strani ponudnika bančnih storitev
4.1.1 Identifikacija bančne spletne strani
Uporabnik mora v prvem koraku identificirati spletno stran svojega ponudnika spletnega
bančništva, kar stori z vpisom DNS naslova v orodno vrstico brskalnika, npr.
www.mojaspletnabanka.si. Spletna stran ponudnika spletnega bančništva se identificira z
digitalnim potrdilom oziroma SSL certifikatom17, ki brskalniku s strani uporabnika omogoči
ugotavljanje zaupanja vrednega spletnega mesta, ki ga je obiskal (Zveza potrošnikov Slovenije,
21. april 2014).
Ta korak je za večino uporabnikov samoumeven, vendar se izkaže, da v ozadju lahko tiči lažna
spletna stran, ki jo uporablja napadalec. Zatem se mora tudi uporabnik identificirati na spletni
17
SSL certifikat je manjša kodirana podatkovna datoteka s šifrirnim ključem, ki vsebuje podatke o organizaciji.
25
strani svojega ponudnika spletnega bančništva z digitalnim potrdilom, geslom in podobno ter
tako vzpostavimo varno povezavo.
4.1.2
Zasebno sporočilo
Pri osnovni identifikaciji prave spletne strani svojega ponudnika spletnega bančništva so
nekatere banke ponudile možnost uporabe zasebnega sporočila, ki si ga sami izmislimo in nas
pri vstopu na spletno stran spletnega bančništva ponudnika pričaka v okencu »Zasebno
sporočilo«.
4.2
4.2.1
Identifikacija uporabnika spletnih bančnih storitev
Geslo
Geslo med ostalimi dejavniki, kot so uporabniško ime, enotna matična številka občana
(EMŠO), davčna številke (DŠ), osebna identifikacijska številka (PIN18 - Personal identification
number) in nekaj drugih, predstavlja digitalno identiteto uporabnika, s katerim se identificira
na spletu z namenom dostopa do nekaterih storitev na osebni ravni. Takšni podatki služijo na
podlagi predpostavke, da je oseba, ki jih uporablja, edina ki jih pozna. Geslo je najbolj
razširjena zaščita, s katero se v osnovi srečamo pri vpisu v računalnik, z vpisom na nekatere
spletne strani, z vpisom za dostop do elektronske pošte, z vpisom v elektronski bančni račun in
v veliko drugih primerih. Srečevanje z gesli in njihovo določanje, vpisovanje, spreminjanje, je
skorajda vsakodnevno opravilo.
Geslo, ki si ga uporabnik ob registraciji v večini primerov izbere sam, mora biti skrbno izbrano
in ga »ne sme« nihče uganiti oziroma mora biti zelo dobro in taktično izbrano. Prvo geslo, ki
mu ga morebiti avtomatično izbere sistem, pa je treba nemudoma spremeniti z enakimi pogoji
lastne izbire. Ob dobrem in taktično izbranem geslu moramo upoštevati, da ne izberemo
osebnih podatkov, kot sta ime, priimek, rojstnih podatkov. Da ne izberemo podatkov o sebi, ki
jih ve širši krog ljudi, kot so imena psa, mačke, hrčka in podobno. Besede, ki jih najdemo v
slovarju, niso primerne v samostojni obliki, vendar jih kombiniramo z velikimi črkami, malimi
črkami, številkami ali kateremkoli drugim dovoljenim znakom v skupni dolžini vsaj osmih
18
PIN je osebna identifikacijska številka, ki naj bi jo vedel le posameznik, ki mu pripada.
26
znakov. Tako izbrana gesla postanejo komplicirana, zaradi česar vzpostavimo lastno taktiko in
geslo izberemo na način, da si ga najlaže zapomnimo. Geslo taktično povežemo s stavkom, npr.
»Dvakratni osnovnošolski prvak na 60 metrov«, kar nadomestimo z začetnicami in vmesnimi
znaki, npr. 2xOSp60m. Dobro je uporabljati različna gesla za različne račune, in sicer
uporabimo prej navedeno geslo z dodatki, kot npr. za socialno omrežje Facebook dodamo FB2xOSp60m ali 2xOSp60m-FB ali podobne izpeljanke, ki se jih moramo držati pri vseh nadalje
izbranih geslih, npr. za dostop do računa elektronske pošte ponudnika maila uporabimo geslo
ma-2xOSp60m ali 2xOSp60m-ma in podobno (SAFE.SI, 11. april 2014).
Dobro izbrana gesla so težje sprejemljiva za spomin, zaradi česar se velikokrat pozabijo in v
teh primerih ponudniki uporabniških računov predvidevajo ponastavitev gesla. Poznamo več
načinov ponastavitve gesla, med katere sodijo ponastavitev gesla z disketo, z USB ključkom,
neposredno s strani administratorja, ponastavitev gesla z izpolnjevanjem elektronskega
obrazca, ki vsebuje vpis elektronske pošte, ki je bila uporabljena ob registraciji v račun, za
katerega želimo ponastaviti geslo. Določeni obrazci vsebujejo še vpis naključnega ali
določenega vprašanja. Naključno vprašanje je predvsem uporabno pri uporabniških računih
specializiranega področja, kot npr. v lovstvu, računalništvu in podobno. V tem primeru, bi se
vprašanje nanašalo na specifično znanje s tega področja (npr. Lovstvo - Prosimo vpišite
najpogostejši vzdevek za lisico?).
4.2.2 Dodatno varnostno geslo
NLB d. d. je uvedla dodatno varnostno, ki ga njeni komitenti in uporabniki elektronskega
bančništva morajo obvezno uporabiti pri izvajanju plačil, prenosov finančnih sredstev med
računi, naročilu nakazil v tujino in nekaterih drugih storitvah, če ga še niso uporabili za
omenjene transakcije na določen transakcijski račun (TRR) in ga uporabnik ni shranil med
priljubljena plačila.
Ne glede na navedene ugotovitve pa sistem vsakokrat zahteva vnos dodatnega varnostnega
gesla pri nakazovanju denarja v tujino po sistemu Western Union. S tem zagotavlja NLB d. d.
dodaten nivo varnosti (NLB Klik, 13. april 2014). Uporabnik prejme zapisano varnostno geslo
na listu papirja, kjer so v prvi vrstici zapisane številke od ena do osem, v drugi vrstici pod njimi
pa je nanizanih naključno izbranih osem znakov, sestavljenih iz črk in številk.
27
4.2.3
Spletno kvalificirano digitalno potrdilo
Spletno kvalificirano digitalno potrdilo je zvrst certifikata, ki predstavlja zasebni ključ za
identificiranje uporabnika, na podlagi katerega podpisuje digitalne dokumente in varuje zaupne
podatke s šifriranjem. Nekateri ga imenujejo internetna osebna izkaznica.
Pridobitev certifikata je možna na podlagi zakona o elektronskem poslovanju in elektronskem
podpisu le pri overitelju digitalnih potrdil, to je Agencija za certificiranje.
Overitelji v Republiki Sloveniji so Ministrstvo za pravosodje in javno upravo (SIGEN-CA in
SIGOV-CA), Halcom d. d. (HALCOM-CA), Nova Ljubljanska banka d. d. (AC NLB), Pošta
Slovenije d. o. o. (POŠTA ® CA), Ministrstvo za obrambo (SIMoD-CA-Restricted) in Banka
Slovenije (Root CA in Ent Sub CA), ki so tudi zapisani v registru overiteljev (Ministrstvo za
izobraževanje in šport, 13. april 2014).
Pridobitev takšnega potrdila je mogoča na več različnih načinov, od katerih je najbolj pogost
tisti, ko prosilec izpolni obrazec za zahtevek, ki ga je mogoče dobiti na spletni strani SIGENCA, in ga skupaj z veljavnim uradnim dokumentom dostavi na Upravno enoto, ta pa preveri
verodostojnost podatkov in jih posreduje Ministrstvu za javno upravo oziroma izdajatelju
SIGEN-CA. Slednji pripravijo referenčno številko in pošljejo prosilcu po elektronski pošti,
navedeni za pridobitev certifikata Avtorizacijsko geslo prejme prosilec po redni pošti s
priporočeno pošiljko. Po prejemu obeh varnostnih mehanizmov se prosilec poveže s spletnim
brskalnikom na spletno stran izdajatelja, kjer prevzame in shrani digitalno kvalificirano
potrdilo, ki mu velja za dobo petih let. Le-tega nato namesti na računalnik, USB ključek ali
pametno kartico (Državni portal Republike Slovenije, 14. april 2014).
Po namestitvi s spletnim brskalnikom obiščemo spletno stran našega ponudnika elektronskega
bančništva, kjer nas avtomatično povpraša po izbiri ustreznega certifikata, s katerim se bomo
identificirali. Po izbiri certifikata je treba vpisati geslo, ki smo si ga lahko zaradi večje stopnje
varnosti uporabe določili sami. Kljub izbiri in potrditvi certifikata pa je treba vpisati še geslo
za vstop v sistem elektronskega bančništva oziroma našega osebnega računa.
28
Slika 4.1: Zasebno digitalno potrdilo izdajatelja AC NLB
Vir: Perko, lastni prikaz (2014)
4.3
SSL tehnologija
Spletno digitalno potrdilo poleg navedenega avtentičnega preverjanja obiskane spletne strani s
strani uporabnika omogoča in izvaja varovanje podatkov pri komunikaciji med uporabnikom
in spletno banko s šifriranjem. Za šifriranje ponudniki spletnega bančništva uporabljajo
tehnologijo SSL.
Slika 4.2: Stanje prikaza vzpostavljene varne povezave SSL
Vir: Techno getsocialise (21. april 2014)
29
Ko vzpostavimo takšno povezavo, v orodni vrstici brskalnika najdemo zapis »https« in ne
običajnega »http«, prav v orodni vrstici ali v spodnjem delu brskalnika najdemo ključavnico v
položaju zaklenjeno in morebiti napis »Secure«. SSL tehnologija omogoča, da spletni brskalnik
uporabnika od prijave preko šifrirane povezave na strežnik spletne banke ostane povezan do
odjave.
Vendar pa je šifriranje odvisno od izdajatelja spletnega digitalnega potrdila, in sicer se izdajajo
klasični SSL certifikati, med katere spadajo vsi slovenski izdajatelji. Pri uporabi takšnega
certifikata se nam v orodni vrstici brskalnika prikažejo ključavnica in napis https v zeleni barvi.
Dobra lastnost takšnih certifikatov je, da so v 99% prepoznavni v vseh brskalnikih kot zaupanja
vredni, zato ni problemov z dostopom do tako zaščitenih spletnih strani. Na sliki pa imamo
prikazano najvišjo stopnjo varnosti ob uporabi EV SSL certifikata19, ker se poleg ključavnice
del ukazne vrstice na katerem piše ime podjetja obarva v zeleno. Takšni certifikati predstavljajo
sporočilo uporabnikom, da jim je varnost na prvem mestu (SGH, 21. april 2014).
4.4
Osnovne varnostno tehnične rešitve za uporabnika
Kljub nekaterim zgoraj navedenim varnostnim mehanizmom pa mora biti osebni računalnik, s
katerim dostopamo do storitev spletnega bančništva dobro in primerno varovani. Uporabljati je
treba protivirusno programsko opremo, osebni požarni zid, protivohunsko programsko opremo
ter redno posodabljati operacijski sistemsko in vso ostalo programsko opremo.
4.4.1
Požarni zid (Firewall)
Požarni zid je osnovna oblika zavarovanja računalnika pri vzpostavljeni povezavi v internet.
Dejansko ga lahko primerjamo s hišo, ki ima veliko vhodnih vrat, v računalniku poimenovanih
»port«. Vendar ne živimo celo življenje v hiši, zaradi česar občasno izstopimo iz nje, prav tako
z računalnikom izstopamo iz računalnika v internet skozi določen port (vrata).
V računalniku se nahaja 65.535 zaprtih portov, vendar ne v fizični obliki. Če so vrata
nenadzorovano odprta, lahko nepovabljeni vstopijo, kar je največja težava požarnega zidu.
19
EV SSL certifikat predstavlja Extended Validation SSL certifikat.
30
Slika 4.3: Primer delovanja požarnega zidu
Vir: The Windows Club (24. april 2014)
Požarni zid odpira in zapira vrata (premika zidake - glej sliko 4.3), vendar ne pregleduje
vstopnic obiskovalcev. Ko vzpostavimo povezava do npr. elektronske pošte skozi določena
vrata (celoten »http« spletni promet poteka skozi vrata št. 80 ali 8080, »https« pa skozi vrata
443), ki nam jih na našo zahtevo odpre požarni zid, lahko skozi njih vstopi iz elektronske pošte
tudi zlonamerna programska oprema. Požarni zid pri tem ostane nemočen, zaradi česar zaščito
dopolnimo s protivirusno programsko opremo. Njegova glavna naloga je odpiranje in zapiranje
vrat, saj nenehno nekdo trka na določena vrata, pri čemur si želi vstopiti ali izstopiti. Pri tem se
moramo zavedati, da ni pomembno ščititi samo vstop vendar tudi izstop.
Npr. pri pregledovanju elektronske pošte smo prenesli skozi vrata 80 v računalnik določeno
datoteko. Nimamo nameščene protivirusne ali katerekoli druge programske opreme. Ob
namestitvi smo namestili tudi »Trojanskega konja«, ki je takoj našel naše identifikacijske
podatke (geslo) za spletno bančništvo, vendar bo skušal skozi vrata 8080 poslati napadalcu naše
geslo. Kaj bi bilo, če požarni zid ne bi preverjal tudi izhoda iz računalnika?
4.4.2 Protivirusna programska oprema
