Рекомендации для клиентов банка, использующих в своей

Рекомендации для клиентов банка, использующих в своей деятельности
системы дистанционного обслуживания.
Уважаемые клиенты!
В 2007г. в Украине впервые зафиксированы, а в 2012-2013гг. продолжились и
участились попытки противоправного завладения денежными средствами клиентов
банков, использующих в своей деятельности системы дистанционного обслуживания. В
2012 году уже произошел значительный рост числа преступлений такого рода.
Разработчиками систем дистанционного обслуживания и сотрудниками нашего банка
проводится непрерывная работа по обеспечению безопасности этих систем, однако, без
реализации защитных мер непосредственно на компьютерах клиентов, она не даст
желаемого результата.
Практика показала, что злоумышленники, чаще всего, не пытаются взламывать
компьютерные сети банков, а захватывают управление компьютерами их клиентов, и,
получая доступ к ключам электронно-цифровой подписи и паролям доступа,
осуществляют платежи от имени клиентов банка. Существенную опасность представляют
также уволенные или недобросовестные сотрудники предприятий, имеющие или имевшие
ранее доступ к системе «Клиент-банк».
Заботясь о безопасности наших клиентов, опираясь на законодательство Украины,
а также в соответствии с рекомендациями Национального Банка Украины, наш банк
разработал следующие рекомендации по реализации защитных мер на персональных
компьютерах клиентов банка, использующих в своей работе системы дистанционного
обслуживания (далее – СДО или система «Клиент-Банк»):
Внимание! Обращаем Ваше внимание на то, что приведенные в данном
документе правила, требования и рекомендации предполагают, что их реализация
будет поручена лицам, имеющим надлежащую квалификацию и опыт работы. Они
способны дать реальный эффект лишь при комплексном использовании и
надлежащем контроле за их реализацией.
1.
Настоятельно рекомендуется использовать лицензионно-чистую операционную
систему, установленную на компьютере, применяемом для работы с СДО. Использование
нелицензионных копий операционных систем (как и любых иных программных
продуктов) крайне нежелательно по следующим причинам:



В том случае, если они получены не из доверенного источника, например,
приобретены не у авторизованного дилера, скачаны из файлообменной сети и
т.д., они могут уже быть заражены вирусными программами, или иметь «черные
ходы», используемые злоумышленниками;
Программы-«активаторы» («генераторы ключей» и т.п.), используемые для
обхода систем проверки подлинности, в большинстве своем используют
вирусные механизмы и препятствуют работе самозащиты операционных систем,
что может привести к заражению вирусными программами или установке в
систему или программный продукт троянской компоненты, используемой
злоумышленниками для получения несанкционированного доступа;
Возможно нарушение в работе систем автоматического обновления
операционной системы и прочих программных продуктов, что оказывает
негативное влияние на механизм обеспечения безопасности.
1
Используя нелегальное системное и прикладное программное обеспечение на
компьютере, предназначенному для эксплуатации систем «Клиент-Банк», Вы подвергаете
себя неоправданному риску, поскольку потери в результате хищений могут быть
значительно больше, чем экономия на приобретении легального программного
обеспечения.
Для систем семейства Microsoft Windows версия операционной системы должна быть не
ниже Windows XP с установленным Service pack 3 и всеми актуальными на момент
установки системы «Клиент-Банк» обновлениями операционной системы.
В случае использования Вами СДО только типа «Интернет-банкинг» (или аналогичной),
мы рекомендуем Вам установить на компьютере, используемом для обеспечения работы
СДО, операционную систему, отличную от Microsoft Windows, при неукоснительном
соблюдении всех изложенных в данном документе рекомендаций и требований, в той
мере, в какой они могут быть распространены на используемую операционную систему.
В случае если позволяет технология производственного процесса, квалификация
сотрудников, эксплуатирующих СДО и сотрудников, обслуживающих вычислительные и
коммуникационные системы, поддерживающие функционирование СДО, мы
рекомендуем использовать операционные системы, загружающиеся с неизменяемых
носителей информации, например DVD/CD-R/RW, или иных, защищенных от записи
носителей информации или устройств хранения данных.
