Общая информация
О безопасности
Организационные правила
Правила обеспечения безопасности при работе с системой Интернет-Банкинг
В последнее время активизировались попытки хищения и компрометации секретных данных клиентов, которые работают с системами дистанционного банковского обслуживания, в том числе с системой Интернет-Банкинг. Это выражается в применении злоумышленниками специальных вредоносных программ, которыми заражаются компьютеры пользователей в попытке завладеть секретными данными клиентов. Такие программы, вместо настоящих окон для ввода ЭЦП и пароля, выводят на экран пользователей поддельные окна, чем-то похожие на настоящие. Пользователи системы, не заметив разницы, вводят в такое окно электронные ключи и пароли, после чего программа передает их по сети Интернет злоумышленникам. Для предотвращения компрометации секретных данных и возможного хищения денежных средств, при обнаружении подобного рода окон, клиент должен прекратить попытки входа в систему, проинформировать сотрудников банка и согласовать с ними последующие шаги!
Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов, как правило, осуществляются:
- Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам ЭЦП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.
- Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-карты, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе Интернет-Банкинг.
- Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе электронного банкинга «iBank 2». Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.
- Злоумышленниками, путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей.
Для предотвращения возможного хищения секретной информации, в том числе электронных ключей ЭЦП, с компьютеров пользователей и, как следствие, возможного хищения денежных средств со счетов пользователей, необходимо соблюдать правила обеспечения безопасности при работе с системой Интернет-Банкинг в глобальной сети Интернет.
Для исключения ситуаций, которые могут привести к компрометации секретных данных клиентов, в том числе электронных ключей, и хищении денежных средств, соблюдать следующие правила обеспечения безопасности при работе с системой Интернет-Банкинг в глобальной сети Интернет:
Организационные правила безопасности
- Ограничивать доступ к компьютерам, с которых ведется работа с системой Интернет-Банкинг, посторонним лицам.
- Не использовать компьютер, с которого выполняется работа с системой Интернет-Банкинг, для "серфинга" в Интернет, тем более для просмотра сайтов "сомнительного" характера.
- Использовать более одной ЭЦП для подписи платежных документов (для корпоративных клиентов). Например, директора и главного бухгалтера.
- Не использовать один и тот же файл для хранения нескольких ЭЦП. Всегда использовать разные. Хранить их раздельно.
- Не разглашать пароли ЭЦП, не записывать их и не оставлять их в доступном месте, в том числе там где храните ЭЦП.
- Не отвечать на электронные письма, якобы от банка, с просьбой прислать для проверки ЭЦП и пароли. Банк никогда не запрашивает у клиентов секретную информацию. Эти письма отправляются злоумышленниками.
- При вводе файла ЭЦП и пароля в окно входа в систему, особое внимание обращать на правильное отображение названия ключа.
- При работе с системой Интернет-Банкинг, всегда обращать внимание на адрес сайта системы. Правильный адрес выглядит так: https://ibank.marfinbank.ua. Обратите внимание на префикс адреса https, он говорит о наличии защищенного соединения с банком. Удостоверится в том, что вы находитесь на настоящем сайте, можно проверив SSL-сертификат безопасности, кликнув на иконке "замок", который обычно располагается рядом с адресной строкой браузера либо на его статусной строке внизу окна.
- В случае: обнаружения попытки компрометации ключей ЭЦП, увольнения ответственных сотрудников (которые имели или могли иметь доступ к файлам ЭЦП и компьютерам, с которых осуществляется работа с системой Интернет-Банкинг), например, директора, бухгалтера или ИТ-администратора, обязательно обращаться в банк для блокировки текущих ключей ЭЦП, после чего выполнять процедуру создания новых ключей.
- Не работать на компьютере, с которого выполняется работа с системой Интернет-Банкинг, с правами системного Администратора.
Общесистемные правила
Общесистемные правила безопасности
- Использовать антивирусное программное обеспечение известных производителей (для частных клиентов мы рекомендуем использовать бесплатные антивирусные программы). Ежедневно выполнять обновление антивирусных баз этих систем (у большинства этих систем - это автоматическая функция).