Predstavlja programsko opremo, ki varuje računalnik pred virusi, nekaterimi črvi in nekaterimi
vohunskimi programi. Protivirusna programska oprema lahko tudi določene zlonamerne
programske kode odstrani, jih onemogoči ali jim prepreči namestitev. Odkrivanje poteka na
podlagi podpisov izdelovalca protivirusne programske opreme, ki jih za vsako zlonamerno
programsko kodo izdela in dostavi uporabniku, prek prej opisane posodobitve.
31
Kljub temu nas protivirusna programska oprema ne more varovati pred še neidentificiranimi
zlonamernimi programskimi kodami. V kolikor je virus izdelan za delovanje v samo eni državi,
kot je npr. za Phishing na geslo NLB Klik, izdelovalec ne bo izdelal podpisa zlonamerne
programske opreme. To stori le, če zlonamerna koda deluje v vsaj dveh državah, posledično
pred tako grožnjo ne bomo nikoli zavarovani, in to kljub nameščeni protivirusni programski
opremi.
Z vse boljšimi zaščitami se pojavljajo tudi vse naprednejše tehnologije za odkrivanje virusov,
med katere sodi Hevristična, ki pa popolnoma odpove pri odkrivanju črvov in trojanskih konjev.
Zaradi česar se je razvila tehnologija HIPS (host intrusion prevention sistem), ki odkriva
zlonamerno programsko kodo na podlagi njenega delovanja. Takšen način ima veliko uporabno
vrednost, saj lahko identificira zlonamerno programsko kodo, še preden je za njo izdelan podpis
pri izdelovalcu zaščite. Kljub temu, da se lepo sliši, pa tak sistem občasno prepozna uporabniški
program kot zlonamerno programsko kodo, zaradi česar nastanejo nevšečne težave.
Recimo, da se vrnemo s službene poti v poznih večernih urah, prižgemo računalnik, saj želimo
napisati pomemben dokument, ki ga nujno potrebujemo zgodaj zjutraj, a HIPS tehnologija
prepozna program za pisanje besedil kot zlonamerno programsko kodo. Takšne težave še vedno
vzdržujejo sistem podpisovanja zlonamerne programske kode pri uporabi.
4.4.3
Protivohunska programska oprema
Protivohunska programska oprema je za razliko od protivirusne programske opreme neomejena
na število nameščenih. Tu velja: več protivohunske programske opreme različnih proizvajalcev
imamo nameščene, večja je varnost, vendar brez pretiravanja.
Takšno programsko opremo imenujemo Anti-Spyware, najpogostejši v uporabi so Windows
Defender, Ad-Aware, Spybot Search&Destroy, Mc Afee Anti-Spyware, Spy Sweeper, FSecure in drugi.
Poznamo tudi različno protivohunsko zaščitno programsko opremo, ki deluje, ko je računalnik
povezan z internetom, imenovano »Online«, ki omogoča pregled in brisanje brez stalne zaščite.
32
Slika 4.4: Protivohunska programska oprema »Online« s širokim spektrom zaščite
Vir: My Digital World (24 april 2014)
Redno ročno ali avtomatsko posodabljanje definicij zlonamerne programske kode predstavlja
relativno vrednoto. Določeni proizvajalci takšne zaščite odkrijejo ali zaznajo določeno grožnjo
kasneje kot drugi in v kolikor naš proizvajalec takoj posodobi zbirko zlonamernih programskih
kod ter jo mi posodobimo ročno, je mnogo boljše, kot če imamo vklopljeno možnost
samodejnega posodabljanja in »slabega« proizvajalca protivohunske programske opreme, ki
»spi« pri odkrivanju in zaznavanju. Vendar je pomembno, da takšna zaščita prepoznava čim
več različnih zlonamernih programskih kod, se avtomatsko posodablja in ima stalno vklopljeno
zaščito.
S predstavljenim osnovnim znanjem o varnostnih mehanizmih, ki jih ponujajo ponudniki
spletnega bančništva, in z osnovno zaščitno programsko opremo lahko vzpostavimo zaščito, ki
nam omogoča varno spletno bančno poslovanje.
5
OBNAŠANJE IN VEDÊNJE UPORABNIKA PRI SPLETNEM
BANČNEM POSLOVANJU
V kolikor se vrnemo k zgoraj navedenem slušatelju, smo ugotovili, da ga je njegovo šibko
znanje pripeljalo do še slabšega zavedanja o nevarnostih, ki prežijo na uporabnika ob
povezanosti v internet. Prepričan je bil, da mu nihče nič ne more. Odgovor pisca Bratuše je kaj
33
kmalu spremenil njegovo obnašanje in vedenje, kar se je pokazalo, ko je dobesedno prebledel
in obmolknil. Slušatelja je tako pisec usmeril v pravilno smer, ki mu bo v bodoče koristila
vzpostaviti ustrezno stopnjo zaščite, saj kljub dobremu znanju, ki ga je najverjetneje pridobil
na seminarju, in posledično boljšemu zavedanju potrebuje še primerno obnašanje in vedenje,
da vzpostavi primerno stopnjo varnosti.
5.1
5.1.1
Prepoznava prave spletne strani ponudnika bančnih storitev
Identifikacija bančne spletne strani
Sprva je bilo najboljše, če si je uporabnik spletno stran ponudnika spletnega bančništva shranil
v brskalnik med priljubljene in se tako morebiti izognil napačnemu vnosu naslova prave strani.
Napadalci so naredili korak naprej in spodbili tako možnost. Sedaj nas lahko, v kolikor smo
predhodno uspeli okužiti računalnik z zlonamerno programsko kodo, preusmerijo na lažno
spletno stran, kljub temu da vpišemo pravo spletno stran v brskalnik ali izberemo priljubljeno
povezavo.
Zaradi navedenega je treba ob obisku spletne strani ponudnika bančnih storitev nameniti
posebno pozornost drugim varnostnim mehanizmom, ki nam omogočijo identificirati, da smo
obiskali pravo spletno stran. Recimo zasebno sporočilo z zapisanim lastnim mišljenjem, ki se
nam pokaže na pristni strani našega ponudnika spletnega bančništva.
5.1.2
Zasebno sporočilo
Zasebno sporočilo ima lahko veliko vlogo pri identifikaciji spletne strani svojega ponudnika
spletnega bančništva. V njega zapišemo svojo misel, morebiti kakšne znake ali karkoli takega,
kar napadalci in drugi uporabniki ne bi mogli vedeti, ter tako vzpostavimo dodaten varnostni
mehanizem za identifikacijo prave spletne strani. V kolikor tega zasebnega sporočila pri obisku
spletne strani ob prijavi v spletno bančništvo ni, lahko zagotovo sklepamo, da nismo
identificirali prave spletne strani svojega ponudnika spletnega bančništva oziroma da smo na
lažni spletni strani napadalca. V takem primeru moramo ravnati samo zaščitniško in čim prej
zapustiti obiskano spletno stran. V nobenem primeru ne vpisujmo svojih zasebnih podatkov,
kot so gesla in podobno.
34
5.2
Identifikacija uporabnika spletnih bančnih storitev
5.2.1 Geslo
Dobro in taktično izbrano geslo nima nikakršne teže varnosti, če z njim ne ravnamo na
odgovoren in primeren način. Gre za identiteto uporabnika, zaradi česar ga moramo skrbno
varovati. Razkritje na katerikoli način lahko ogrozi zlorabo digitalne identitete in posledično
omogoči protipraven dostop ter uporabo računa. Nikomur ga ne zaupamo in ga vsake toliko
časa zamenjamo. Skoraj da najbolj tvegani dejanji pred razkritjem sta zapisovanje ter hranjenje
gesla na neprimernem mestu, saj ga lahko kdorkoli najde.
Prav tako predstavlja veliko tveganje uporaba funkcije avtomatskega shranjevanja gesla v
spletnem brskalniku ob vpisu v račun. Slednja funkcija poenostavi vsakokratno vpisovanje
gesla pred vstopom v uporabniški račun, kar predstavlja nevarnost zlorabe v primeru, ko nekdo
protizakonito prevzame nadzor nad našim računalnikom ali ko komurkoli dovolimo uporabo
računalnika.
V tem primeru postane funkcija odjave iz uporabniškega računa brezpredmetna, saj pri vpisu
spletni brskalnik avtomatično izpolni vse zahtevane podatke in zahteva le potrditev s klikom na
gumb. Odjava je posebej pomembna, ko vstopamo v uporabniški račun z drugega ali celo
javnega računalnika. Posebno pozorni moramo biti, da nihče ne opazuje vnašana gesla in si ga
na tak način skuša zapomniti.
Zaradi vse bolj razširjene uporabnosti, ki jo lahko poimenujemo »Od kjerkoli uporabljamo
dostop do kateregakoli našega uporabniškega računa, če smo le povezani v internet,« se gesla
za dostop do različnih računov uporabljajo tudi na vseh mobilnih napravah, ki imajo zaslon na
dotik. Gesla na takšnih napravah predstavljajo vpisovanje znakov z navidezne tipkovnice ali
celo izris vzorca po zaslonu s prstom.
V takšnem primeru je treba po vsakem izrisu gesla dobro zbrisati zaslon, da se na njemu ne vidi
izrisan vzorec, kar je posledica prstnih sledi (SAFE.SI, 11. april 2014).
35
5.2.2
Dodatno varnostno geslo
Dodatno varnostno geslo je namenjeno dodatni varnosti in zmanjševanju tveganja proti zlorabi
finančnih sredstev na računu v primeru, da nam napadalci ukradejo identifikacijske elemente
ali vdrejo v računalnik (NLB Klik, 13. april 2014). Dodatno varnostno geslo prejme uporabnik
priporočeno po pošti zapisano na posebnem papirju, da ga ni moč videti pri pregledu z
osvetlitvijo na močni svetlobi. Ob prejemu ga je treba dobro zavarovati, kar pomeni, da ga ne
razmnožujemo, shranjujemo v bližini računalnika, s katerim dostopamo do elektronskega
bančnega računa, da ga ne puščamo na mizi, da ga ne zaupamo nikomur, še posebej ne tistim,
ki jih ne poznamo in bi ga zahtevali preko spleta. Takšno posredovanje dodatnega varnostnega
gesla je nevarno in nedopustno. Goljufi so pri tem poslovanju iz leta v leto bolj uspešni.
SI.CERT (Slovenski nacionalni odzivni center za obravnavanje incidentov s področja varnosti
elektronskih omrežij in informacij) v poročilu o omrežni varnosti za leto 2013 poroča, da je
bilo takšnih goljufij v letu 2008 le 5, v letu 2009 se je število povečalo na 24 in v letu 2010 na
26. V naslednjih treh letih pa se je število takšnih nezakonitih dejanj le še skokovito večalo. V
letu 2011 je bilo zabeleženih 89 goljufij, v letu 2012 že 161 goljufij in v preteklem letu 2013 se
je število povzpelo na 210 goljufij (SI-CERT, 13. april 2014). Zapisana rast v poročilu o
omrežni varnosti kaže, da mora biti uporabnik še posebej pazljiv pri varovanju svojih
identifikacijskih podatkov. »Zahteva po vnosu celotnega dodatnega varnostnega gesla na
kateremkoli drugem mestu pomeni, da je vaš osebni računalnik zlorabljen in zlikovci želijo
pridobiti vaše dodatno varnostno geslo« (NLB Klik, 13. april 2014).
5.2.3
Spletno kvalificirano digitalno potrdilo
Spletno kvalificirano digitalno potrdilo je treba skrbno varovati pred morebitnimi napadalci,
zaradi česar moramo upoštevati nekaj osnovnih nasvetov. V kolikor lahko izbiramo, kje bomo
shranili spletno kvalificirano digitalno potrdilo, vedimo, da je hranjenje varnejše na USB
ključku kot na trdem disku računalnika (Banka Celje, 14. april 2014). V primeru hranjenja
spletnega kvalificiranega digitalnega potrdila na tak način je treba upoštevati dodatne mere
varnosti. Kljub temu da moramo ne glede na mesto hrambe po uporabi spletnega bančništva
zaustaviti spletni brskalnik. V primeru hranjenja le-tega na USB ključku zadostuje, da ga varno
odstranimo, nakar lahko brez tveganja nadaljujemo z delom, kljub povezavi v internet.
36
Enako velja za odstranitev pametne kartice, na kateri je nameščeno spletno kvalificirano
digitalno potrdilo. V primeru hranjenja na trdem disku računalnika pa je treba upoštevati prej
omenjeno dodatno mero varnosti in računalnik izklapljati iz povezave v internet, ko le-tega
nehamo uporabljati, v večernih urah in podobno.
Po uporabi spletnega bančništva nas prikazano besedilo opozori, da je treba spletni brskalnik
ugasniti in ponovno prižgati, saj le tako lahko zaupamo v prekinitev delovanja kvalificiranega
digitalnega potrdila.
Računalnik, s katerim dostopamo do spletnega bančništva, zaradi zagotavljanja večje stopnje
varnosti ne bi smeli uporabljati za dostop do elektronske pošte, brskanje po spletu, igranje iger
in nameščanja programske opreme nezaupanja vrednih ponudnikov. V realnem svetu pa je
uporabnikov spletnega bančništva, ki upoštevajo navedeni opozorili, malo ali celo nič.
Zaradi tega moramo posvetiti še toliko večjo pozornost zagotavljanju varnosti in nasploh delu
s tem računalnikom. Uporabljati moramo licenčno ali odprto kodno programsko opremo
zaupanja vrednih ponudnikov, sproti je treba nameščati varnostne popravke operacijskega
