Информационная безопасность

Риски при работе с системой Клиент-Банк (iBank2)


За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием системы Клиент-Банк.
Хищения денежных средств с расчетных счетов чаще всего осуществляются:

 

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.
Платежи направленные злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывали подозрений у банков. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.


Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП


Если есть подозрение в компрометации (копировании) секретных ключей ЭЦП, Вы должны немедленно заблокировать свои ключи ЭЦП. Это можно сделать двумя способами:

 

Для продолжения работы в системе Клиент-Банк Вам потребуется сгенерировать и зарегистрировать в Банке новые ключи ЭЦП.
Внимание! Изменение пароля доступа к секретному ключу ЭЦП не защищает от использования злоумышленником ранее похищенного ключа.


Рекомендации по информационной безопасности при работе с системой Клиент-Банк.


Чтобы максимально обезопасить Вас от хищения секретного ключа ЭЦП и пароля доступа к ключу, необходимо выполнение ряда простых правил:

Применяйте общие организационно – технические меры обеспечения защиты информации :

  1. Обратите внимание вашего системного администратора на необходимость постоянной заботы о безопасности системы Клиент-Банк.
  2. Используйте на Вашем компьютере только лицензионное, регулярно обновляемое программное обеспечение (ПО), как системное так и прикладное. Постарайтесь ограничить использование на рабочей станции ПО, не относящегося к системе Клиент – Банк. Предпочтительно иметь выделенную рабочую станцию, предназначенную  исключительно для работы с системой Клиент - Банк.
  3. На Вашем рабочем месте (в рабочей локальной сети) должен быть установлен антивирус с ежедневно обновляемыми базами. Как можно чаще проводите полное сканирование ПК. Вам необходимо обратить особое внимание на выбор антивирусной программы и ее настройку. Старайтесь избегать бесплатных и малоизвестных программных продуктов.
  4. Ваш компьютер должен быть защищен от доступа из сети Интернет или локальной сети третьих лиц персональным (или корпоративным) файрволом. Рекомендуется ограничить доступ в Интернет с ПК, на котором установлена система Клиент-Банк. В идеальном случае доступ у пользователя должен быть только к сайтам системы Клиент-Банк.
  5. На компьютерах, используемых для работы с системой Клиент-Банк, исключите работу под правами администратора, и, как минимум, ограничьте права пользователей на загрузку и  установку программного обеспечения.
  6. Рекомендуется физически ограничить доступ к ПК с установленной системой Клиент-Банк.
  7. Исключите обслуживание компьютеров, используемых для работы с iBank2, ненадежными ИТ-сотрудниками. При обслуживании компьютера ИТ-сотрудниками - обеспечивайте контроль над выполняемыми ими действиями. Никогда не передавайте ключи ЭЦП ИТ-сотрудникам для проверки работы системы Клиент-Банк, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок владелец ключа ЭЦП должен  лично подключить носитель к компьютеру и  ввести пароль, исключая его подсматривание.
  8. Если Вы заметили проявление необычного поведения ПО системы Клиент-Банк или какие-то изменения в интерфейсе программы, обязательно позвоните в банк, чтобы выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет - возможно, изменения вызваны работой программы-шпиона. В этом случае, необходимо как можно скорее обратиться в Банк для блокирования работы системы Клиент – Банк в порядке, установленном условиями обслуживания по системе Клиент - Банк.
  9. Не используйте для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, USB-носители, жесткие и CD/DVD-диски.
  10. Помните, что сотрудники Банка никогда не спрашивают у клиентов пароли к ключам ЭЦП и одноразовые пароли. Если кто-либо задает Вам такие вопросы в электронном письме или по телефону – скорее всего это злоумышленники.

Используйте специализированные средства обеспечения защиты информации, а также следуйте рекомендациям по их использованию:

  1. Настоятельно рекомендуем использовать дополнительные средства защиты информации:
  2. Назначайте безопасный пароль для ваших ключей ЭЦП. Пароль не должен состоять из одних цифр, не должен быть слишком коротким и состоять из символов, находящихся на одной линии на клавиатуре, пароль должен содержать в себе как заглавные, так и строчные буквы, цифры и специальные символы. Не назначайте в качестве пароля значимое слово (Ваше имя, дата рождения, девичья фамилия жены и т.д.). Пароль должен вводиться только владельцем ключа! Не доверяйте ввод пароля другим лицам (даже вашему системному администратору). Никогда не записывайте пароли от ключей ЭЦП.
  3. Отключайте и извлекайте носители с ключами ЭЦП в то время, когда они не используются для работы с системой Клиент-Банк. Носители с ключами ЭЦП, OTP- токены необходимо хранить в недоступном для третьих лиц месте.
  4. Помните о недопустимости передачи носителей  с ключами ЭЦП третьим лицам. Передав кому-либо носитель с ключами, владелец ЭЦП фактически подписывает платежный документ, в котором злоумышленник может поставить любую сумму и любого контрагента.
  5. При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно заблокируйте ключи ЭЦП и сгенерируйте новые. При увольнении сотрудника, имевшего технологический доступ к секретному ключу ЭЦП, обязательно заблокируйте ключи ЭЦП и сгенерируйте новые. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой Клиент-Банк, примите меры для проверки компьютеров на отсутствие вредоносных программ.
  6. Подтверждая OTP-токеном платежные документы, внимательно проверяйте их реквизиты – наименование контрагента, счет, сумму и пр.
  7. При возникновении любых подозрений на компрометацию (копирование) ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) - обязательно заблокируйте ключи ЭЦП и сгенерируйте новые.

Если у Вас есть вопросы по организации безопасной работы с системой Клиент-Банк – задайте их нам по телефонам + 7 495 969-29-63 (служба технической поддержки) или  + 7 495 969-29-58 (отдел информационной безопасности), мы будем рады Вам помочь.

Обратная связь

Закрыть