В любом случае, вне зависимости от используемой операционной системы и метода ее
использования, в ней обязательно должна быть включена функция автоматической
загрузки и установки обновлений операционной системы и прикладного программного
обеспечения, или применяться иной способ, обеспечивающий своевременное применение
всех актуальных обновлений системного и прикладного программного обеспечения.
2.
На компьютере, используемом для обеспечения работы системы «Клиент-Банк»,
должно быть установлено и включено антивирусное программное обеспечение и
персональный сетевой экран с постоянно обновляющимися в автоматическом режиме
базами. Рекомендуется использование продуктов следующих производителей:
 «Лаборатория Касперского»;
 «ESET»;
 «Доктор Веб».
Отсутствие антивирусного программного обеспечения, либо использование бесплатных,
условно-платных программ, либо программ с ограниченной функциональностью не
допускается. Антивирусное программное обеспечение должно быть настроено способом,
обеспечивающим надлежащий уровень реакции на возникающие угрозы без участия
пользователя, и обеспечивать максимальный уровень защиты, в той мере, в которой это не
препятствует штатной работе пользователя.
3.
Все прочее прикладное и системное программное обеспечение, установленное на
данном компьютере, должно быть лицензионно-чистым и получено из доверенного
источника (сайт изготовителя программного обеспечения, авторизованный дилер и т.д.).
Если это предусмотрено производителем программного продукта, то должна быть
включена возможность автоматической установки обновлений для данного программного
продукта. Недопустимо использование программ-генераторов инсталляционных ключей
или программ снятия защиты от несанкционированного доступа на компьютере с
установленной системой «Клиент-Банк».
4.
Категорически не рекомендуется использование компьютера с системой «КлиентБанк» для каких-либо целей, отличных от связанных с исполнением должностных
обязанностей, например, развлекательных.
2
5.
Работа пользователя на данном компьютере должна происходить в режиме
«обычного пользователя» (классификация в системе Microsoft Windows – USER, в
операционных системах «не-WINDOWS-типа» - пользователь должен быть отличен от
ROOT). Работа в роли пользователя, обладающего административными правами,
локальными и/или иными, категорически не рекомендуется, вне зависимости от
используемой операционной системы.
6.
Должна быть явно отключена возможность автозапуска программ со всех
подключаемых и встроенных устройств хранения данных, сетевых и сменных носителей
информации. Загрузка компьютера должна осуществляться с установленного в нем
жесткого диска, возможность первичной загрузки с иных устройств (CD/DVD, внешних
накопителей, загрузка по сети и т.д.), а также возможность дистанционного включения
или выключения компьютера путем подачи сигнала по сетевому или иному
коммуникационному интерфейсу, должна быть отключена средствами BIOS компьютера.
Доступ к BIOS компьютера (административный, пользовательский и любого иного
уровня) должен быть закрыт паролем, требования к которому определяются в п.7
настоящего документа.
7.
Не допускается вход в систему любого из пользователей данного компьютера без
ввода пароля, причем, количество неудачных попыток его ввода должно быть ограничено.
Пароли пользователей должны иметь длину не менее 15 символов и содержать символы,
цифры и спецсимволы латинского алфавита в различном регистре ввода, таким же
образом должны формироваться и пароли к системе «Клиент-Банк». В том случае, если
требования к длине и составу пароля, определяемые в п.7. настоящего документа,
невозможно исполнить в силу ограничений, налагаемых производителем оборудования
или программного обеспечения, действуют наиболее строгие, в пределах данных
ограничений, правила. Пароли к ключам системы «Клиент-Банк» и компьютеру,
обеспечивающему её функционирование, должны храниться в условиях, не допускающих
их попадание к посторонним лицам. Срок действия паролей и ключей целесообразно
ограничивать сроком в 1-2 месяца. Также желательно переименование учетных записей
пользователей, обладающих административными правами (глобальными и локальными).
