На главную Поиск Карта сайта E-mail
ОАО АКБ Проминвестбанк


Информационная безопасность

Риски при работе с системой Клиент-Банк (iBank2)

За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием системы Клиент-Банк.
Хищения денежных средств с расчетных счетов чаще всего осуществляются:

 

  • ответственными сотрудниками предприятия, имевшими доступ к секретным ключам ЭЦП для системы Клиент-Банк, в том числе работающими или уволенными директорами, бухгалтерами и их заместителями;
  • штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными ключами ЭЦП (дискеты, флэш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе Клиент-Банк;
  • нештатными ИТ-специалистами, приходящими по вызову, и выполняющими профилактику и подключение к Интернету, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютерах, с которых осуществлялась работа по системе Клиент-Банк;
  • злоумышленниками путем заражения компьютеров клиентов специальными вирусными программами через уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных ключей ЭЦП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.
Платежи направленные злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывали подозрений у банков. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП

Если есть подозрение в компрометации (копировании) секретных ключей ЭЦП, Вы должны немедленно заблокировать свои ключи ЭЦП. Это можно сделать двумя способами:

 

  • позвонить в Банк и назвать блокировочное слово;
  • прийти в Банк лично с документами, удостоверяющими личность.

Для продолжения работы в системе Клиент-Банк Вам потребуется сгенерировать и зарегистрировать в Банке новые ключи ЭЦП.
Внимание! Изменение пароля доступа к секретному ключу ЭЦП не защищает от использования злоумышленником ранее похищенного ключа.

Рекомендации по информационной безопасности при работе с системой Клиент-Банк.

Чтобы максимально обезопасить Вас от хищения секретного ключа ЭЦП и пароля доступа к ключу, необходимо выполнение ряда простых правил:

Применяйте общие организационно – технические меры обеспечения защиты информации :

  1. Обратите внимание вашего системного администратора на необходимость постоянной заботы о безопасности системы Клиент-Банк.
  2. Используйте на Вашем компьютере только лицензионное, регулярно обновляемое программное обеспечение (ПО), как системное так и прикладное. Постарайтесь ограничить использование на рабочей станции ПО, не относящегося к системе Клиент – Банк. Предпочтительно иметь выделенную рабочую станцию, предназначенную  исключительно для работы с системой Клиент - Банк.
  3. На Вашем рабочем месте (в рабочей локальной сети) должен быть установлен антивирус с ежедневно обновляемыми базами. Как можно чаще проводите полное сканирование ПК. Вам необходимо обратить особое внимание на выбор антивирусной программы и ее настройку. Старайтесь избегать бесплатных и малоизвестных программных продуктов.
  4. Ваш компьютер должен быть защищен от доступа из сети Интернет или локальной сети третьих лиц персональным (или корпоративным) файрволом. Рекомендуется ограничить доступ в Интернет с ПК, на котором установлена система Клиент-Банк. В идеальном случае доступ у пользователя должен быть только к сайтам системы Клиент-Банк.
  5. На компьютерах, используемых для работы с системой Клиент-Банк, исключите работу под правами администратора, и, как минимум, ограничьте права пользователей на загрузку и  установку программного обеспечения.
  6. Рекомендуется физически ограничить доступ к ПК с установленной системой Клиент-Банк.
  7. Исключите обслуживание компьютеров, используемых для работы с iBank2, ненадежными ИТ-сотрудниками. При обслуживании компьютера ИТ-сотрудниками - обеспечивайте контроль над выполняемыми ими действиями. Никогда не передавайте ключи ЭЦП ИТ-сотрудникам для проверки работы системы Клиент-Банк, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок владелец ключа ЭЦП должен  лично подключить носитель к компьютеру и  ввести пароль, исключая его подсматривание.
  8. Если Вы заметили проявление необычного поведения ПО системы Клиент-Банк или какие-то изменения в интерфейсе программы, обязательно позвоните в банк, чтобы выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет - возможно, изменения вызваны работой программы-шпиона. В этом случае, необходимо как можно скорее обратиться в Банк для блокирования работы системы Клиент – Банк в порядке, установленном условиями обслуживания по системе Клиент - Банк.
  9. Не используйте для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, USB-носители, жесткие и CD/DVD-диски.
  10. Помните, что сотрудники Банка никогда не спрашивают у клиентов пароли к ключам ЭЦП и одноразовые пароли. Если кто-либо задает Вам такие вопросы в электронном письме или по телефону – скорее всего это злоумышленники.

Используйте специализированные средства обеспечения защиты информации, а также следуйте рекомендациям по их использованию:

  1. Настоятельно рекомендуем использовать дополнительные средства защиты информации:
  2. Назначайте безопасный пароль для ваших ключей ЭЦП. Пароль не должен состоять из одних цифр, не должен быть слишком коротким и состоять из символов, находящихся на одной линии на клавиатуре, пароль должен содержать в себе как заглавные, так и строчные буквы, цифры и специальные символы. Не назначайте в качестве пароля значимое слово (Ваше имя, дата рождения, девичья фамилия жены и т.д.). Пароль должен вводиться только владельцем ключа! Не доверяйте ввод пароля другим лицам (даже вашему системному администратору). Никогда не записывайте пароли от ключей ЭЦП.
  3. Отключайте и извлекайте носители с ключами ЭЦП в то время, когда они не используются для работы с системой Клиент-Банк. Носители с ключами ЭЦП, OTP- токены, MAC – токены необходимо хранить в недоступном для третьих лиц месте.
  4. Помните о недопустимости передачи носителей  с ключами ЭЦП третьим лицам. Передав кому-либо носитель с ключами, владелец ЭЦП фактически подписывает платежный документ, в котором злоумышленник может поставить любую сумму и любого контрагента.
  5. При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно заблокируйте ключи ЭЦП и сгенерируйте новые. При увольнении сотрудника, имевшего технологический доступ к секретному ключу ЭЦП, обязательно заблокируйте ключи ЭЦП и сгенерируйте новые. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой Клиент-Банк, примите меры для проверки компьютеров на отсутствие вредоносных программ.
  6. Подтверждая OTP-токеном платежные документы, внимательно проверяйте их реквизиты – наименование контрагента, счет, сумму и пр.
  7. При возникновении любых подозрений на компрометацию (копирование) ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) - обязательно заблокируйте ключи ЭЦП и сгенерируйте новые.

Если у Вас есть вопросы по организации безопасной работы с системой Клиент-Банк – задайте их нам по телефонам + 7 495 969-29-63 (служба технической поддержки) или  + 7 495 969-29-58 (отдел информационной безопасности), мы будем рады Вам помочь.



Документы:
Акт активации дополнительных мер безопасности в системе Клиент-Банк (276 KB)
Памятка Клиента по использованию ОТР-токена (141 KB)
Заявление на активацию дополнительных мер безопасности в системе Клиент-Банк (267 KB)
Мониторинг iBank2 (339 KB)
Акт по обеспечению безопасности хранения ключевой информации при работе с системой Клиент-Банк (276 KB)
Заявление на установку дополнительных параметров в системе Клиент-Банк (333 KB)


Ссылки:
Специальное оборудование USB-Токен
Специальное оборудование OTP-Токен
Специальное оборудование MAC-Токен
SMS и e-mail информирование

Контактная информация:

г. Москва, м. Китай-Город, ул. Маросейка, д. 9/2, стр. 1
Телефоны: (495) 969-2-969
Факс: (495) 782-18-18

Rambler's Top100

English version Русская версия