- Использовать межсетевые экраны (файрволы), для предотвращения атак на компьютеры пользователей извне и препятствия несанкционированным передачам секретных данных с компьютера пользователя в сеть Интернет (частным клиентам можно предложить использовать бесплатные файрволы, в том числе стандартный, входящий в поставку системы MS Windows; однако мы рекомендуем использовать коммерческие программы, такие как Outpost, ZoneAlarm и пр.)
- Использовать программное обеспечение для защиты от Программ-шпионов и сканеров клавиатур.
- Не отключать автоматическое обновление операционной системы. Либо, ежемесячно обновлять операционную систему самостоятельно. Банк настоятельно рекомендует использовать лицензионные операционные системы.
- Не хранить секретные данные, в том числе ЭЦП, непосредственно на компьютере. Для этого, использовать сменные накопители (флеш-карты и т.п.), которые хранить в безопасном месте.
- Не использовать для работы в сети Интернет и в системе Интернет-Банкинг не проверенные компьютеры (например, в интернет-кафе), на которых может быть установлено вредоносное программное обеспечение.
- Настроить ваш интернет-браузер для запрета: автоматической загрузки файлов из сети Интернет; автоматического запуска файлов из сети Интернет; автоматической загрузки не подписанных элементов ActiveX. Увеличить уровень безопасности браузера до максимального.
- Не устанавливать и не сохранять подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях и через программы мгновенных сообщений (ICQ и пр.). Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла, убедится, что он проверен антивирусом.
Использование аппаратных ключей - USB-токенов
Использование аппаратных ключей - USB-токенов
Юридическим лицам и предпринимателям предлагается возможность использования аппаратных электронных ключей - USB-токенов для работы с системой Интернет-Банкинг.
USB-Токены являются устройствами, которые позволяют обеспечить максимальный уровень безопасности при работе с системой Интернет-Банкинг в глобальной сети Интернет. Токены предназначены для хранения электронных ключей пользователей. Аппаратная защита от копирования позволяет исключить кражу хранимой в токенах секретной информации программным путем, в том числе вредоносными программами.
Использование токенов дает пользователям возможность безопасно работать с системой Интернет-Банкинг в непроверенных местах доступа в Интернет. Клиенты могут не опасаться кражи электронных ключей в гостиницах, публичных WiFi-зонах, чужой локальной сети и т.п., находясь в отпуске или командировке.
Работа с USB-Токенами проста и аналогична использованию обычных файловых электронных ключей. Перед работой с системой Интернет-Банкинг, необходимо установить токен в свободный USB порт. При входе в систему, вместо привычного файла с электронными ключами необходимо выбрать использование токена, ввести пароль и войти в систему. После работы с системой, необходимо отключить токен от компьютера и сохранить его в безопасном месте отдельно от компьютера.
Для работы с токенами, требуется предварительная инсталляция специального драйвера (только для ОС Microsoft Windows).
USB-токены, необходимо получить в банке у управляющего счетами. Получение токенов оформляется соответствующим Актом приема-передачи.
Полученные токены необходимо зарегистрировать в системе Интернет-Банкинг. Для этого, необходимо пройти стандартную процедуру создания новых электронных ключей, но уже с использованием токена (Внимание! Токены будут определяться в системе только в случае установки соответствующего драйвера).
После создания новой ЭЦП (Электронно-Цифровой Подписи), необходимо передать управляющему счетом заполненный и подписанный документ Сертификат открытого ключа ЭЦП для активации электронного ключа администратором системы. После активации, токеном можно будет начать пользоваться.
Внимание! После активации токена, все файловые электронные ключи клиента, в целях безопасности, будут деактивированы.
Стоимость использования токенов определяется текущими тарифами.
USB-Токен внешне выглядит как обычная флешка и имеет примерно те же размеры:
Скачать драйвер USB-токена