8.
После установки на компьютер системного и прикладного программного
обеспечения, или выполнения иных операций, требующих административного уровня
доступа, целесообразно произвести очистку кэша паролей (в случае использования систем
MS WINDOWS), с целью недопущения попадания паролей административных учетных
записей в руки злоумышленников.
9.
Настоятельно рекомендуется запретить исполнение любых программ и библиотек
программного обеспечения, не входящих в перечень необходимых для работы
операционной системы и прикладного программного обеспечения, или расположенных в
местах, отличных от стандартных мест расположения системного и программного
обеспечения. Для реализации этого ограничения применяются средства используемой
операционной системы или стороннего системного программного обеспечения,
соответствующего требованиям п.1-3 настоящего документа. Это ограничение желательно
применить, как минимум, для подключаемых устройств хранения данных (USBнакопителей и т.п.), сменных и сетевых носителей информации.
10.
Если это возможно, то компьютер, используемый для работы СДО, должен быть
физически отключен от сети предприятия (в этом случае для работы систем «КлиентБанк» используются GSM/CDMA или аналогичные беспроводные модемы), или же
3
логически не входить в сетевой домен (домены) и/или рабочие группы, существующие в
сети предприятия.
11.
Категорически не рекомендуется использовать для подключения к СДО
общедоступные компьютеры (расположенные в «Интернет-кафе» и т.п. заведениях,
предоставляемые в пользование при проживании в гостиницах и т.п.), поскольку они не
обеспечивают должного уровня безопасности при использовании СДО (более того, они
могут быть установлены или контролироваться злоумышленниками).
12.
Категорически не рекомендуется использование в компьютерных сетях, в которых
функционируют СДО, беспроводных подключений к локальным сетям и точек доступа
любого рода. Не рекомендуется использование беспроводных средств доступа для
подключения к провайдерам сети Интернет или иных локальных или глобальных сетей, за
исключением использования GSM/CDMA или аналогичных модемов для работы систем
«Клиент-Банк» (и только для этих целей).
13.
В том случае, если избежать использования беспроводных подключений не
представляется возможным в силу причин технического и/или технологического
характера, не допускается отключение шифрования канала передачи данных или
использование стандарта безопасности WEP. Категорически не рекомендуется
использование точек доступа, поддерживающих технологию WPS, в том случае, если эта
возможность не может быть явно отключена (аппаратно или программно). Пароли к
точкам доступа, ключи сетей и порядок обращения с ними должны соответствовать
требованиям, изложенным в п.7 настоящего документа. Настоятельно рекомендуется
установить контроль доступа по МАС-адресам устройств, если это позволяет архитектура
точки доступа. Идентификатор беспроводной сети рекомендуется назначить таким
образом, чтобы избежать даже косвенной ассоциации точки доступа с объектом, на
котором она установлена, каким-либо сотрудником предприятия, его подразделением или
физическим лицом, с прямым или косвенным указанием на оборудование,
обеспечивающее функционирование или функционирующее в данной сети.
14.
Не допускается установка или активация на компьютере, используемом для работы
СДО, программ дистанционного управления или каких-либо их компонентов, как
входящих в состав операционной системы, так и сторонних производителей. Также
необходимо отключить системы дистанционного управления аппаратным обеспечением,
путем внесения соответствующих изменений в настройки BIOS компьютеров (также см.
п.6).
15.
Недопустимо предоставление любых ресурсов данного компьютера в общий
доступ, если же избежать этого не представляется возможным, то пароль доступа к
предоставляемым ресурсам должен соответствовать требованиям, указанным в п.7
настоящего документа. Предоставление в общий доступ логических дисков с
установленной системой «Клиент-Банк», или каталогов (папок), находящихся на этих
логических дисках, категорически запрещается. Также запрещается предоставление в
общий доступ устройств хранения данных или носителей информации, используемых для
хранения ключей системы «Клиент-Банк», или же портов компьютера, к которым они
подключаются.
16.