sistema in brskalnika, ki ga uporabljamo.
5.3
SSL tehnologija
Uporabniki ob vzpostavitvi povezave s spletnim naslovom ponudnika, moramo preveriti v
orodni vrstici, ali smo vzpostavil varno povezavo s tehnologijo SSL. To najlažje ugotovimo, če
preverimo URL vrstico, ki se običajno nahaja na vrhu spletnega brskalnika, kjer bi moral biti
napis https, obarvan v zeleno in s ključavnico v kateremkoli delu brskalnika.
V primeru, da imamo vzpostavljeno povezavo s spletnim mestom ponudnika spletnega
bančništva brez varne SSL povezave, je zagotovo povezava vzpostavljena na lažni strani, zaradi
česar nemudoma prekinemo povezavo in preverimo, ali je zaščita v dobrem stanju in ali ni
računalnik morebiti okužen z zlonamerno programsko kodo.
37
5.4
5.4.1
Osnovne varnostno tehnične rešitve za uporabnika
Požarni zid (Firewall)
Osnovni požarni zid, ki počenja vse sam, se namesti ob namestitvi operacijskega sistema. Z
njim se nam ni treba ukvarjati le v primeru, če se zaradi kakršnihkoli dražljajev izklopi. Takrat
nas varnostni sistem nameščenega operacijskega sistema opozori, da je požarni zid izklopljen.
Takšna izbira pa lahko postane ranljiva, saj nimamo pregleda, kdo vstopa in izstopa. Na trgu
najdemo brezplačne in plačljive požarne zidove, ki nam omogočajo osnovno in najboljšo
funkcijo. Popoln nadzor nad vstopom in izstopom z zaslonskimi obvestili ter odločanjem o
potrditvi ali zavrnitvi. Veliko rešitev brezplačnega požarnega zidu omogoča popoln nadzor, kar
bi mogel imeti nameščen vsak uporabnik.
»Varnostno podjetje Comodo je znano po izdajatelju digitalnih certifikatov. Malokdo pa ve, da
podjetje ponuja tudi brezplačen osebni požarni zid, imenovan Comodo Firewall Pro« (Bratuša
2007, str. 37).
Sam sem preizkusil neko različico osebnega požarnega zidu in sem bil presenečen. Prižgem
računalnik, se povežem v internet in brskam s spletnim brskalnikom, nakar slišim pisk. V
desnem spodnjem kotu se pojavi obvestilo, ki me opomni, da bi neka programska oprema rada
vstopila v moj računalnik. Pritisnem »Block«, računalnik normalno deluje, vendar ponovno
dobim obvestilo, da želi neka programska oprema izstopiti v internet. In še in še obvestil, nakar
sem ugotovil, da moj računalnik dotlej ni bil primerno zavarovan. Sprva so ta obvestila
nadležna, vendar z ponujeno izbiro ob prejetem sporočilu, ki se glasi: »Vedno opravi izbrano
dejanje«, lahko to po nekaj dnevih uporabe računalnika in interneta, kaj hitro urediš v prijetno
zaščito. Vsako dilemo, ali lahko program dostopa v katerokoli smer, lahko preverimo z
poiskanim odgovorom s spletnim brskalnikom.
Vsak osebni požarni zid omogoča pogled v dnevnik, kjer vidimo, komu smo omogočili dostop
in komu ne. V nastavitvah poleg tega vsi omogočajo, da lahko prekličemo izbiro zapomni si.
Če po nerodnosti onemogočimo dostop do interneta brskalniku z opcijo zapomni si »Allow«,
lahko to v nastavitvah popravimo.
38
5.4.2 Protivirusna programska oprema
Z namestitvijo protivirusnega programa uporabniki nismo zavarovali računalnika, saj je treba
sprva pregledati vso programsko opremo, ki v danem trenutku dela oziroma izvaja katerekoli
procese, in določene datoteke na trdem disku. Zatem moramo posodobiti podatkovno zbirko
vseh znanih zlonamernih programskih kod, da jih lahko protivirusna programska oprema pri
pregledu identificira na podlagi posodobljenih podpisov. Po omenjeni posodobitvi pa moramo
ponovno pregledati z opcijo »podroben pregled«, ki traja običajno veliko več časa kot hitri
pregled. Uporabniki prav zaradi tega skoraj v vseh primerih izberejo opcijo hitri pregled.
Po uspešnem pregledu nastavimo protivirusno programsko opremo, če že ni, da se samodejno
posodablja in vključimo vse možne ponujene ščite. Spletni ščit, ki nas varuje pred brskanjem
po spletu, e-poštni ščit, ki nas varuje pri sprejemanju in oddajanju elektronske pošte le v
primeru, če do nje dostopamo s poštnim odjemalcem (Outlook, Mozilla Thunderbird ali
katerimkoli drugim), in drugi ščiti. Nikakor nas ne varuje e-poštni ščit, če uporabljamo
neposredni dostop z brskalnikom do strežnika ponudnika elektronske pošte (gMail, Walla,
386mail …). Zelo pomemben je tudi datotečni ščit, ki nas stalno varuje pri opravilu z
datotekami. Pozor, računalnik ob delovanju vedno opravlja z datotekami, zaradi česar nas tudi
ves čas delovanja računalnika varuje. Preveriti moramo, ali ima protivirusna programska
oprema vključen ščit Anti-malware, ki nas ščiti pred nekaterimi vohunskimi zlonamernimi
programskimi kodami. V kolikor te možnosti ni, moramo namestiti še protivohunsko
programsko opremo. »Čeprav protivirusni program preverja datoteke vsakič, ko jih uporabite,
je dobro, da računalnik s protivirusnim programom popolnoma pregledate vsaj enkrat na mesec
(Bratuša 2007, str. 56)«.
Vsi izdelovalci ponujajo večnivojsko protivirusno programsko opremo, katere osnova se vedno
imenuje Free in v skoraj vseh primerih vsebuje vse štiri zgoraj navedene pomembne ščite. V
kolikor želimo plačljivo različico, ki nam ponuja samodejno nadgradnjo vse nameščene
programske opreme v računalniku, požarni zid in druge možnosti, vedimo, da dobimo za
najmanj denarja najboljšo zaščito. Zavedati se pa moramo, da je najbolje uporabljati različno
zaščito (protivirusna programska oprema, požarni zid, protivohunska programska oprema in
podobno) različnih proizvajalcev, saj tako otežimo napadalcem delo. Nikoli pa ne pretiravajmo
39
in to velja tudi v tem primeru, imejmo nameščen le en protivirusni program, saj v nasprotnem
primeru ogrozimo računalnikovo delovanje.
Pred leti je izkušeni izdelovalec zaščitne programske opreme v paketu »Premium«, ki je
vseboval vse potrebne zaščitne mehanizme za višjo stopnjo zaščite, bil tarča napadalcev. Slednji
so našli luknjo v programski opremi, skozi katero so onemogočili vse ščite. Zamislimo si, kako
je ko imaš vso zaščito v enem paketu, pa ti nekdo v trenutku z eno potezo vse ščite izklopi. Če
bi imeli nameščeno različno zaščito različnih proizvajalcev, bi v takem primeru ostali vsaj delno
zaščiteni.
5.4.3
Protivohunska programska oprema
Pri izbiri protivohunske programske opreme moramo upoštevati, ali omogoča tako nenehno
odkrivanje zlonamerne programske kode kakor tudi brisanje. Določena proti vohunska
brezplačna programska oprema omogoča odkrivanje in brisanje zlonamerne programske kode,
le ko jo zaženemo. Pri izklopu ne pusti aktivnih ščitov, kar pomeni, da so takrat neaktivni, kar
predstavlja veliko nevarnost.
Običajno lahko to preverimo s pregledom orodne vrstice, kjer poiščemo ikono protivohunske
programske opreme in preverimo aktivnost. V kolikor ni nikakršne ikone protivohunske zaščite
v orodni vrstici, nimamo aktivnih zaščitov, morebiti, ker smo jo izklopili ali jo sam program ne
podpira.
Hkrati pa je zelo pomembno stalno posodabljanje podatkovne zbirke vseh odkritih zlonamernih
programskih kod, kot pri protivirusni programski opremi. Najboljša izbira protivohunske
programske opreme je od ažurnega proizvajalca, ki deluje samostojno in avtomatizirano, kar
pomeni, da ima vklopljeno stalno zaščito, se samodejno posodablja in ima razširjeno območje
prepoznavanja zlonamerne programske opreme (Anti-Spyware, Anti-Rotkit, Ad-Aware …).
Priporočljivo je imeti nameščena dva takšna programa različnih proizvajalcev.
40
6
INFORMACIJSKO VARNOSTNA KULTURA
Informacijska varnostna kultura se je razvila iz običajne varnostne kulture in sega v področje
informatike. S svojimi mejami vključuje poleg vzpostavljenih sodobnih programskih rešitev za
zagotavljanje varnosti tudi vse bolj pomembne vedenjske vidike posameznika. Sprva je bilo za
vzpostavitev primerne informacijsko varnostne kulture posvečenega veliko dela in truda na
področju tehnoloških rešitev. Podatki so zatem pokazali prav nasprotno, in sicer, da ni tako
pomembno, kako so učinkovite rešitve uporabljenega tehničnega dela. Ob predpostavki, da
razpolagamo s tehnološko dovršenimi orodji in v tem delu uspešno zavarujemo grožnje iz
zunanjosti, je informacijsko varnostna kultura v veliki meri odvisna od sodelovanja in
obnašanja ljudi (Mitnick in Simon, 2002). »Na ravni posameznika sta tako pomembna
dejavnika zagotavljanja informacijsko varnostne kulture zavedanje pomena področja ter
etičnost - pripravljenost se vesti v skladu s temi pravili« (Rančigaj in Lobnikar, 2012).
Upoštevajoč, da se navedena dva dejavnika izpopolnjujeta in uporabljata v največji meri, lahko
le tako zagotovimo primerno informacijsko varnostno kulturo. Da bi posameznik zagotovil
takšno raven informacijsko varnostne kulture, mora imeti vedno aktiven odnos do zaščite
občutljivih informacij, na podlagi predhodno pridobljenega znanja, ki ga v celoti in vedno
uporablja pri zaščitniškem vedenju.
Brez ustreznega znanja in posledično vedenja posameznika je lahko veliko dobrih varnostnih
mehanizmov napačno uporabljenih.
Nedavno mi je znanec potarnal, da mi nič več ne zaupa, saj sem mu pregledal prenosni
računalnik glede varnosti in pri tem ugotovil, da potrebuje še nekaj dodatne zaščite, ki jo nudi
programska oprema. Namestil sem mu brezplačen požarni zid, ki ga po njegovi izjavi »prav
nadležno« vedno nekaj sprašuje. Kmalu za tem pa je njegov računalnik postal tarča zlonamerne
programske opreme »trojanskega konja«, ki mu je povzročala težave.
Pri pregledu prenosnega računalnika sem ugotovil, da je nepremišljeno uporabljal požarni zid.
Zaradi večje varnosti, skladno z njegovim prepričanjem, je ob kateremkoli pojavnem oknu
požarnega zidu vedno uporabil možnost »Block« in izbral možnost »Remember my answer«.
41
Nekaj dni pred okužbo ga je tako požarni zid vprašal, ali dovoli protivohunski programski
opremi dostop do zagonskega registra, kjer bi zaradi posodobitve omogočil možnost, da bi se
ponovno zaganjal skupaj z operacijskim sistemom, kar je uspešno preprečil. Na tak način pa
onemogočil protivohunsko programsko opremo.
Brez zadostnega znanja je to pripeljalo do napačnega vedenja in močnega zmanjšanja nivoja
osnovne zaščite.
6.1
Informacijsko varnostna kultura spletnega bančništva
Informacijsko varnostno kulturo v segmentu spletnega bančništva lahko razdelimo na dva dela,
in sicer organizacijski del in individualni del. Prvega vzpostavi ponudnik spletnega bančništva
s postopki in usmeritvami za uporabnika. Ponudnik s tem usmerja uporabnika, kako zavarovati
podatke, s katerimi dostopamo do spletnega bančništva, in mu na tak način ponuja znanje in
zavedanje ter hkrati od njega zahteva ustrezno obnašanje in vedenje. Oba sklopa navedenih
dejavnikov se navezujeta na organizacijski del, vendar istočasno tvorita pomembni vlogi
drugega dela, ki ga poimenujemo individualni del.
6.2
Individualni del informacijsko varnostne kulture
Za lažje razumevanje obravnavanega individualnega dela informacijsko varnostne kulture
spletnega bančništva je treba sestaviti model. Le-ta nam omogoči strnjen vpogled in boljše
razumevanje obravnavanih delov, ki kot celota zagotovijo najvišjo možno stopnjo varnosti.
Tabela 6.1: Model individualnega dela informacijsko varnostne kulture
1. Informacijsko varnostna kultura
1.1
Uporabniško znanje in zavedanje
1.2
42
Uporabniško obnašanje in vedenje
1.1.1
1.1.2
1.1.3
Zakaj varujemo?
1.2.1
Kaj varujemo?
1.2.2
Kako varujemo?
1.2.3
Zakaj moramo zavarovati?
Kaj moramo zavarovati?
Kako moramo zavarovati?
Vir: Prirejeno po van Niekerk in von Solms (2006, str. 4)
Uporabniško znanje in zavedanje sta temeljna dejavnika pri zagotavljanju informacijske
varnostne kulture. Pridobi se ju z izobraževanjem, usposabljanjem in pri splošnem osveščanju
o informacijski tehnologiji.
Vključujeta tri stopnje, in sicer:

1.1.1 Zakaj varujemo?
Uporabnik mora znati in se hkrati zavedati, zakaj je sploh treba varovati transakcijski
račun spletnega bančništva. Največkrat to povezujemo z grožnjami, ki lahko prežijo na
slehernega uporabnika spletnega bančništva. Grožnje predstavljajo zlonamerno
programsko opremo, ki jo uporabljajo napadalci, in sicer Phishing, Pharming in
podobno. Nesmiselno bi bilo varovati nekaj, kar ni ogroženo.

1.1.2 Kaj varujemo?
Spletno bančništvo je namenjeno negotovinskemu poslovanju z uporabnikovimi
finančnimi sredstvi na transakcijskem računu. Ko pa se sprašujemo, kaj varujemo, bi
nemalo uporabnikov odgovorilo, da varujejo svoje finančno premoženje na bančnem
transakcijskem računu. Vendar natančen odgovor tiči nekje drugje. Napadalec ne more
prav ničesar narediti z našim finančnim premoženjem na transakcijskem računu, v
kolikor nima dostopa do računa. Za dostop do računa pa potrebujemo identifikacijske
podatke. Torej varujemo identifikacijske podatke za dostop do spletnega bančništva.
43

1.1.3 Kako varujemo?
Sedaj ko vemo, zakaj in kaj varujemo, se sprašujemo, kako varovati oziroma katere
varnostne mehanizme je treba uporabiti, da smo kar se da najbolj uspešni pri varovanju.
Uporaba varnostnih mehanizmov se razveja v dve smeri. Prva smer nas popelje v
tehnični del varovanja, ki je kljub hitro rastočim različnim nevarnostim dobro dovršen.
Programska oprema, ki nas uspešno ščiti pred zlonamernimi programi, dobro opravlja
svoje poslanstvo. Nekoliko bolj pereč problem nastane v drugi smeri, kjer se srečamo z
načinom napadov v okviru socialnega inženiringa in znanjem o uporabi osnovnih
varnostnih napotkov (izbira gesel, identifikacijska spletne strani ponudnika bančnih
storitev in podobno). V prvem primeru ne obstaja nikakršna tehnična rešitev in je v
celoti odvisno od posameznika. V drugem primeru obstajajo varnostni napotki, ki
zagotovijo, da napadalec stežka pridobi dostopne podatke za uporabo transakcijskega
računa.
Ključno znanje in zavedanje je, da varujemo identifikacijske podatke za dostop do spletnega
bančništva pred grožnjami s pomočjo varnostnih mehanizmov!
Ko uporabniki pridobijo navedeno zadostno znanje in posledično treba znanje o njihovi vlogi
v informacijski varnostni, še vedno ni garancije, da jo bodo popolnoma spoštovali (van Niekerk
in von Solms, 2006). Obstaja velika verjetnost, da uporabniki s pridobljenim znanjem in
zavedanjem svojo vlogo dobro razumejo, vendar je ne spoštujejo, zaradi svojega drugačnega
prepričanja (Schlienger in Teufel, 2003).
Navedena temeljna dejavnika, znanje in zavedanje, dopolnjujeta v celoto obnašanje in
vedenje. Slednja sta, tako kot ugotavljajo van Niekerk, von Solms, Schlienger in Teufel,
ključna za zagotovitev ustrezne informacijsko varnostne kulture, če se v celoti spoštujeta.
Vključujeta tri stopnje, in sicer:

1.2.1 Zakaj moramo zavarovati?
Uporabnik se mora ob uporabi spletnega bančništva vedno vesti kot potencialna tarča
napadalcev. Upoštevati mora, da je verjetnost grožnje v vsakem času enaka, ne glede
na stanje na računu in morebitne drugačne pomisleke.
44

1.2.2 Kaj moramo zavarovati?
Uporabnik mora upoštevati, da varovanje identifikacijskih podatkov do spletnega
bančništva ne zadostuje za vzpostavitev dobre ravni varnosti. Vzpostavitev varnosti se
začne pri katerikoli napravi, s katero dostopamo do računa spletnega bančništva.
Zavarovati jo je treba s primerno programsko opremo in jo vzdrževati po navodilih
proizvajalca.
Na tak način, da sprva zavarujemo napravo za dostop z ustrezno zaščitno programsko
opremo, vzpostavimo osnovni delež varovanja. Slednjega povečamo s primernim
obnašanjem do svojih identifikacijskih podatkov, ki jih uporabljamo za dostop do
spletnega bančništva. Vsakršno dodatno zavarovanje, ki se izraža v nekem deležu, nas
popelje do vzpostavitve ustreznega deleža varovanja. Več stvari ko varujemo (virusi,
črvi, identifikacijske podatke, ...), bolj ustrezno smo vzpostavili zavarovanje.

