Pohled bezpečnostního odborníka na problematiku dialerů ve vztahu k řešení problémů mezi zákazníky, poskytovateli služeb a úřady, kterých se tato problematika dotýká. Text Jiřího Nápravníka přináší i návrhy řešení - mělo by to být snadné, například oddělit datová připojení k placeným službám od přístupu na běžný internet.
rvní, co chci na úvod zdůraznit, je fakt, že přístup k informačním serverům přes linky s vyššími tarify může být jednoduchou a naprosto korektní cestou, jak snadno vybírat malé částky od návštěvníků. Takovýto způsob se nemusí týkat pouze často zmiňované erotiky, ale může se jednat o virtuální kasino, daňové či právní poradenství, informační databanky apod. Jenže díky podvodníkům mají tyto linky velmi špatnou pověst a kdokoliv by zkusil vybírat i třeba malé částky tímto způsobem, dostane okamžitě cejch podvodníka a zloděje.
Úplné zablokování linek 976
Nejsnazším řešením, jak se vyhnout problému s dialery, by bylo zablokování linek s předčíslím 976, povolit by je bylo možné teprve na žádost uživatele. Tak to má ve své síti nastaveno například Oskar. Jenže Oskar je nejmladší z mobilních operátorů a na jeho chování je to znát. Naproti tomu klasičtí telekomunikační operátoři jdou cestou vše povolit a následně řešit případné reklamace. Z pohledu práva, resp. podmínek nastavených v telekomunikačním prostředí v ČR, jsou oba způsoby možné. Je však otázkou, komu se zvolený přístup víc vyplácí.
Paradoxem je porovnání příjmů ze zprostředkování spojení na linky s vysokým tarifem na jedné straně a náklady na reklamační řízení, kdy klient reklamuje spojení provedené dialerem, na straně druhé. Pokud budeme počítat, že telekomunikační operátor má z uskutečněného spojení provizi ve výši do 10 %, tak jakmile dialer okrade klienta o deset tisíc, připadne1000 korun telekomunikačnímu operátorovi, u kterého má poškozený zřízenu telefonní stanici.
Klient pak podá reklamaci, která u operátora spustí procesy spojené s ověřením oprávněnosti či neoprávněnosti reklamace. To v praxi znamená, že ke klientovi přijedou pracovníci telekomunikačního operátora a budou zkoumat telefonní vedení. Na něm nic nevyzkoumají a po několika hodinách odjedou. Následně je klientova reklamace zamítnuta.
Již v tuto chvíli se domnívám, že náklady na reklamaci mohou překročit zisk operátora ze zprostředkování spojení. To ale nemusí být všechny náklady telekomunikačního operátora spojené s takovým případem. Klient se proti zamítnutí reklamace může odvolat k ČTÚ, kde se prověřovací procedura opakuje, takže telefonní linku přijedou zkoumat pracovníci ČTÚ, kteří si přizvou zástupce operátora. V takovém případě je zisk ze zprostředkování spojení pryč a náklady rostou. Klient se rozhodne nezaplatit nebo zaplatí až po odpojení telefonu. Telekomunikační operátor nakonec své peníze dostane, ale se zpožděním, a ještě k tomu má o dalšího nespokojeného zákazníka víc.
Nastavení pravidel pro provoz linek s vyšším tarifem
Je zajímavé číst si o tom, že se telekomunikační operátoři dohodli. Jenže jejich dohoda je plná kompromisů, podobně jako když se na něčem musí shodnout politici z pravicových a levicových stran. Na rozdíl od politiků mají (měli by mít) telekomunikační operátoři výhodu v tom, že je zde rozhodčí, který určuje pravidla hry a současně má pravomoci dohlížet na jejich dodržování. Mám na mysli Český telekomunikační úřad.
Tento úřad na podzim roku 2004 dokázal své pravomoci svým stanoviskem, které se týkalo zakázání přístupu do sítě internet přes geografická (místní) čísla 2-Praha, 5-Brno, 56 –Jihlavsko… To znamená, že pokud je možné omezit přístup do internetu přes jednu skupinu čísel, lze přístup omezit i přes jinou skupinu, konkrétně přes předčíslí 976.