Не допускается наличие на сменном носителе, используемом для хранения ключей
электронно-цифровой подписи (далее - ЭЦП) системы «Клиент-Банк», иной информации,
кроме как ключевой, или использование его для любых иных целей, кроме как для
хранения ключей электронно-цифровой подписи. Любое устройство, используемое для
4
хранения ключей системы «Клиент-Банк» или подписи документов этой системы (см.
п.18), должно подключаться к компьютеру исключительно на время работы с системой
«Клиент-Банк», после чего должно отключаться в штатном порядке и перемещаться в
место, предназначенное для его безопасного хранения (металлический шкаф, сейф и т.д.).
Также настоятельно рекомендуется ограничить физический доступ к компьютеру,
используемому для работы с системой «Клиент-Банк», путем размещения его в отдельном
помещении с ограниченным доступом, или оборудованном системой контроля доступа.
17.
В том случае, если это возможно, необходимо использовать для подписи
документов пару ключей, например, ключ бухгалтера и ключ директора, размещаемые на
разных носителях данных или устройствах (см. п.18). Эта мера, в сочетании с прочими,
способна уменьшить вероятность совершения хищения, поскольку злоумышленнику
необходимо будет завладеть уже двумя ключами и двумя паролями к ним.
18.
Для хранения ключей ЭЦП и шифрования данных рекомендуется использование
электронных ключей (так называемых «e-token’ов»), обеспечивающих больший уровень
защиты от попыток несанкционированного использования систем «Клиент-Банк». В
отличии от обычного сменного устройства хранения данных (например, накопителя на
базе флэш-памяти), «e-token» не содержит электронных ключей в явном виде, и,
следовательно, они не могут быть считаны злоумышленником. Использование e-token`а, в
общем случае, не отличается от использования обычного сменного устройства хранения
данных. Электронные ключи целесообразно применять в тех случаях, когда
осуществляется подключение к системе «Клиент-Банк» из потенциально опасного места,
например, с использованием компьютера в гостинице, аэропорту, интернет-кафе или
открытой публичной точки доступа Wi-Fi (также см. пп.12-13). Однако необходимо
учитывать, что «e-token’ы» не являются панацеей, поскольку, если злоумышленник
получил удаленный доступ к компьютеру (например, в результате нарушения положений
п.14), то его действия, даже при использовании электронных ключей, для банка будут
неотличимы от штатных действий пользователя. Настоятельно рекомендуем Вам
использовать для работы в системе СДО именно электронные ключи.
19.
Категорически запрещается хранение ключей системы «Клиент-Банк»
непосредственно на жестких дисках компьютера или иных встроенных в него устройствах
хранения данных.
20.
В качестве одной из высокоэффективных мер безопасности наш банк использует
систему фильтрации IP-адресов, с которых осуществляется подключение клиентов,
использующих системы «Клиент-Банк» всех типов. При использовании системы
фильтрации IP-адресов ограничивается набор адресов в сети Интернет (фактически, набор
сетей, провайдеров Интернет и/или физических мест), из которых злоумышленник, в том
случае, если ему удалось завладеть ключами и кодами доступа, может подключиться к
серверу банка. Мы настоятельно рекомендуем Вам воспользоваться данной услугой. Для
этого необходимо в официальном порядке, в письменной форме сообщить банку IP-адрес
или диапазон IP-адресов, идентифицирующий компьютер, или компьютерную сеть
клиента, или его провайдера в сети Интернет. Внедрение системы фильтрации IP - адресов
существенно затруднит решение задачи подключения к банковскому серверу для
злоумышленников, даже если им и удастся тем или иным способом завладеть Вашими
ключами и кодами доступа.
21.
