Клиент-Банк > О безопасности при работе с подсистемой

В последнее время в российских банках участились случаи хищения (предотвращенные и свершившиеся) денежных средств с расчетных счетов корпоративных клиентов путем совершения электронных платежей.

Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов осуществляются:

1. Ответственными сотрудниками корпоративных клиентов,

имевшими доступ к секретным ключам ЭП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.

2. Штатными ИТ-сотрудниками корпоративных клиентов,

имевшими технический доступ к носителям (дискеты, флеш-накопители, жесткие диски и пр.) с секретными ключами ЭП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе электронного банкинга «iBank 2»

3. Нештатными, приходящими по вызову, ИТ-специалистами,

обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе электронного банкинга «iBank 2». Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.

4. Злоумышленниками путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами.

Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭП клиента и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭП и паролям корпоративного клиента и направляли в банк платежные поручения с корректной ЭП клиента.

В целях недопущения подобных ситуаций и используя рекомендации ЦБ РФ по работе с дистанционными системами банковского обслуживания филиал ЭКСИ-Банк (АО) Псковский рекомендует своим клиентам, использующим систему «iBank 2», принять следующие профилактические меры безопасности:

• соблюдать регламент ограничения доступа к персональному компьютеру с установленным программным обеспечением системы дистанционного банковского обслуживания;
• ограничить либо разграничить правами доступа (с помощью системы паролей) на саму ПЭВМ с установленным программным обеспечением;
• не хранить ключи ЭП первых лиц предприятия на жестких дисках ПЭВМ;
• при количестве подписей более одной обеспечить раздельное хранение ключей ЭП;
• при использовании клиентом двух и более секретных ключей ЭП (например, ключ ЭП директора и ключ ЭП главного бухгалтера) осуществлять работу на двух отдельных компьютерах;
• извлекать носители ключей ЭП из ПЭВМ сразу же по завершению сеанса работы с системой «iBank 2»;
• в случае хранения ключей ЭП на съемных носителях (дискеты, флеш-накопители и т.п.) обеспечить надежное хранение носителей ключей ЭП в местах с затрудненным доступом;
• обеспечить защиту от несанкционированного проникновения в помещение, в котором находится ПЭВМ с установленным программным комплексом ДБО;
• использовать и обновлять программное обеспечение только из источников, гарантирующих отсутствие вредоносных программ (вирусов);
• использовать и оперативно обновлять специализированное программное обеспечение для защиты информации – антивирусное ПО, персональные межсетевые экраны, средства защиты от несанкционированного доступа и т.п.;
• соблюдать правила безопасной работы в сети Интернет;
• установить мониторинг соединений и информировать пользователей о попытках соединений с подозрительными IP-адресами;
• подключить предлагаемые филиалом ЭКСИ-Банк (АО) Псковский услуги, позволяющие увеличить безопасность и отследить проводимые денежные транзакции с использованием системы «iBank 2» (IP-фильтрация, SMS-уведомление и SMS-подтверждение, USB-токены и смарт-карты).

Данные меры позволят значительно снизить риск получения несанкционированного доступа к расчетным и иным счетам клиентов и обеспечат безопасное и удобное использование систем дистанционного обслуживания.