V praxi by to mohlo vypadat tak, že předčíslí 971 je určeno pro přístup do sítě internet a čísla s předčíslím 976 jsou určena pro přístup k datovým službám (poradenství, kasino, erotika, fotobanka apod.) mimo síť internet. Součástí podmínek pro provoz serverů za číslem začínajícím 976 by byla podmínka, že provozovatel je povinen zajistit oddělení těchto serverů od sítě internet. Pokud by to provozovatel nezajistil, jednalo by se o porušení podmínek stanovených regulátorem telekomunikačního trhu.
Oddělte sítě!
Podmínky dané regulátorem mají samozřejmě vyšší vážnost než prostá dohoda mezi operátory. Pokud by již uživatel chytil nějaký dialer, tak by po připojení zjistil, že nemá dostupný Seznam, Atlas, Centrum nebo Google, a po několika neúspěšných pokusech by se odpojil a začal hledat chybu v připojování. Už tato jednoduchá úprava by znamenala, že by uživatele dialery neokradly o tisíce nebo desetitisíce, ale jen o deseti, případně stokoruny. Pokud by přeci jenom nějaký provozovatel propojil své servery za číslem 976 se sítí internet, tak by měli telekomunikační operátoři oprávnění nevyplatit mu peníze pro závažné porušení podmínek provozu.
Další důležitou pojistkou by mělo být důvěryhodné a průkazné potvrzení objednávky, ale zatím jsem o tom neslyšel ani slovo od telekomunikačních operátorů nebo ČTÚ. To, co obsahuje návrh APVTS, je snaha, ale bohužel pouze polovičatá snaha. Přitom řešení není nutné komplikovaně vyvíjet či hledat na druhém konci zeměkoule.
Funkční a spolehlivé řešení používají elektronické obchody, fotolaby - myslím tím například kontaktní e-mail, který musí klient potvrdit, případně v tomto e-mailu nalezne přístupové heslo apod. To, co navrhují telekomunikační operátoři, je možné obejít, ostatně oni sami to připouštějí. A ten, kdo se alespoň trochu orientuje v prostředí počítačových virů, dobře ví, že není problém vytvořit prográmek, který bez vědomí klienta vyplní formulář a stiskne tlačítko.
Není seznam uživatelů linek s vysokým tarifem
Je to s podivem, ale dodnes neexistuje telefonní seznam osob (fyzických nebo právnických), které si od telekomunikačních operátorů pronajaly konkrétní číslo 9XXXXX . Telekomunikační operátoři argumentují tím, že se jedná o obchodní tajemství a záležitost mezi jejich firmou a zákazníkem. To by podle mne bylo přípustné a pochopitelné, pokud by klient, jehož identitu utajují, nepoužíval pronajaté číslo k vydělávání peněz. Takový automechanik, truhlář nebo jiný podnikatel také musí mít viditelně označenu svoji provozovnu.
Umístění, předmět podnikání a vlastník (pronajímatel) “provozovny” na telekomunikační síti může být utajován a nikdo ze státních úřadů, včetně ČTÚ, proti tomu nezasáhne. Takže se stávalo a stává, že klient byl podveden a telekomunikační operátor mu nechce prozradit, kdo jej připravil o peníze. Řešení by přitom bylo velmi jednoduché. Součástí podmínek pro používání linek se zvýšeným tarifem (976) by byla i povinnost pronájemce linky sdělit regulátorovi své identifikační údaje a popis služby, která bude na pronajatých číslech provozována.