1.2.3 Kako moramo zavarovati?
Uporabnik se mora vedno znova in znova seznanjati z najnovejšimi priporočili banke,
v povezavi z varno uporabo in jih dosledno upoštevati. Uporabljati mora najmanj
programsko opremo (Free20), ki mu omogoča osnovno zaščito, ali se odločiti za nakup
zmogljivejše programske opreme, ki mu nudi več zmogljivosti zaščite in posledično
varnosti. Preverjati mora stanje celotne programske opreme, nameščene na računalniku,
s katerim dostopa do spletnega bančništva, in jo po potrebi ročno posodabljati. Skratka,
uporabnik mora v tem nivoju vložiti veliko truda, da vzpostavi zadovoljivo raven
varovanja.
Primerno obnašanje in vedenje je, ko se vedemo na način, da zagotovo obstaja verjetnost
grožnje, ki preži na uporabnike spletnega bančništva, zaradi česar upoštevamo in uporabljamo
vse varnostne mehanizme, ki so ponujeni, da dosežemo ustrezen delež varovanja. Pri tem pa
moramo upoštevati navodila in zahteve ponudnika zaščitnih mehanizmov, ki jih uporabljamo,
da s takim obnašanjem vzpostavimo zadovoljivo raven varovanja.
Free predstavlja brezplačno programsko opremo, ki vključuje le manjši del vseh zmožnosti, kot jih ponuja enaka
programska oprema, ki jo kupimo.
20
45
7
RAZISKOVALNI PROBLEM, HIPOTEZE IN CILJI RAZISKAVE
Namen raziskave je ugotoviti dejansko stopnjo informacijsko varnostne kulture na
obravnavanem območju, na podlagi obeh segmentov, ponazorjenih v zastavljenem modelu.
7.1
Opredelitev raziskovalnega problema
Spletno bančništvo zaradi ponujenih ugodnosti uporabnike vztrajno in uspešno preusmerja s
klasičnega poslovanja na elektronsko. S takšnim načinom poslovanja omogočimo oddaljen
dostop do svojega finančnega premoženja na transakcijskem računu banke. Zgublja se
neposreden stik z bančnimi uslužbenci ter omogoči napadalcem, da z različnimi pretvezami in
iznajdljivostmi pridejo do podatkov za dostop do računa. Posledično bi lahko upravljali z našim
finančnim premoženjem, ki si ga protipravno prilaščajo. Napadalci takšno poslovanje
izkoriščajo, ker jim že v osnovi omogoči določeno anonimnost, s katero bi se morali soočiti pri
klasičnem poslovanju. Hkrati pa postanejo preiskave takšnih kaznivih dejanj zelo otežene, saj
napadalci skoraj v celoti napadajo iz držav izven evropske skupnosti (Peru, Vietnam in
podobno).
SI.CERT (Slovenski nacionalni odzivni center za obravnavanje incidentov s področja varnosti
elektronskih omrežij in informacij) je v letu 2013 obravnaval 1.513 incidentov, kar predstavlja
21 % rast v primerjavi z letom 2012, ko so zabeležili 1.250 obravnav (SI-CERT (c), 21. maj
2014). Med obravnavanimi incidenti izstopa predvsem porast zlonamerne kode (60 %), porast
socialnega inženiringa oziroma Phishinga (50 %) in porast goljufij (30 %). Takšna rast je
zaskrbljujoča, saj glede na predhodna leta postaja trend. Razvijalci zaščitnih mehanizmov in
ponudniki spletnega bančništva so sprva posvetili veliko pozornost tehničnim rešitvam za
zagotavljanje varnosti. Kmalu se je izkazalo, da le-to ne zadostuje za vzpostavitev osnovne
ravni varnosti, temveč je v veliki meri odvisna od posameznikovega znanja in vedenja. Veliko
raziskovalcev se ukvarja s to ugotovitvijo in predstavlja različne poglede na ta del
individualnega zagotavljanja informacijsko varnostne kulture.
Z navedenimi ugotovitvami se tudi sam strinjam, saj pri opravljanju svojega poklica ob
obravnavanju protipravnih ravnanj storilcev ugotavljam, da je dejansko znanje in vedenje
46
posameznika na zelo nizki stopnji. V tej raziskavi se bomo osredotočili na del individualnega
zagotavljanja informacijsko varnostne kulture ter skušali potrditi ali zavreči zastavljene
hipoteze.
7.2
Raziskovalne hipoteze
7.2.1 Hipoteza 1
Stopnja varnosti na Dolenjskem in v Beli krajini je pod vrednostjo 4 na zastavljeni lestvici, kar
predstavlja manj kot 80 % (𝐻1 :µ<4).
Upoštevajoč vse varnostne incidente, ki so bili obravnavani na Dolenjskem in v Beli krajini v
preteklih treh letih, ter upoštevajoč, da je to najverjetneje manjši del vseh, ki so se zgodili,
domnevam, da je stopnja varnosti na navedenima območjema na nizki ravni. Posamezniki ob
prijavi incidentov v pogovorih niso znali odgovoriti na osnovna zastavljena vprašanja, ki so se
nanašala na nameščene varnostne mehanizme, nameščeno programsko opremo za brskanje po
spletu in podobno. S takšnim znanjem zagotovo ne morejo vzpostaviti visoke stopnje varnosti.
Postavljena hipoteza nam bo razjasnila dejansko stopnjo varnosti po predstavljenem modelu na
Dolenjskem in v Beli krajini.
7.2.2 Hipoteza 2
Stopnja varnosti je različna na Dolenjskem in v Beli krajini.
Poti razvoja informacijsko komunikacijske tehnologije v Sloveniji, so sprva pokrivale večja
mesta in se šele zatem, z daljšim časovnim zamikom širila na območje podeželja. Takšni
uporabniki so imeli možnost prej spoznati dobre in predvsem slabe lastnosti spletnega
bančništva. Na podlagi takšnih ugotovitev domnevam, da je zaradi tega stopnja varnosti na
Dolenjskem različna kot v Beli krajini.
Postavljena hipoteza nam bo razjasnila, ali je stopnja varnosti odvisna od regije, kjer živimo,
saj so nekatere imele prej možnost dostopa do uporabe spletnega bančništva kot druge.
47
7.2.3
Hipoteza 3
Uporabniki zagotovo več vedo o zaščiti spletnega bančništva, vendar se slabše vedejo pri
poslovanju s spletnim bančništvom.
Nekako samoumevno postavljena hipoteza, ki želi potrditi, da se uporabnik nikakor ne more
boljše vesti, kot je njegovo znanje na tem področju. Kako pravilno reagirati pred postavljenim
dejstvom, če pa ne vemo, da je kakršnakoli reakcija sploh potrebna. Obstajajo manjše možnosti,
vendar bi v tem primeru lahko govorili o sreči oziroma srečnem razpletu. Nikakor pa nima
uporabnik toliko sreče, da bi to trditev pri večjih preizkusih izpodbil. Sam model je sestavljen
tako, da mora uporabnik sprva pridobiti ustrezno znanje, ki ga lahko zatem uporabi pri svojem
zaščitniškem vedenju.
Postavljena hipoteza nam bo razjasnila, ali je dejansko znanje temeljni dejavnik pri
zagotavljanju informacijske varnostne kulture. Posledično se vsakdo slabše vede, saj kot človek
ne izkorišča znanje v celoti oziroma 100 %.
7.3
7.3.1
Raziskovalna vprašanja
Raziskovalno vprašanje 1
Kakšno je znanje o zahtevah ponudnika do uporabnika za varno uporabo spletne banke?
Ponudnik spletnega bančništva že pri poizvedovanju komitenta pouči o osnovnih varnostnih
mehanizmih (dostop z geslom, certifikatom, kalkulatorjem gesel in podobno), ki jih ponuja v
uporabo in med katerimi lahko izbira; bodisi v brezplačni ponudbi ali ponudbi z doplačilom.
Uporabniki le redko kdaj pred prvo uporabo preverijo vse zahteve ponudnika in na tak način ne
pridobijo potrebnega znanja v zvezi varnim poslovanjem.
To raziskovalno vprašanje nam bo poleg drugih delno pomagalo pri razjasnitvi hipoteze 1.
48
7.3.2 Raziskovalno vprašanje 2
Ali uporabniki redno spremljajo in upoštevajo vsa najnovejša priporočila banke glede varne
uporabe spletnega bančništva?
Uporabniki v večini primerov preverijo napotke ponudnika za varno poslovanje le enkrat.
Kasneje se več ne vračajo nazaj, da bi preverili morebitne nove napotke oziroma zahteve. V
odnosu s spletnim bančništvom, ki temelji na osnovi internetne povezave, pa takšno početje
zagotovo zmanjšuje raven varnosti. Vsakodnevno se razvije nekaj deset novih groženj, ki se
izražajo z napadi na potencialne žrtve. Brez občasne osvežitve znanja o takšnih grožnjah pred
uporabo storitve spletnega bančništva prihaja tvegane in zmanjševanje stopnje varnosti.
To raziskovalno vprašanje nam bo poleg drugih delno pomagalo pri razjasnitvi hipoteze 1.
7.3.3 Raziskovalno vprašanje 3
Ali uporabniki vedno pred vsakim dostopom do spletnega bančništva preverijo vse znane
elemente varnosti?
Uporabnik bi moral pred vsako uporabo spletnega bančništva preveriti vse znane elemente
varnosti. Morali bi identificirati pravo spletno stran, preveriti, ali je vzpostavil varno povezavo
(https) in podobno.
To raziskovalno vprašanje nam bo poleg drugih delno pomagalo pri razjasnitvi hipoteze 1.
7.3.4 Raziskovalno vprašanje 4
Kakšno je razmerje znanja o zahtevah ponudnika do uporabnika za varno uporabo spletne banke
med spoloma?
To raziskovalno vprašanje, ki se navezuje na prvo raziskovalno vprašanje nam, bo pomagalo
razjasniti razmerje med spoloma. Kateri spol prevladuje v segmentu znanja, ki ga opisuje
sestavljen model.
49
7.3.5
Raziskovalno vprašanje 5
S katero napravo najpogosteje dostopajo uporabniki do spletnega bančništva?
Raziskovalno vprašanje nam bo pomagalo pri razjasnitvi, s katero napravo najpogosteje
uporabniki dostopajo do spletnega bančništva.
Upoštevajoč, da je napredek mobilne tehnologije pričel pridobivati različne deleže na različnih
področjih uporabe, bomo ugotavljali, v kolikšni meri katero napravo uporabljamo za dostop do
spletnega bančništva.
7.3.6
Raziskovalno vprašanje 6
S katerim spletnim brskalnikom uporabniki najpogosteje dostopajo do spletnega bančništva?
Pri svojem delu ugotavljam, da je zelo velik delež uporabnikov spletnega bančništva imel
nameščen spletni brskalnik Internet Explorer in ga tudi uporabljal. Ne glede na to, da je omenjen
brskalnik sestavni del operacijskega sistema Microsoft Windows in ne glede na to, da večina
uporabnikov uporablja to, kar ima, bomo z rezultati ugotavljali, v kolikšni meri s katerim
spletnim brskalnikom dostopamo do spletnega bančništva.
7.3.7
Raziskovalno vprašanje 7
S katerega okolja najpogosteje dostopajo uporabniki do spletnega bančništva?
Spletno bančništvo lahko uporabljamo v različnih okoljih, zaradi česar smo izpostavljeni
različnim nevarnostim, ki se jih sploh ne zavedamo (nezavarovan dostop do omrežja prestrezanje komunikacije, shranjevanje podatkov na komunikacijski napravi - modemu …).
Zaradi navedenega bomo s tem raziskovalnim vprašanjem ugotavljali, v kolikšni meri iz
katerega okolja uporabniki najpogosteje dostopajo do spletnega bančništva.
50
7.4
Metoda raziskovanja
Raziskovalna naloga je natančno usmerjena in vključuje kvantitativno paradigmo. Uporabili
bomo tehniko zbiranja podatkov z anketnim vprašalnikom prek spleta, kjer bomo zavzeli veliko
število enot in manjše število numeričnih spremenljivk. Raziskovalna naloga je usmerjena v
obravnavo uporabnikovega znanja in vedenja, ob uporabi storitve spletnega bančništva.
7.5
Cilji raziskave
V raziskavi želimo ugotoviti, kakšno je stanje uporabe spletnega bančništva na področju
Dolenjske in Bele Krajine. Preučili bomo, kakšno je zavedanje uporabnikov o varnosti uporabe
spletne banke in kakšno je ravnanje uporabnikov pri dejanski uporabi. Razkorak med
zavedanjem in ravnanjem uporabnikov se odraža v informacijski varnostni kulturi. Zanimalo
nas bo torej, kakšna je informacijska varnostna kultura in posledično stopnja varnosti pri
uporabi spletnega bančništva.
8
IZVEDBA RAZISKAVE
Raziskava je potekala sprva s preučevanjem relevantne literature in predstavitvijo storitve
spletnega bančništva, varnostnih mehanizmov spletnega bančništva in osnovnih varnostnih
mehanizmov za zavarovanje računalnika. Sledilo je preučevanje dosedanjih raziskav o
informacijsko varnostni kulturi, na podlagi katerih je bil izdelan model, s katerim smo si
pripravili orodje za določitev stopnje varnosti. Sledila je sestava hipotez in zbiranje surovih
podatkov s pomočjo anketnega vprašalnika, ki je bil sestavljen in posredovan anketirancem
prek spleta.
Po zaključku ankete smo z uporabo statističnih metod analizirali vprašalnik, preverili veljavnost
sestavljene hipoteze, odgovorili na raziskovalna vprašanja in s pomočjo sestavljenega modela
določili stopnjo varnosti na Dolenjskem in v Beli krajini pri uporabi spletnega bančništva.
51
8.1
Predstavitev vprašalnika
Vprašalnik smo uporabili za pridobitev surovih podatkov raziskave, ki jih potrebujemo za
obdelavo in določitev stopnje varnosti. Vprašalnik je sestavljalo devet vprašanj in dvaintrideset
spremenljivk. Prvih šest vprašanj je bilo razdeljenih v dva dela.
Prvi del oziroma prva tri vprašanja so obravnavala uporabniško znanje in zavedanje.
Prvo vprašanje je bilo osredotočeno na nivo znanja, ali uporabniki vemo, zakaj varujemo. S
tem smo ugotavljali, ali se uporabniki zavedajo in v kolikšni meri, da obstajajo grožnje, ki lahko
ogrozijo našo eksistenco.
Drugo vprašanje je bilo osredotočeno na nivo znanja, ali uporabniki vemo, kaj varujemo. S tem
smo ugotavljali, ali se uporabniki zavedajo in v kolikšni meri, da je treba varovati podatke za
dostop do računa spletnega bančništva.
Tretje vprašanje je bilo osredotočeno na nivo znanja, ali uporabniki vemo, kako varujemo. S
tem smo ugotavljali, ali se uporabniki zavedajo in v kolikšni meri, da obstajajo različni
varnostni mehanizmi, s katerimi varujemo storitev spletnega bančništva.
Drugi del oziroma druga tri vprašanja so obravnavala uporabniško obnašanje in vedenje.
Prvo vprašanje je bilo osredotočeno na nivo obnašanja, ali uporabniki vemo, zakaj se moramo
zavarovati. S tem smo ugotavljali, ali se uporabniki ustrezno vedejo in v kolikšni meri se vedejo
na način, da obstaja realna verjetnost grožnje, da bo nekdo zlorabil naš e-bančni račun.
Drugo vprašanje je bilo osredotočeno na nivo obnašanja, ali uporabniki vemo, kaj moramo
zavarovati. S tem smo ugotavljali, ali se uporabniki ustrezno vedejo in v kolikšni meri pri
dostopu do e-bančnih storitev pozorno preverijo vse elemente varnosti. Na tak način smo
pridobili podatke o deležu varovanega.
Tretje vprašanje je bilo osredotočeno na nivo obnašanja, ali uporabniki vemo, kako moramo
zavarovati. S tem smo ugotavljali, ali se uporabniki ustrezno vedejo in v kolikšni meri
52
spremljajo ter upoštevajo vsa najnovejša priporočila banke glede varne uporabe e-bančnih
storitev. Na tak način smo pridobili podatke o ravni varovanja.
Navedena dela sta nam tako zagotovila podatke na podlagi zastavljenega modela, s katerimi
bomo lahko potrdili ali ovrgli hipoteze.
V nadaljevanju so bila preostala tri vprašanja od devetih zastavljena tako, da z njimi obogatimo
ugotovljeno stopnjo varnosti s podatki, o napravah, spletnih brskalnikih in okolja, prek katerega
uporabniki dostopajo do storitve spletnega bančništva. Na koncu vprašalnika so bila zastavljena
osnovna demografska vprašanja.
8.2
Potek raziskave
Raziskava je sprva potekala z izbiro ustrezne teme. Pri tem je bilo treba upoštevati nekaj
faktorjev, kot so:

zahteve študijskega programa,

znanja in veščine raziskovalca,

cilji raziskave, ki smo si jih zastavili,

čas in viri, ki jih imamo na razpolago, ter

izvirnost in uporabnost.
Ob takem samostojnem določanju teme povzroča težave takoimenovano osredotočenje oziroma
fokusiranje na problem. Tega sproti zaznavamo pri pregledu literature, zaradi česar moramo
skrbno izbrati temo. V nasprotnem primeru jo zastavimo preširoko in ni dobro raziskana
(Tratnik, 2002). Prav v tem delu je bilo posvečeno veliko dela in truda, da smo izbrali ustrezno
temo. Elektronsko bančništvo s fokusom na varnost spletnega bančništva.
Izbira naslova, ki mora biti čim krajši, hkrati pa mora vsebovati vse bistvene elemente izbrane
teme, ni bil prav trd oreh. Pregled izbrane literature in drugih uporabnih, predvsem spletnih
virov, nam je služil za pridobivanje sekundarnih podatkov.
53
Uporabljeno je bilo tolikšno število virov, da smo z njimi lahko uspešno prišli do kvalitetnega
zaključka raziskave.
Teoretični del raziskovanja je temeljil na induktivnem načinu, saj smo teoretična izhodišča
raziskave delno oblikovali pred zbiranjem sekundarnih podatkov. Na koncu smo oblikovali
teorijo raziskave, po analizi podatkov in priprav na zaključek.
Sledilo je zbiranje podatkov za opisovanje, razlago in testiranje hipotez na podlagi
sestavljenega in objavljenega vprašalnika. Vprašalnik je bil uporabljen, saj smo bili prepričani,
da o tej temi, ki jo raziskujemo, v javnosti obstaja splošno mnenje, ki ga bo moč zajeti s to
metodo. Vprašalnik je bil sestavljen in poslan ciljni skupini s pomočjo ponudnika spletnega
anketiranja 1KA.
Slika 8.1: Osnovni podatki spletnega vprašalnika (ankete) te raziskovalne naloge
Vir: Perko, lastni prikaz (2014)
Vprašalnik je izpolnilo 260 oseb. Velika večina med njimi nam je potožila, da so imeli težavo,
najverjetneje zaradi preobremenjenosti spletne strani, zaradi česar niso mogli izpolniti
vprašalnika v celoti. Tako izpolnjen vprašalnik je sam sistem zabeležil kot neustrezno rešen.
Zaradi navedenih ugotovitev smo pri analizi upoštevali le ustrezno rešene vprašalnike, ki jih je
bilo 138. Med njimi pa smo upoštevali tudi tiste, ki so reševali vprašalnik samo enkrat in ga le
delno izpolnili. Takšnih je bilo 7 oseb. V nasprotnem primeru, bi lahko prišli do popačenih
54
podatkov, saj bi ena oseba z več pravilnimi vprašalniki s svojimi odgovori vplivala na druge
odgovore.
Vzorec oseb, ki so izpolnjevale vprašalnik, je bil skrbno izbran, saj se je v praksi pokazalo, da
se rezultati vzorca ne razlikujejo bistveno od populacije. Upoštevati je bilo treba, da:

uporabljajo spletno bančništvo,

na območju Dolenjske in Bele krajine,

zajamemo čim širši starostni vzorec uporabnikov,

zajamemo različno izobražene osebe,

povprečno vešče informacijske tehnologije in podobno.
Tako zajet vzorec in njegove lastnosti, s katerimi smo se skušali kar najboljše približati
lastnostim celotne populacije, nam je služil za izvedbo raziskave.
8.3
Analiza
Spletni vprašalnik je pravilno izpolnilo 138 oseb, med katerimi je bilo 63 % moških in 37 %
žensk. Na zastavljeno demografsko vprašanje o izobrazbi, 7 oseb ni hotelo odgovoriti, zaradi
česar je bil vzorec izobrazbe toliko manjši. Zajeli smo naslednjo strukturo vzorca.
Graf 8.1: Izobrazba uporabnikov spletnega bančništva
Izobrazba
4. stopnja - srednje poklicno
izobraževanje ali manj
3% 4%
5. stopnja - gimnazijsko, srednje poklicno
tehniško izopbraževanje
5%
6.1 stopnja - višješolska izobrazba
21%
6.2 stopnja - višješolska strokovna ali
univerzitetna izobrazba
42%
10%
7. stopnja - magisterij ali univerzitetni
program pred bolonjsko reformo
8.1 stopnja - magisterij znanosti
8.2 stopnja - doktorat znanosti
15%
Vir: Perko, lastna raziskava (2014)
55
Struktura vzorca po izobrazbi je bila zajeta v zelo podobnem okvirju, kot kažejo statistični
podatki za populacijo v Sloveniji v letu 2013 (Statistični urad Republike Slovenije, 2013).
Graf 8.2: Starostna skupina uporabnikov spletnega bančništva
Starost
4%
8%
11%
49%
27%
2%
0%
10%
20%
30%
40%
50%
(61 let ali več )
(51 - 60 let)
(41 - 50 let)
(31 - 40 let)
(21 - 30 let)
(do 20 let)
60%
Vir: Perko, lastna raziskava (2014)
Graf 8.2 nam je prikazal predvsem, katera starostna skupina najpogosteje uporablja spletno
bančništvo na raziskovanem območju. Hkrati potrjuje, da se spletnega bančništva poslužujejo
tudi »starejši« ljudje. Predvsem jih po enainpetdesetem letu, vključujoč tudi tiste po
enainšestdesetem letu, uporablja spletno bančništvo za odtenek več kot oseb v starostni skupini
od enainštirideset do petdeset.
Zagotovo je največ uporabnikov spletnega bančništva med enaindvajsetim in štiridesetim
letom.
Graf 8.3: S katero napravo najpogosteje dostopamo do spletnega bančništva
Naprava za dostop do spletnega
bančništva
64
87
18
12
Vir: Perko, lastna raziskava (2014)
56
1
5
Veliko uporabnikov dostopa do spletnega bančništva s prenosnim računalnikom, kar je
pričakovano, saj imajo določene prednosti, s katerimi se lahko primerja z namiznim
računalnikom. Sledi mu uporaba namiznega računalnika, pametnega telefona in tabličnega
računalnika.
Nekoliko presenetljiv je podatek, da ena od oseb, ki so izpolnile vprašalnik, uporablja dlančnik,
ki jih zaradi razvoja tehnologije le redko kje še zasledimo. Morebiti pa to ni slaba odločitev, če
upoštevamo, da bi bilo najbolje za dostop do spletnega bančništva uporabljati napravo, ki je
namenjena le temu.
Graf 8.4: S katerim brskalnikom najpogosteje dostopamo do spletnega bančništva
Kateri spletni brskalnik uporabljamo?
2%
2%
1%
1
42%
30%
23%
0%
5%
Drugo:
10%
Safari
15%
Opera
20%
25%
Google Chrome
30%
35%
Mozilla Firefox
40%
45%
Internet Explorer
Vir: Perko, lastna raziskava (2014)
Kljub temu, da je najbolj razširjena uporaba operacijskega sistema Microsoft Windows, ki
vključuje spletni brskalnik Internet Explorer, večina uporabnikov spletnega bančništva
uporablja spletni brskalnik Google Chrome. Sledi mu priljubljeni Mozilla Firefox in šele za
njim Internet Explorer. Posebej zanimiv je odstotek v okviru odgovora drugo. V tem delu so
trije odgovorili, da ne vedo, kateri brskalnik uporabljajo.
57
Graf 8.5: V katerem okolju najpogosteje dostopamo do spletnega bančništva
Okolje, v katerm dostopamo
23%
3%
Domačem
Službenem
6%
Javnem
71%
3%
Drugo:
Vir: Perko, lastna raziskava (2014)
Pričakovano uporabniki najpogosteje dostopamo iz domačega okolja, ki mu v manjšem
odstotku sledi službeno okolje. Zelo majhen odstotek uporabnikov dostopa iz javnega okolja in
enak odstotek se ni opredelil, iz katerega okolja dostopa. Na podlagi takšnega vzorca smo
postavljene hipoteze skušali potrditi ali zavreči.
Znanje in zavedanje uporabnikov o varnosti spletnega bančništva smo razdelili v tri nivoje, ki
so zajemali zastavljen model.
Na prvem nivoju smo se spraševali, ali se uporabniki zavedamo, zakaj varujemo, oziroma ali
se zavedamo groženj. Povprečen odgovor na lestvici od ena do pet nam je pokazal položaj pri
vrednosti 3,7 s standardnim odklonom 1,28.
Na drugem nivoju smo se spraševali, ali se uporabniki zavedamo, kaj varujemo, oziroma ali se
zavedamo, kaj je predmet varovanja. Povprečen odgovor na lestvici od ena do pet nam je
pokazal položaj pri vrednosti 3,8 s standardnim odklonom 1,12.
Na tretjem nivoju smo se spraševali, ali se uporabniki zavedamo, kako varujemo, oziramo s
katerimi mehanizmi varujemo. Povprečen odgovor na lestvici od ena do pet nam je pokazal
položaj pri vrednosti 3,6 s standardnim odklonom 1,14.
58
S preizkusom domneve o aritmetični sredini (𝑥̅ ) na velikih vzorcih (50 ali več) smo izvedli
izračun z »Z« statistiko, in sicer po postopku:
1. Določitev ničelne (𝐻0 ) in alternativne (𝐻1 ) domneve.
𝐻0 : µ = 4
(Stopnja varnosti v segmentu znanja in zavedanja je enaka vrednosti 4 oziroma 80 %)
𝐻0 : µ < 4
(Stopnja varnosti v segmentu znanja in zavedanja je manjša od vrednosti 4 oziroma 80
%)
2. Določitev kritičnega območja (k.o.) oziroma intervala zaupanja na podlagi alternativne
hipoteze. V kolikor je pri alternativni (𝐻1 ) hipotezi uporabljen znak za manj in več,
obrnjen v smeri »<«, upoštevamo kritično območje oziroma enostranski interval
zaupanja;
k.o.: (−∞, −𝑍𝛼 ]. Sledi izračun meje −𝑍𝛼 , da bi lahko opredelili vrednost kritičnega
območja, izraženega v številkah.
Pred tem je treba določiti naše tveganje, ki bo v višini 1 %, zaradi česar sledi, da je 𝛼 =
0.01.
∅(𝑍∝ ) = 1−∝ −0,5 = 1 − 0,01 − 0,5 = 0,49
Iz tabele vrednosti funkcije ∅ za vrednost 0,49 (priloga 2) razberemo, da je ta vrednost
2,33.
k.o.: (−∞, −2,33] je na tak način določeno.
3. Izračunati moramo še testno statistiko »Z«.
59
𝑍=
𝑥̅ − 𝜇
∗ √𝑛
𝑠
Pri čemur predstavlja (𝑥̅ ) povprečje obnašanja in vedenja na vzorcu, (𝜇) predstavlja
določeno mejo v sestavljeni alternativni hipotezi, (𝑠) standardni odklon pri obnašanju in
vedenju ter (n) število na vzorcu. Povprečje je treba upoštevati z vseh treh nivojev, in
sicer nivo ena (3,7), nivo dva (3,8) in nivo tri (3,6). Ker je bil na vseh treh nivojih
obnašanja in vedenja enak vzorec (138) lahko poračunamo povprečje, ki znese 3,700.
Prav tako upoštevamo standardni odklon na enak način kot pri povprečju, kar znese 1,180.
𝑍=
3,700 − 4
∗ √138 = −2,987
1,180
4. Na tak način ugotovimo, da testna statistika »Z« pade v kritično območje, zaradi česar pri
stopnji tveganja 1% ničelno (𝐻0 ) domnevo zavrnemo in sprejmemo alternativno (𝐻1 )
domnevo.
To pomeni, da s tveganjem 1 % lahko trdimo, da je stopnja varnosti na Dolenjskem in v Beli
krajini v segmentu znanja in zavedanja manjša od vrednosti 4 oziroma 80 %.
Graf 8.6: Znanje in zavedanje uporabnikov o varnosti spletnega bančništva
Znanje in zavedanje
Zakaj varujemo?
5
3,7
4
3
2
1
Kako varujemo?
3,6
3,8
Vir: Perko, lastna raziskava (2014)
60
Kaj varujemo?
Obnašanje in vedenje uporabnikov o varnosti spletnega bančništva smo prav tako razdelili v tri
nivoje, ki so zajemali zastavljen model.
Na prvem nivoju smo se spraševali, ali se uporabniki ustrezno vedemo, in sicer na način, da
obstaja realna verjetnost, da bo nekdo zlorabil naš e-bančni račun. Povprečen odgovor na
lestvici od ena do pet nam je pokazal položaj pri vrednosti 3,2 s standardnim odklonom 1,25.
Na drugem nivoju smo se spraševali, ali se uporabniki ustrezno vedemo, in sicer na način, da
pri dostopu do e-banke vedno pozorno preverimo vse elemente varnosti. Povprečen odgovor na
lestvici od ena do pet nam je pokazal položaj pri vrednosti 3,7 s standardnim odklonom 1,25.
Na tretjem nivoju smo se spraševali, ali se uporabniki ustrezno vedemo, in sicer na način, da
redno spremljamo in upoštevamo vsa najnovejša priporočila banke glede varne uporabe ebančnih storitev. Povprečen odgovor na lestvici od ena do pet nam je pokazal položaj pri
vrednosti 3,5 s standardnim odklonom 1,28.
S preizkusom domneve o aritmetični sredini (𝑥̅ ) na velikih vzorcih (50 ali več) smo izvedli
izračun z »Z« statistiko, in sicer po naslednjem postopku:
1. Določitev ničelne (𝐻0 ) in alternativne (𝐻1 ) domneve.
𝐻0 : µ = 4
(Stopnja varnosti v segmentu obnašanja in vedenja je enaka vrednosti 4 oziroma 80 %)
𝐻0 : µ < 4
(Stopnja varnosti v segmentu obnašanja in vedenja je manjša od vrednosti 4 oziroma 80
%)
2. Določitev kritičnega območja (k.o.) oziroma intervala zaupanja na podlagi alternativne
hipoteze. V kolikor je pri alternativni (𝐻1 ) hipotezi uporabljen znak za manj in več,
obrnjen v smeri »<«, upoštevamo kritično območje oziroma enostranski interval
zaupanja;
61
k.o.: (−∞, −𝑍𝛼 ]. Sledi izračun meje −𝑍𝛼 , da bi lahko opredelili vrednost kritičnega
območja, izraženega v številkah.
Pred tem je treba določiti naše tveganje, ki bo v višini 1 %, zaradi česar sledi, da je 𝛼 =
0.01.
∅(𝑍∝ ) = 1−∝ −0,5 = 1 − 0,01 − 0,5 = 0,49
Iz tabele vrednosti funkcije ∅ za vrednost 0,49 (priloga 2) razberemo, da je ta vrednost
2,33.
k.o.: (−∞, −2,33] je na tak način določeno.
3. Izračunati moramo še testno statistiko »Z«.
𝑍=
𝑥̅ − 𝜇
∗ √𝑛
𝑠
Pri čemur predstavlja (𝑥̅ ) povprečje obnašanja in vedenja na vzorcu, (𝜇) predstavlja
določeno mejo v sestavljeni alternativni hipotezi, (𝑠) standardni odklon pri obnašanju in
vedenju ter (n) število na vzorcu. Povprečje je treba upoštevati z vseh treh nivojev, in
sicer nivo ena (3,2), nivo dva (3,7) in nivo tri (3,5). Ker je bil na vseh treh nivojih
obnašanja in vedenja enak vzorec (135), lahko poračunamo povprečje, ki znese 3,467.
Prav tako upoštevamo standardni odklon na enak način kot pri povprečju, kar znese 1,260.
𝑍=
3,467 − 4
∗ √135 = −4,915
1,260
4. Na tak način ugotovimo, da testna statistika »Z« sovpada v kritično območje, zaradi česar
pri stopnji tveganja 1 % ničelno (𝐻0 ) domnevo zavrnemo in sprejmemo alternativno (𝐻1 )
domnevo.
To pomeni, da s tveganjem 1 % lahko trdimo, da je stopnja varnosti na Dolenjskem in v Beli
krajini v segmentu obnašanja in vedenja manjša od vrednosti 4 oziroma 80 %.
62
Graf 8.7: Obnašanje in vedenje uporabnikov o varnosti spletnega bančništva
Kako se zavarujemo?
5
Obnašanje in vedenje
4 3,2
3
2
1
Zakaj moramo 3,5
zavarovati?
3,7
Kaj moramo zavarovati?
Vir: Perko, lastna raziskava (2014)
Paretovo načelo ali pravilo govori, da z osredotočenjem na 20 % pomembnejših nalog lahko
dosežemo 80 % realizacijo in obratno (Borštnik, 2008). V našem primeru bi s primernim 20 %
obnašanjem in vedenjem glede na vse pomembnejše varnostne mehanizme lahko zagotovili 80
% stopnjo varnosti.
Takšna meja odstotka nam služi kot meja zadovoljive varnosti. Pri vprašalniku je bila
zastavljena lestvica od 1 do 5, zaradi česar je ta meja pri vrednosti 4.
Graf 8.8: Grafični prikaz stopnje varnosti na Dolenjskem in v Beli krajini
Zakaj?
5
4
3,5
3
2
1
3,2
3,7
Kako?
Znanje in zavedanje
Kaj?
Obnašanje in vedenje
Vir: Perko, lastna raziskava (2014)
63
Upoštevajoč Paretovo načelo, smo ugotovili, da s tveganjem 1 % lahko trdimo, da je stopnja
varnosti na Dolenjskem in v Beli krajini v segmentu obnašanja in vedenja, ki je ključen za
vzpostavitev varnosti, manjša od vrednosti 4 oziroma 80 %.
Graf 8.8 nam nazorno pokaže, da je površina segmenta znanja in zavedanja nekoliko večja od
površine segmenta obnašanja in vedenja, kar nazorno kaže, da uporabniki več vedo o zaščiti
spletnega bančništva, vendar se slabše vedejo pri poslovanju s spletnim bančništvom.
Ker smo se v raziskavi omejili na veliko geografsko območje, v katero spadata Dolenjska in
Bela krajina, nas zanima, ali obstaja razlika v segmentu obnašanja in vedenja iz našega modela,
ki je ključen za določitev stopnje varnosti.
S preizkusom domneve o aritmetični sredini (𝑥̅ ) na velikih vzorcih (50 ali več) smo izvedli
izračun razlik med aritmetičnima sredinama, in sicer po naslednjem postopku:
1. Določitev ničelne (𝐻0 ) in alternativne (𝐻1 ) domneve.
𝐻0 : 𝜇𝐷𝑜 = 𝜇𝐵𝑘
(Stopnja varnosti je enaka na Dolenjskem in v Beli krajini)
𝐻0 : 𝜇𝐷𝑜 ≠ 𝜇𝐵𝑘
(Stopnja varnosti je različna na Dolenjskem in v Beli krajini)
2. Določitev kritičnega območja (k.o.) oziroma intervala zaupanja na podlagi alternativne
hipoteze. V kolikor je pri alternativni (𝐻1 ) hipotezi uporabljen znak za enako, upoštevamo
kritično območje oziroma dvostranski interval zaupanja;
k.o.: (−∞, −𝑍∝ ] U [𝑍∝ , ∞) Sledi izračun spodnje meje −𝑍∝ in zgornje meje 𝑍∝ , da bi
2
2
2
2
lahko opredelili vrednost kritičnega območja, izraženega v številkah.
Pred tem je treba določiti naše tveganje, ki bo v višini 1 %, zaradi česar sledi, da je 𝛼 =
0.01.
∅ (𝑍∝ ) =
2
1−∝ 1 − 0,01
=
= 0,495
2
2
64
Iz tabele vrednosti funkcije ∅ za vrednost 0,495 (priloga 2) razberemo, da je ta vrednost