Наш банк предоставляет услуги информирования о движении денежных средств и
платежных документов с помощью СМС. Данная услуга позволяет Вам получать на Ваш
мобильный телефон информацию о движении средств по Вашему счету, и, что самое
5
важное – информацию о поступающих от Вашего имени в банк по СДО дебетовых
документах. В том случае, если злоумышленники завладеют Вашими ключами и кодами
доступа к СДО, или получат к ней доступ иным способом, например, подключившись к
Вашему компьютеру удаленно, об отправке ими платежного документа Вам станет
известно сразу же после его поступления в банк, что даст Вам возможность предотвратить
хищение Ваших денежных средств. Мы настоятельно рекомендуем Вам воспользоваться
данной услугой. Крайне желательно, после ее подключения, изменить номер телефона, на
который Вы будете получать уведомления, таким образом, чтобы он отличался от номера
телефона, указанного Вами при регистрации услуги непосредственно в СДО на Вашем
рабочем месте. Эта мера позволит повысить безопасность при использовании услуги
СМС-информирования.
22.
При наличии возможности, рекомендуем Вам оговорить с банком условия
подтверждения платежей по системе «Клиент-Банк» (вообще всех платежей, или
платежей, суммарно или в отдельности превышающих определенную сумму). Например,
одним из вариантов такой системы контроля может быть обратный звонок менеджера
банка, работающего с клиентом, на заранее оговоренный телефонный номер, в ответ на
который клиент подтверждает количество платежей и их суммы. Также см. п.21
настоящего документа.
23.
Даже если финансовые операции в этот день не планируются, необходимо
выходить на связь с банком несколько раз в день, как минимум, утром, в момент начала
рабочего дня, в середине рабочего дня, и вечером, незадолго до окончания операционного
дня в банке. Как правило, злоумышленники отправляют документы именно в эти периоды
времени или в ночное время.
24.
При обнаружении документа, который заведомо не проводился на клиентской
стороне уполномоченным лицом, необъяснимого изменения остатка средств на
счете/счетах, или иных нештатных ситуациях, связанных с работой средств
вычислительной техники, используемых при работе с СДО, необходимо немедленно
связаться с банком, с целью блокирования всех платежей по всем Вашим счетам, а также,
если это необходимо, для принятия мер, направленных на возврат денежных средств, уже
списанных с Вашего счета.
25.
В случае, если при включении или в процессе работы системы «Клиент-Банк», или
компьютера, используемого для работы СДО, будут обнаружены какие-то не имевшие
ранее места события, такие, как нештатные информационные окна, платежи, Вами не
проводившиеся или не санкционированные, сообщения об ошибках, сообщения о
неверном ключе доступа или пароле, и т.п. – лицу, ответственному за работу с системой,
надлежит зафиксировать суть события, прекратить работу, выключить компьютер и
незамедлительно уведомить о событии сотрудников банка. Эти же действия необходимо
выполнить и в случае появления признаков заражения этого компьютера или
вычислительной сети, к которой он подключен, вирусными программами.
Обращаем особое внимание пользователей систем «Клиент-Банк»!
26.
Не отвечайте и не реагируйте на сообщения, письма (e-mail, почтовые отправления
и т.п.) или телефонные звонки, исходящие якобы от имени банка, с просьбой выслать или
сообщить иным образом секретный ключ(-и), пароль(-и) и другие конфиденциальные
данные, установить программное обеспечение и т.д.
6
27.
Банк не осуществляет рассылку электронных писем, SMS и иного типа сообщений
и/или почтовых отправлений, как напрямую, так и делегируя это право третьим лицам,
содержащих инструктивный материал, вложенные документы, носители информации
и/или программного обеспечения, ссылки на WEB-страницы и т.п. содержимое, за
исключением случаев, в явной форме и лично инициированных владельцем конкретной
СДО. Необходимые для работы системы «Клиент-банк» программное обеспечение и иную
информацию можно получить исключительно на официальном сайте банка или
непосредственно в банке.
28.
Банк никогда не запрашивает у клиентов никакую конфиденциальную
информацию иначе, чем во время личного визита клиента в банк. Любой иной порядок
предоставления клиентом банку конфиденциальной информации, и доверенные средства
(каналы коммуникации), используемые для этого, оговариваются отдельно.
29.
