Информационная безопасность и меры предосторожности при дистанционном банковском обслуживании Уважаемые клиенты ООО «Примтеркомбанк»! Для предотвращения попыток хищения денежных средств со счетов клиентов с применением информационных технологий, представляем памятку по соблюдению мер информационной безопасности, которые помогут вам обеспечить безопасность ваших средств и информации. Защита платежной информации в системе Банк-Клиент основана на базе использования сертифицированной системы криптозащиты с несимметричным ключом, которым шифруются все сообщения по системе. На практике это позволяет гарантировать, невозможность подделки электронного документа, подписанного владельцем секретной части ключа, без доступа к этому ключу. Т.е. банк и третьи лица не имеют физической возможности отправить платеж от имени клиента. Для этого нужен секретный ключ. Кроме того в нашей новой системе ДБО дополнительно используется система sms-информирования и подтверждения операций. К сожалению, способы которыми злоумышленники могут получить доступ к секретному ключу клиента, перехвата одноразового пароля, перенаправления ссылки на сайт в случае интернет-клиента и пр. постоянно совершенствуются. Поэтому соблюдение мер информационной безопасности выходит на первый план. Без их соблюдения, в современных реалиях гарантировать безопасность средств клиентов невозможно. Какие бы ни были совершенными программные средства, если пользователь не соблюдает элементарных принципов безопасности, защититься от злоумышленников невозможно. Практика показывает, что клиенты часто без должного внимания относятся к необходимости соблюдать определенные требования при работе с системами дистанционного обслуживания, и начинают предпринимать какие либо меры, когда средства уже похищены. Наш банк давно работает в сфере услуг предоставления дистанционного доступа к счету, постоянно отслеживает ситуацию в отрасли и к сожалению, вынужден констатировать, что большая часть клиентов относится к мерам информационной безопасности без должного внимания. К персональным компьютерам, с которых осуществляется работа, имеют доступ неуполномоченные сотрудники. На них установлено нелицензионное и вообще постороннее программное обеспечение. Компьютеры не защищены межсетевыми экранами и с них регулярно осуществляется работа с сетью интернет. В случае интернет-банкинга часто используется незащищенный компьютер, например из интернет-кафе. Все эти факты ведут к тому, что рабочие места, на которых функционирует система дистанционного банковского обслуживания, заражается вредоносными программами, через которые злоумышленники получают возможность управлять компьютером. Для общего сведения – достаточно одного! посещения сайта с зараженным контентом, чтобы злоумышленник получил полный! контроль над компьютером, с которого вы отправляете свои платежи. В связи с имеющимися в практике у многих банков случаями, когда из-за несоблюдения мер безопасности секретные ключи клиента были похищены, и с их помощью от имени клиента выведены денежные средства, еще раз рассылаем меры компьютерной безопасности, которые необходимо соблюдать при работе с системой дистанционного банковского обслуживания. 1. В случае использования нового интернет-клиента используйте для работы только свой компьютер. Ни в коем случае не заходите в систему с чужого компьютера. 2. В случае использования Интернет-Клиента заходите на сайт системы только с сайта нашего банка или набирая адрес в адресной строке. Ни в коем случае не заходите со ссылок из электронной почты или других сайтов. 3. Ограничивайте доступ к компьютеру с системой дистанционного банковского обслуживания (как в случае использования интернет-клиента, так и в случае традиционного BSClient v.3). 4. Используйте для хранения файлов с секретными (закрытыми) ключами ЭЦП съемные носители. 5. Ключи должны хранится ТОЛЬКО у их владельца. Недопустимо, когда ключи просто вставлены в компьютер. Запирайте ключи в сейф когда их не пользуете. 6. Используйте компьютер только для работы с системой "Банк-клиент". 7. Защищайте компьютер, на котором функционирует система ДБО межсетевыми сетевыми экранами. 8. Исключите посещение с данного компьютера интернет-сайтов, загрузку и установку нелицензионного программного обеспечения. 9. Используйте только лицензионное ПО (операционные системы, офисные пакеты и пр.), обеспечьте автоматическое обновление системного и прикладного ПО. 10. Применяйте на рабочем месте лицензированные средства антивирусной защиты, чтобы обеспечить возможность автоматического обновления антивирусных баз до актуального состояния. 11. При обслуживании компьютера ИТ-сотрудниками – обеспечьте контроль за выполняемыми ими действиями. 12. Не передавайте ключи ЭЦП ИТ-сотрудникам для проверки работы системы "Банкклиент", проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа системы, и лично ввести пароль, исключая его подсматривание. 13. При увольнении ответственного сотрудника, имевшего доступ к секретному (закрытому) ключу ЭЦП, обязательно позвоните в банк и заблокируйте ключ ЭЦП. 14. При увольнении сотрудника, имевшего технический доступ к секретному (закрытому) ключу ЭЦП, обязательно позвоните в банк и заблокируйте ключ ЭЦП. 15. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой "Банк-клиент", произведите проверку антивирусными средствами для обеспечения отсутствия вредоносных программ на компьютерах. 16. При возникновении подозрений на компрометацию (копирование) секретных (закрытых) ключей ЭЦП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) – обязательно позвоните в банк и заблокируйте ключи ЭЦП. 17. Если Вы заметили проявление необычного поведения ПО системы "Банк-клиент" или какие-то изменения в интерфейсе программы – позвоните в банк и выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет – заблокируйте ключи ЭЦП. 18. По возможности отслеживайте информацию, которую рассылает наш и другие банки, а также просто касающуюся информационной безопасности и старайтесь выполнять необходимые требования. Ниже приведен перечень наиболее частых, по опыту банков, выявленных ситуаций хищения денежных средств с расчетных счетов: 1. ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭЦП, в том числе работающими или уволенными директорами, бухгалтерами и их заместителями; 2. штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭЦП, а также доступ к компьютерам, с которых осуществлялась работа по системе “Банк-клиент”; 3. нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе “Банк-клиент”; 4. злоумышленниками, путем заражения компьютеров клиентов через уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭЦП и паролей. Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭЦП и паролям или, в случае использований Интернет-банкинга, перенаправляли запрос на фиктивный сайт. ООО «Примтеркомбанк» информирует Вас, что не осуществляет рассылку электронных писем с просьбой прислать секретный (закрытый) ключ ЭЦП или пароль и не рассылает по электронной почте программы для установки на Ваши компьютеры. О случаях получения таких писем, просим сообщать по телефону: 220-96-97 В ООО «Примтеркомбанк» используется две системы дистанционного банковского обслуживания (ДБО) Традиционная система ДБО: Банк-Клиент BSClient v.3. Используется система криптографической защиты Message Pro 2.x c сертификатами ФСБ СФ/114-1074, СФ/124-1075. Система Интернет-Клиент: «FAKTURA.RU», в рамках сервиса «Интернет – Платежи» Системы «BeSafe» Системе используется сертифицированное СКЗИ Крипто-Ком 3.1, имеющее сертификат ФСБ РФ № СФ/114-0868 от 23.04.2006. С Уважением, Отдел автоматизации ООО «Примтеркомбанк»