2,575. Kritično območje: (−∞, −2.575] U [2.575, ∞) je na tak način določeno.
3. Izračunati moramo še testno statistiko »Z«.
𝑍=
𝑥𝐷𝑜 − ̅̅̅̅̅
̅̅̅̅̅
𝑥𝐵𝑘
√
𝑍=
2
2
𝑠𝐵𝑘
𝑠𝐷𝑜
+
𝑛𝐷𝑜 𝑛𝐵𝑘
3,600 − 3,467
2
2
√0,700 + 0,650
65
51
= 1,057
4. Na tak način ugotovimo, da testna statistika »Z« ne sovpada v kritično območje, zaradi
česar pri stopnji tveganja 1 % ničelno (𝐻0 ) domnevo potrdimo in zavrnemo alternativno
(𝐻1 ) domnevo.
To pomeni, da s tveganjem 1 % ne moremo potrditi, da je stopnja varnosti na Dolenjskem in v
Beli krajini v segmentu obnašanja in vedenja različna.
Graf 8.9: Primerjava obnašanja in vedenja med Dolenjsko in Belo krajino
3,9
3,8
3,9
Obnašanje in vedenje
3,7
3,6
3,6
3,5
3,6
3,5
3,4
Dolenjska
3,3
Bela krajina
3,2
3,3
3,3
3,1
3
ZAKAJ
MORAMO
ZAVAROVATI?
KAJ MORAMO
ZAVAROVATI?
KAKO SE
ZAVARUJEMO?
Vir: Perko, lastna raziskava (2014)
65
Povprečen odgovor na vzorcu na lestvici od ena do pet nam je za Dolenjsko pokazal položaj pri
vrednosti 3,600 s standardnim odklonom 0,700 in za Belo krajino pri vrednosti 3,467 s
standardnim odklonom 0,650.
9
ZAKLJUČEK
Raziskava je pokazala, da uporabniki spletnega bančništva na Dolenjskem in v Beli krajini, ne
vzpostavljajo zadostne varnostne kulture, ki bi dosegla stopnjo varnosti 80 % in ki bi
zagotavljala varno uporabo spletnega bančništva. Ugotovili smo, da je kljub nekoliko boljšemu
rezultatu v segmentu znanja in zavedanja najbolj pomemben segment obnašanja in vedenja. S
slednjim lahko neposredno določimo stopnjo varnosti.
Stopnja varnosti uporabe spletnega bančništva na Dolenjskem in v Beli krajini dosega 69 %. V
primerjavi med Dolenjsko in Belo krajino ne moremo govoriti o odstopanju.
Uporabnike lahko skrbi, da imajo napadalci na Dolenjskem in v Beli krajini teoretično visokih
31 % razpoložljivega prostora, v katerih bi zlahka in uspešno opravili svoja protipravna dejanja.
Z vzpostavitvijo povišanja informacijsko varnostne kulture na obravnavanih območjih za 11 %
bi tako zmanjšali razpoložljiv prostor za napade na 20 % in hkrati zadovoljili kriterijem ustrezne
varnosti. V prid uporabnika se ta odstotek le v manjši meri izkoristi, ker napadalci ne posedujejo
podatke, kateri uporabniki med mnogimi, ne uporabljamo tistih varnostnih mehanizmov, da bi
jih lahko napadalci enostavno izkoristili. Napadalci tako veliko časa porabijo za pripravljalna
dejanja, med katere štejemo iskanje ranljivosti varnostnih mehanizmov potencialne žrtve (z
zlonamerno programsko opremo, načini socialnega inženiringa, ...) ki jih nato izkoristijo za
uspešen protipraven »pohod«.
Uporabniki spletnega bančništva se moramo za doseganje zadovoljive stopnje varnosti, ki smo
jo po Paterovem načelu ali pravilu postavili na najmanj 80 %, osredotočiti na 20 % primernega
obnašanja in vedenja, ob uporabi vseh pomembnejših varnostnih mehanizmov, s čimer bomo
dvignili informacijsko varnostno kulturo in vzpostavili zadovoljivo stopnjo varnosti na
Dolenjskem in v Beli krajini
66
10 LITERATURA IN VIRI
1. BANKA CELJE. Nasveti za varno uporabo elektronskega bančništva. Dostopno prek:
http://www.banka-celje.si/osebne-finance/trzne-poti/elektronsko-bancnistvo/nasveti-zavarno-uporabo-elektronskega-bancnistva (14. 4. 2014).
2. BANKA SLOVENIJE. Bilten, Marec 2014. Dostopno prek:
http://www.bsi.si/iskalniki/bilteni.asp?MapaId=229 (24. 4. 2014).
3. BORŠTNIK, MAJA (2008) Paretovo načelo ali pravilo 20/80. Dostopno prek:
http://mladipodjetnik.si/novice-in-dogodki/novice/paretovo-nacelo-oz-pravilo-80-20 (6.
6. 2014).
4. BRATUŠA, TOMAŽ (2007) Hitri vodnik po zaščiti vašega računalnika: Kako se izogniti
neželeni pošti, virusom, vdorom in drugim nevšečnostim. Ljubljana: Pasadena.
5. DIMC, MAJA in DOBOVŠEK, BOJAN (2012) Kriminaliteta v informacijski družbi.
Ljubljana: Fakulteta za varnostne vede.
6. DRINKTRIM (2013) Zlonamerna programska koda, ki se širi prek zvoka. Dostopno
prek: http://www.drinktrim.com/index.php/novice/14-tehnologija/3713-zlonamernaprogramska-koda-ki-se-%C5%A1iri-prek-zvoka (13. 3. 2014).
7. DRŽAVNI PORTAL REPUBLIKE SLOVENIJE. Pridobitev digitalnega potrdila za
elektronsko poslovanje. Dostopno prek: http://e-uprava.gov.si/euprava/dogodkiPrebivalci.euprava?zdid=780&sid=244 (14. 4. 2014).
8. ENISA (2008) Social engineering: Exploiting the weakest links. Dostopno prek:
http://www.enisa.europa.eu/publications/archive/socialengineering?searchterm=social+eng (19. 4. 2014).
9.
GERDEN, ŽAN (2013) Osnove socialnega inženiringa, prvič: Hekerske taktike.
Dostopno prek: http://www.web-center.si/osnove-socialnega-inzeniringa-prvic-hekersketaktike/ (19. 4. 2014).
10. INFORMACIJSKI POOBLAŠČENEC REPUBLIKE SLOVENIJE. Smernice za
preprečevanje kraje identitete. Dostopno prek: https://www.iprs.si/fileadmin/user_upload/Pdf/brosure/Smernice_kraja_identitete.pdf (19. 4. 2014).
11. INFORMACIJSKI POOBLAŠČENEC REPUBLIKE SLOVENIJE (a). Socialni
inženiring in kako se pred njim ubraniti? Dostopno prek: https://www.iprs.si/fileadmin/user_upload/Pdf/smernice/socialni-inzeniring-in-kako-se-pred-njimubraniti.pdf (19. 4. 2014).
67
68
12. INŠTITUT ZA SLOVENSKI JEZIK FRANA RAMOVŠA ZRC SAZU. Slovar
slovenskega knjižnega jezika. Dostopno prek: http://bos.zrcsazu.si/cgi/a03.exe?name=sskj_testa&expression=znanje&hs=1 (11. 5. 2014).
13. Kazenski zakonik (KZ-1). Uradni list Republike Slovenije 55/2008. Dostopno prek:
http://www.uradni-list.si/1/objava.jsp?urlurid=20082296 (19. 4. 2014).
14. MINISTRSTVO ZA IZOBRAŽEVANJE IN ŠPORT. Register overiteljev v Republiki
Sloveniji. Dostopno prek:
http://www.mizs.gov.si/fileadmin/mizs.gov.si/pageuploads/Storitve/Info_druzba/Overitel
ji/signed-REGISTER_OVERITELJEV_V_RS_ver31__22.04.2014.pdf (13. 4. 2014).
15. MITNICK, KEVIN DAVID in SIMON, WILLIAM L. (2002) The art of deception :
controlling the human element of security. Indianapolis: Wiley.
16. MY DIGITAL WORLD (2013) My Digital World. Best Free Anti-Malware, AntiSpyware. Weblog [Online] 29. december. Dostopno prek:
http://mdruhulameen.blogspot.com/2013/12/best-free-anti-malware-anti-spyware.html
(24. 4. 2014).
17. NLB Klik. Dodatno varnostno geslo. Dostopno prek: http://www.nlb.si/cgibin/nlbweb.exe?doc=18801 (13. 4. 2014).
18. PINTERIČ, UROŠ in GRIVEC, MALČI (2007) Informacijsko komunikacijske
tehnologije v sodobni družbi: Multidisciplinarni pogledi. Nova Gorica: Fakulteta za
uporabne družbene študije.
19. POLICIJSKI SINDIKAT SLOVENIJE (2013) Internetna varnost. Hoče: IV Založba.
20.
RAČUNALNIŠKI SERVIS (2007) Halo-PC.si na pomoč priskoči ti! Učinkovita izbira
gesel (passwords). Weblog [Online] 27. november. Dostopno prek:
http://www.racunalnik-servis.com/blog/ucinkovita-izbira-gesel-passwords/ (20. 4. 2014).
21. RAČUNALNIŠKA POMOČ ONLINE (2012) Kako izbrati enostavno in varno geslo.
Dostopno prek: http://www.racunalniska-pomoc.si/kako-izbrati-enostavno-in-varnogeslo/#more-1026 (20. 4. 2014).
22. RANČIGAJ, KATJA in LOBNIKAR, MARKO (2012) Vedenjski vidiki zagotavljanja
informacijske varnosti: pomen upravljanja informacijske varnostne kulture. Dostopno
prek: http://www.fvv.uni-mb.si/konferencaIV/zbornik/Rancigaj_Lobnikar.pdf (6. 4.
2014).
23. SAFE.SI. Varna gesla. Dostopno prek: http://safe.si/podrocja/moja-identiteta-inzasebnost-na-spletu/varna-gesla (11. 4. 2014).
69
70
24. SCHLIENGER, THOMAS in TEUFEL, STEPHANIE (2003) INFORMATION
SECURITY CULTURE - FROM ANALYSIS TO CHANGE. Dostopno prek:
http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.103.7158&rep=rep1&type=pdf
(20. 5. 2014).
25. SEARCH SECURITY (2007). Malicious Computer Code: Glossary. Dostopno prek:
http://searchsecurity.techtarget.com/definition/Malicious-Computer-Code-Glossary (13.
3. 2014).
26. SGH. Self-signed SSL certifikat vs. kupljen SSL certifikat. Dostopno prek:
http://www.sgh.si/prodaja/ssl-server-certificate/how-ssl-works (21. 4. 2014).
27. SI-CERT. Virus pod pretvezo računa. Dostopno prek: https://www.cert.si/si-cert-201402-virus-pod-pretvezo-racuna (14. 3. 2014).
28. SI-CERT. Poročilo o omrežni varnosti za leto 2013. Dostopno prek:
https://vni.cert.si/wp-content/uploads/sites/3/2014/03/Porocilo-o-omreznivarnosti_2013.pdf (13. 4. 2014).
29. SI-CERT. Bančni trojanec, ki krade avtentikacijske podatke za NLB Klik. Dostopno
prek: https://www.cert.si/si-cert-2012-16-bancni-trojanec-ki-krade-avtentikacijskepodatke-za-klik-nlb/ (21. 4. 2014).
30. STATISTIČNI URAD REPUBLIKE SLOVENIJE. Socioekonomske značilnosti
prebivalstva, Slovenija, 1. januar 2013 - končni podatki. Dostopno prek:
http://www.stat.si/novica_prikazi.aspx?ID=5957 (26. 5. 2014).
31. ŠAVC, BORIS (2013) Spletno bančništvo po slovensko. Dostopno prek:
http://www.monitor.si/clanek/spletno-bancnistvo-po-slovensko/151953/ (16. 4. 2014).
32.
TECHNO GETSOCIALISE. Https. Dostopno prek :
http://www.techno.getsocialise.com/https/https/ (21. 4. 2014).
33. THE WINDOWS CLUB. Discuss - Best Free Firewalls For Windows for 2014.
Dostopno prek: http://www.thewindowsclub.com/best-free-firewalls-windows (24. 4.
2014.
34. THREATEXPERT. Avtomatska analiza zlonamerne programske opreme. Dostopno prek:
http://www.threatexpert.com/report.aspx?md5=bfb6f015904a30f3742d70b7e064bc0c
(21. 4. 2014).
35. TRATNIK, MONIKA (2002) Osnove raziskovanja v managementu. Koper: Visoka šola
za management.
71
72
36. VAN NIEKERK, JOHAN in VON SOLMS, ROSSOUW (2006) Understanding
information security culture: a conceptual framework. Dostopno prek:
http://icsa.cs.up.ac.za/issa/2006/Proceedings/Full/21_Paper.pdf (19. 5. 2014).
37. VARNI NA INTERNETU. Trojanec, ki krade gesla in certifikate za NLB Klik. Dostopno
prek: https://www.varninainternetu.si/2012/trojanec-ki-krade-gesla-in-certifikate-za-nlbklik/ (20. 4. 2014).
38. VIRUSTOTAL. Analiza zlonamernega programa EC9BF84D53C.exe. Dostopno prek:
https://www.virustotal.com/en/file/7f9f8f9f582811ce3b38ad6cbe73822865288ebf8a48b6
1d7fe7cb76ad1c6209/analysis/ (21. 4. 2014).
39. ZVEZA POTROŠNIKOV SLOVENIJE. Varnost spletnih bank. Dostopno prek:
http://www.zps.si/index.php/osebne-finance-sp-1406526635/varnost-plail/6296-zavarnejo-uporabo-spletne-banke-62013 (21. 4. 2014).
40. 24UR.COM. Banke ponudniki spletnih storitev? Dostopno prek:
http://www2.24ur.com/bin/article_print.php?id=1010192 (15. 4. 2014)
73
PRILOGE
Priloga 1: Anketni vprašalnik
Priloga 2: Tabela vrednosti funkcije ∅
Priloga 3: Zaslonski posnetek rezultatov ankete v segmentu znanja in obnašanja
Priloga 1: Anketni vprašalnik
Vir: Perko, lastni prikaz (2014)
Priloga 2: Tabela vrednosti funkcije ∅
0.00
0.01
0.02
0.03
0.04
0.05
0.06
0.07
0.08
0.09
0.0 0.0000 0.0040 0.0080 0.0120 0.0160 0.0199 0.0239 0.0279 0.0319 0.0359
0.1 0.0398 0.0438 0.0478 0.0517 0.0557 0.0596 0.0636 0.0675 0.0714 0.0753
0.2 0.0793 0.0832 0.0871 0.0910 0.0948 0.0987 0.1026 0.1064 0.1103 0.1141
0.3 0.1179 0.1217 0.1255 0.1293 0.1331 0.1368 0.1406 0.1443 0.1480 0.1517
0.4 0.1554 0.1591 0.1628 0.1664 0.1700 0.1736 0.1772 0.1808 0.1844 0.1879
0.5 0.1915 0.1950 0.1985 0.2019 0.2054 0.2088 0.2123 0.2157 0.2190 0.2224
0.6 0.2257 0.2291 0.2324 0.2357 0.2389 0.2422 0.2454 0.2486 0.2517 0.2549
0.7 0.2580 0.2611 0.2642 0.2673 0.2704 0.2734 0.2764 0.2794 0.2823 0.2852
0.8 0.2881 0.2910 0.2939 0.2967 0.2995 0.3023 0.3051 0.3078 0.3106 0.3133
0.9 0.3159 0.3186 0.3212 0.3238 0.3264 0.3289 0.3315 0.3340 0.3365 0.3389
1.0 0.3413 0.3438 0.3461 0.3485 0.3508 0.3531 0.3554 0.3577 0.3599 0.3621
1.1 0.3643 0.3665 0.3686 0.3708 0.3729 0.3749 0.3770 0.3790 0.3810 0.3830
1.2 0.3849 0.3869 0.3888 0.3907 0.3925 0.3944 0.3962 0.3980 0.3997 0.4015
1.3 0.4032 0.4049 0.4066 0.4082 0.4099 0.4115 0.4131 0.4147 0.4162 0.4177
1.4 0.4192 0.4207 0.4222 0.4236 0.4251 0.4265 0.4279 0.4292 0.4306 0.4319
1.5 0.4332 0.4345 0.4357 0.4370 0.4382 0.4394 0.4406 0.4418 0.4429 0.4441
1.6 0.4452 0.4463 0.4474 0.4484 0.4495 0.4505 0.4515 0.4525 0.4535 0.4545
1.7 0.4554 0.4564 0.4573 0.4582 0.4591 0.4599 0.4608 0.4616 0.4625 0.4633
1.8 0.4641 0.4649 0.4656 0.4664 0.4671 0.4678 0.4686 0.4693 0.4699 0.4706
1.9 0.4713 0.4719 0.4726 0.4732 0.4738 0.4744 0.4750 0.4756 0.4761 0.4767
2.0 0.4772 0.4778 0.4783 0.4788 0.4793 0.4798 0.4803 0.4808 0.4812 0.4817
2.1 0.4821 0.4826 0.4830 0.4834 0.4838 0.4842 0.4846 0.4850 0.4854 0.4857
2.2 0.4861 0.4864 0.4868 0.4871 0.4875 0.4878 0.4881 0.4884 0.4887 0.4890
2.3 0.4893 0.4896 0.4898 0.4901 0.4904 0.4906 0.4909 0.4911 0.4913 0.4916
2.4 0.4918 0.4920 0.4922 0.4925 0.4927 0.4929 0.4931 0.4932 0.4934 0.4936
2.5 0.4938 0.4940 0.4941 0.4943 0.4945 0.4946 0.4948 0.4949 0.4951 0.4952
2.6 0.4953 0.4955 0.4956 0.4957 0.4959 0.4960 0.4961 0.4962 0.4963 0.4964
2.7 0.4965 0.4966 0.4967 0.4968 0.4969 0.4970 0.4971 0.4972 0.4973 0.4974
2.8 0.4974 0.4975 0.4976 0.4977 0.4977 0.4978 0.4979 0.4979 0.4980 0.4981
2.9 0.4981 0.4982 0.4982 0.4983 0.4984 0.4984 0.4985 0.4985 0.4986 0.4986
Vir: Perko, lastni prikaz (2014)
Priloga 3: Zaslonski posnetek rezultatov ankete v segmentu znanja in obnašanja
Vir: Perko, lastni prikaz (2014)