При взаимодействии с банком необходимо использовать только реквизиты средств
связи (мобильных и/или стационарных телефонов, факсов, интерактивных страниц в сети
Интернет (сайтов/порталов), обычной и электронной почты и др.), которые указаны в
документах, полученных непосредственно в банке или размещены на официальном сайте
банка.
30.
Если Вы получили сообщение любой формы и способа доставки, или телефонный
звонок, в котором от имени банка Вас просят исполнить какое-то действие, Вам
необходимо, игнорируя полученное сообщение, немедленно связаться с банком, учитывая
положения п.29 настоящего документа.
31.
При увольнении сотрудников, имевших доступ к секретным ключам ЭЦП СДО и
их носителям, обслуживающих систему «Клиент-Банк» или обеспечивающих
информационно-техническую поддержку предприятия, необходимо незамедлительно
заблокировать текущие и создать новые ключи системы «Клиент-Банк», сменив также все
пароли доступа к используемому в работе с данной системой компьютеру и устройствам,
подключенным к вычислительной сети. Также необходимо провести полную
антивирусную проверку компьютера с установленной СДО, а также его проверку на
предмет запланированного исполнения каких-либо программ, наличия программ или
компонентов программ удаленного доступа и, в целом, на предмет соответствия
изложенным в настоящем документе требованиям и рекомендациям.
32.
Ключи и пароли доступа к СДО, равно как и прочие ключи и пароли, используемые
на компьютере, обеспечивающем функционирование этой системы, должны обязательно
меняться в случае заражения данного компьютера вредоносными программами, даже в
том случае, если было проведено успешное удаление этих программ, вне зависимости от
того, выполнялась или нет переустановка системного и прикладного программного
обеспечения.
33.
Лицо или лица, уполномоченные от имени клиента для работы с системой
«Клиент-Банк», не должны передоверять свои обязанности иным лицам, при любых
обстоятельствах и для решения любых задач, иначе, как в официальном порядке.
34.
Если избежать использования систем обмена сообщениями или e-mail на
компьютере, предназначенном для работы СДО, не представляется возможным, то
необходимо соблюдать максимальную осторожность при работе с ними:
 не открывать письма или сообщения, полученные из неизвестных источников;
7
 не устанавливать и не запускать программы, прикрепленные к письмам и/или
сообщениям;
 не переходить по ссылкам из писем или сообщений.
35.
Возможность просмотра ресурсов сети Интернет на компьютере, предназначенном
для работы СДО, должна быть заблокирована, за исключением случаев использования в
СДО технологии «Интернет-Банкинг» или аналогичной (в этом случае рекомендуется
средствами сетевых экранов ограничить набор IP-адресов ресурсов, к которым возможно
подключение, адресами серверов СДО банка). Если же реализация этого ограничения
невозможна, в силу каких-либо причин, то желательно ограничить список ресурсов,
доступных для просмотра пользователю, только ресурсами, необходимыми в его рабочей
деятельности. Настройки безопасности всех программ, применяемых для просмотра
ресурсов Интернет, должны быть установлены в максимально возможный уровень, не
препятствующий исполнению пользователем своих служебных обязанностей: как
минимум, должно быть запрещено исполнение Java и ActiveX скриптов, если эта мера не
препятствует исполнению служебных задач. Рекомендуется использовать программы,
применяемые для просмотра ресурсов, размещенных в сети Интернет, в режиме
«изолированного окружения» («песочницы») или используя для их запуска учетную
запись с минимальными локальными и/или глобальными правами. Данная возможность
предоставляется антивирусными (антивирус Касперского (в зависимости от версии), ESET
NOD32 (в зависимости от версии)) и специальными программами, например «Sandboxie»,
производства Ronen Tzur или «Drop My Rights» (Microsoft).
Строгое соблюдение Вами этих мер безопасности позволит существенно снизить
риски, связанные с использованием систем "Клиент-Банк" и снизить вероятность
противоправного завладения Вашими денежными средствами.
Успешного Вам бизнеса и финансового процветания!
С уважением, ПАО «КБ «ЮЖКОМБАНК»
8