Реферат: Рекомендации клиенту по обеспечению безопасности информации при работе с системой дистанционного банковского обслуживания

РЕКОМЕНДАЦИИ

Клиенту по обеспечению безопасности информации при работе с системой дистанционного банковского обслуживания


За последние несколько месяцев в ряде российских банков участились случаи хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием системы электронного банкинга «ДБО BS-Client» (далее – «Система»).

О сложившейся ситуации

Анализ выявленных ситуаций показал, что хищения денежных средств с расчетных счетов осуществляются:

ответственными сотрудниками предприятия, имевшими доступ к секретным ключам электронно-цифровой подписи (ЭЦП) для Системы, в том числе работающими или уволенными директорами, бухгалтерами и их заместителями;

штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными ключами ЭЦП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по Системе;

нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по Системе;

злоумышленниками путем заражения компьютеров клиентов через уязвимости системного и прикладного программного обеспечения (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных ключей ЭЦП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные конкретному клиенту платежные поручения в большинстве случаев пресекались банковскими сотрудниками на этапе принятия решения об исполнении документов.

В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

^ О мерах по пресечению хищения и использования секретных ключей ЭЦП

Важно понимать, что Банк не имеет доступа к Вашим секретным ключам ЭЦП и не может от Вашего имени сформировать корректную ЭЦП под электронным платежным поручением.

Вся ответственность за конфиденциальность Ваших секретных ключей ЭЦП полностью лежит на Вас, как единственных владельцах секретных ключей ЭЦП.

Банк информирует Вас, что не осуществляет рассылку электронных писем с просьбой прислать секретный ключ ЭЦП или пароль. Банк не рассылает по электронной почте программы для установки на Ваши компьютеры.

^ Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП или есть подозрение в их компрометации (копировании), Вы должны заблокировать свои ключи ЭЦП.

Банк настоящим еще раз информирует Вас о необходимости строгого соблюдения правил информационной безопасности, правил хранения и использования секретных ключей ЭЦП и о необходимости ограничения доступа к персональным компьютерам, с которых осуществляется работа по системе электронного банкинга «ДБО BS-Client».

Действия злоумышленников направлены:

на похищение файла с секретным ключом ЭЦП;

на похищение пароля доступа к ключу;

на передачу в банк электронных платежных документов, заверенных похищенным ключом ЭЦП.

Чтобы воспрепятствовать хищению и использованию Вашего секретного ключа ЭЦП злоумышленниками, требуется придерживаться приведенных ниже правил и рекомендаций.

^ Чтобы предотвратить хищение секретного ключа ЭЦП и пароля доступа к ключу, необходимо:

Осуществлять вход в Систему только через сайт Филиала ЗАО АИБ «Ипотека-Инвест» в г. Москва https://bk.ipinvest.ru (IP адреса 87.245.180.2). В случае отсутствия возможности подключения к сайту сообщить об этом Администратору Системы по телефону: (499) 972-69-87

Использовать для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, флеш-диски.

Отключать, извлекать носители с ключами ЭЦП, если они не используются для работы с «ДБО BS-Client».

Ограничить доступ к компьютерам, используемым для работы с «ДБО BS-Client». Исключить доступ к компьютерам персонала, не имеющего отношения к работе с «ДБО BS-Client»

На компьютерах, используемых для работы с «ДБО BS-Client», исключить посещение Интернет сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т. п. Запретить доступ из сети Интернет к компьютерам, используемым для работы по Системе.

Отключить возможность терминального соединения к компьютерам, используемым для работы по Системе, заблокировать 3389 (RDP Remote desktop).

Отключить "Гостевой доступ" - заблокировать локальную учетную запись Guest.

Включить в операционной системе журнал безопасности Windows.

В качестве АРМ для работы в системе «Клиент-Банк» крайне не рекомендуется выбирать переносной компьютер (ноутбук). Если Вами выбран ноутбук, постарайтесь не подключать ноутбук к сетям общего доступа в местах свободного доступа в Интернет (Интернет-кафе, гостиницы, офисные центры и т.д.).

Перейти к использованию лицензионного ПО (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного ПО.

Применять на рабочем месте лицензионные средства антивирусной защиты, обеспечить возможность автоматического обновления антивирусных баз.

Применять на рабочем месте специализированные программные средства безопасности: персональные файрволы, антишпионское программное обеспечение и т.п.

Исключить обслуживание компьютеров, используемых для работы с «ДБО BS-Client»,
нелояльными ИТ-сотрудниками.

При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.

Никогда не передавать ключи ЭЦП ИТ-сотрудникам для проверки работы «ДБО BS-Client», проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа «ДБО BS-Client», и лично ввести пароль, исключая его подсматривание.

При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно позвонить в банк и заблокировать ключ ЭЦП.

При увольнении сотрудника, имевшего технический доступ к секретному ключу ЭЦП, обязательно позвонить в банк и заблокировать ключ ЭЦП.

При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с «ДБО BS-Client», принять меры для обеспечения отсутствия вредоносных программ на компьютерах.

При возникновении любых подозрений на компрометацию (копирование) секретных ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) – обязательно позвонить в банк и заблокировать ключи ЭЦП.

Если Вы заметили проявление необычного поведения ПО «ДБО BS-Client» или какие-то изменения в интерфейсе программы – позвонить в банк и выяснить, не связаны ли такие изменения с обновлением версии программного обеспечения. Если нет – заблокировать ключи ЭЦП.

^ Чтобы пресечь использование ключей ЭЦП злоумышленниками, необходимо:

Исключить возможность использования Ваших ключей ЭЦП на рабочих местах вне вашего офиса. Для этого необходимо обратиться в Банк с просьбой разрешить работу с системой «ДБО BS-Client» только с указанных Вами IP-адресов и IP-сетей. В список разрешенных Вы можете включить неограниченное количество IP-адресов и IP-сетей, чтобы обеспечить нормальную работу всех своих филиалов, площадок и пр.

Попытки доступа с неразрешенного IP-адреса будут блокированы системой и расследованы службой безопасности банка.

Для получения дополнительной информации обращайтесь в банковскую службу поддержки пользователей системы «ДБО BS-Client» по телефонам (499) 972-69-87.


Филиал ЗАО АИБ «ИПОТЕКА-ИНВЕСТ» в г. Москва