 |
Риски при работе с системой Клиент-Банк (iBank2)
За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств с расчетных счетов корпоративных клиентов путем совершения платежей с использованием системы Клиент-Банк.
Хищения денежных средств с расчетных счетов чаще всего осуществляются:
- ответственными сотрудниками предприятия, имевшими доступ к секретным ключам ЭЦП для системы Клиент-Банк, в том числе работающими или уволенными директорами, бухгалтерами и их заместителями;
- штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными ключами ЭЦП (дискеты, флэш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе Клиент-Банк;
- нештатными ИТ-специалистами, приходящими по вызову, и выполняющими профилактику и подключение к Интернету, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютерах, с которых осуществлялась работа по системе Клиент-Банк;
- злоумышленниками путем заражения компьютеров клиентов специальными вирусными программами через уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных ключей ЭЦП и паролей.
Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.
Платежи направленные злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывали подозрений у банков. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.
Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП
Если есть подозрение в компрометации (копировании) секретных ключей ЭЦП, Вы должны немедленно заблокировать свои ключи ЭЦП. Это можно сделать двумя способами:
- позвонить в Банк и назвать блокировочное слово;
- прийти в Банк лично с документами, удостоверяющими личность.
Для продолжения работы в системе Клиент-Банк Вам потребуется сгенерировать и зарегистрировать в Банке новые ключи ЭЦП.
Внимание! Изменение пароля доступа к секретному ключу ЭЦП не защищает от использования злоумышленником ранее похищенного ключа.
Рекомендации по информационной безопасности при работе с системой Клиент-Банк.
Чтобы предотвратить хищение секретного ключа ЭЦП и пароля доступа к ключу, необходимо:
- Использовать для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, флеш-носители, CD-диски, специализированные устройства. Настоятельно рекомендуется использование защищенного хранения секретных ключей ЭЦП "iBank 2 Key".
- Отключать и извлекать носители с ключами ЭЦП в то время, когда они не используются для работы с системой Клиент-Банк.
- По возможности ограничить доступ к компьютерам, используемым для работы с системой Клиент-Банк. На компьютерах, используемых для работы с системой Клиент-Банк, исключить посещение Интернет-сайтов сомнительного содержания, загрузку и установку сомнительного ПО и т. п.
- На компьютерах, используемых для работы с системой Клиент-Банк, исключить работу под правами администратора.
- Применять на рабочем месте (в рабочей локальной сети) надежные, по возможности лицензионные средства антивирусной защиты, обеспечить регулярное автоматическое обновления антивирусных баз.
- Применять на рабочем месте специализированные программные средства безопасности: персональные фаерволы, достаточные (средние и выше) параметры безопасности и конфиденциальности Вашего интернет-браузера и т.п.
- Исключить обслуживание компьютеров, используемых для работы с iBank2, ненадежными ИТ-сотрудниками. При обслуживании компьютера ИТ-сотрудниками - обеспечивать контроль за выполняемыми ими действиями. Никогда не передавать ключи ЭЦП ИТ-сотрудникам для проверки работы системы Клиент-Банк, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен сам подключить носитель к компьютеру и лично ввести пароль, исключая его подсматривание.
- При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно заблокировать ключи ЭЦП и сгенерировать новые. При увольнении сотрудника, имевшего технологический доступ к секретному ключу ЭЦП, обязательно заблокировать ключи ЭЦП и сгенерировать новые. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой Клиент-Банк, принять меры для проверки компьютеров на отсутствие вредоносных программ.
При возникновении любых подозрений на компрометацию (копирование) ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) - обязательно заблокировать ключи ЭЦП и сгенерировать новые.
Если Вы заметили проявление необычного поведения ПО системы Клиент-Банк или какие-то изменения в интерфейсе программы - необходимо позвонить в банк и выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет - возможно, изменения вызваны работой программы-шпиона. Обязательно сразу же заблокировать ключи ЭЦП и сообщить в Банк.
Дополнительные меры безопасности
Чтобы минимизировать риски нелегального использования ключей ЭЦП злоумышленниками, можно принять следующие дополнительные меры безопасности.
- Использовать механизм IP-фильтрации.
Для этого необходимо обратиться в Банк с просьбой разрешить работу с системой "iBank2" только с указанных Вами IP-адресов и IP-сетей. В список разрешенных Вы можете включить неограниченное количество IP-адресов и IP-сетей, чтобы обеспечить нормальную работу всех своих филиалов, площадок и пр. Заявку на активацию механизма IP-фильтрации в системе "Клиент-Банк" вы можете получить на сайте банка. Также бланк заявления можно получить у ответственного сотрудника в Банке, обратившись в операционный отдел.
Попытки доступа с неразрешенного IP-адреса будут блокированы системой. Вы будете информированы Банком о попытке взлома.
- Использовать защищенное хранилище секретных ключей ЭЦП.
В качестве радикальной меры для противодействия хищениям вредоносными программами (троянами) секретных ключей ЭЦП, настоятельно рекомендуем осуществить переход от использования файлов с секретными ключами ЭЦП к использованию "iBank 2 Key" - защищенного хранения секретных ключей ЭЦП.
"iBank 2 Key" представляют собой устройство для защищенного хранения секретных ключей ЭЦП клиента, в результате невозможно копирование секретного ключа ЭЦП.
- Использовать две подписи для подписи документов.
Рекомендуем для отправки документов в Банк использовать две разные подписи и подписывать документы на разных компьютерах. Эта мера ограничит возможности злоумышленника, так как ему придётся завладеть двумя ключами или установить вредоносное программное обеспечение на два компьютера.
 |
Документы: |
|
Ссылки: |
|
|