Roky zkušeností a nezájem úředníků
S dialery jsem se poprvé v praxi setkal v roce 2002, kdy jsem pomáhal jednomu poškozenému se zkoumáním počítače, ve kterém jsem nalezl funkční a aktualizovaný antivir a vedle něho také funkční dialer (IEAccess). V případě dialerů jsem se v počátcích setkával s názory, že ti poškození byli erotomani a úchyláci, a tudíž jim to patří. Pokud takový názor řekne Pepa informatik, tak to nikdo nebere moc vážně, jenže pokud má takový názor soudní znalec a člen legislativní rady, tak to může způsobit poškozeným mnoho nesnází. To se také stalo. V tomto případě vidím paralelu s případy vykradených bankovních účtů přes internetové bankovnictví.
Informatici z banky prudce napadali můj názor, že mají díry ve svých řešeních a nerozeznají oprávněnou operaci od podvodu. Pochybovali o mé kvalifikaci a již zmíněný soudní znalec dokonce na Digiwebu prohlásil, že chci poškodit dobré jméno bank. Jenže několik pachatelů policie vypátrala a především v jednom případě vydal Finanční arbitr rozhodnutí, že banka je povinna vrátit klientovi na účty peníze, které z nich převedl bez jeho vědomí podvodník. Jedním z hlavních argumentů byla skutečnost, že dotyčná banka má nedostatečně zabezpečeno své řešení internetového bankovnictví.
Internet banking a dialery jsou na první pohled naprosto odlišné skupiny problémů. Avšak při řešení obou těchto skupin podvodů, které byly spáchány na běžných uživatelích, je vidět arogance a přezíravost úředníků, podpora rozvoje internetu se v takových případech mění v prosté reklamní fráze.
Neznalost a arogance
Velká část problémů je daná arogancí a nezájmem o problémy běžných uživatelů, ale další část tvoří neznalost a nezkušenost. Jak jinak si vysvětlit případy, kdy se objeví lavina výherních dopisů nebo telefonátů, které vybízejí příjemce, aby zavolal na uvedené číslo a domluvil si převzetí výhry. Tehdy telekomunikační operátoři i ČTÚ reagují okamžitě. Možná proto, že v takovém případě si dokáží představit princip podvodu, ale provedení podvodu přes počítač je pro ně stále nesrozumitelné.
Rozčarováním pak byl hlavně přístup předsedy ČTÚ k problematice dialerů. V průběhu podzimu 2004 jsem dělal pro zaměstnance ČTÚ sérii tří přednášek na téma dialery. Tyto přednášky jsem doplnil i o návrhy řešení. Příjemně mne překvapili řadoví pracovníci i vedoucí z tohoto úřadu, kteří se zajímali, jak problém s dialery řešit. Zájem měli všichni, mimo jednoho - předsedy ČTÚ.
Jenže doba postupuje kupředu a úředníci, dohlížející na telekomunikační trh, si musí rozšiřovat své znalosti, nebo uvolnit své místo jiným. Tím prvním impulzem může být i změna zákona, který se již nejmenuje telekomunikační (zákon o telefonech, faxech a dálnopisech), ale jde o zákon o elektronických komunikacích.
Uvidíme, zda se něco změní a zda předsednictvo úřadu bude doplněno o lidi, kteří nejenže rozumějí telefonům a VF vysílačům, ale orientují se i v prostředí moderních počítačových sítí. Dosavadní zkušenosti s dialery či internetovým bankovnictvím ukazují, že tuto problematiku úředníci nechápou, a přesto o ní rozhodují a jako vždy na to doplácí běžný uživatel. Takhle se informační společnost nebuduje.
P.S.
Možná může někdo namítnout, že o dialerech píši v době, kdy je to všem známé. Jednak se domnívám, že běžní uživatelé, a dokonce i někteří informatici, v tom nemají dodnes jasno, čehož důkazem je zpráva APVTS. Hlavně však, když jsem to říkal vloni a předloni, tak mne, stejně jako v případě vykrádání internetového bankovnictví, téměř nikdo nechtěl poslouchat (viz. článek na Digiwebu).
Autorem textu je Jiří Nápravník ze společnosti Salamandr, která se specializuje na problematiku bezpečnosti informačních systémů (napravnik.jiri@salamandr.cz).
