Предлагается вниманию. Взято на просторах Сети и анонимизировано.
Рекомендации для клиентов банка, использующих в своей деятельности системы дистанционного обслуживания.
Практика показала, что злоумышленники, чаще всего, не пытаются взламывать компьютерные сети банков, а захватывают управление компьютерами их клиентов, и, получая доступ к ключам электронно-цифровой подписи и паролям доступа, осуществляют платежи от имени клиентов банка. Существенную опасность представляют также уволенные или недобросовестные сотрудники предприятий, имеющие или имевшие ранее доступ к системе «Клиент-банк».
Заботясь о безопасности наших клиентов, опираясь на законодательство Украины, а также в соответствии с рекомендациями Национального Банка Украины, наш банк разработал следующие рекомендации по реализации защитных мер на персональных компьютерах клиентов банка, использующих в своей работе системы дистанционного обслуживания (далее – СДО или система «Клиент-Банк»):
1. Настоятельно рекомендуется использовать лицензионно-чистую операционную систему, установленную на компьютере, применяемом для работы с СДО. Использование нелицензионных копий операционных систем (как и любых иных программных продуктов) крайне нежелательно по следующим причинам:
• В том случае, если они получены не из доверенного источника, например, приобретены на рынке, скачаны из файлообменной сети и т.д., они могут уже быть заражены вирусными программами, или иметь «черные ходы», используемые злоумышленниками;
• Программы-«активаторы», как правило, используемые для обхода систем проверки подлинности, в большинстве своем используют вирусные механизмы и нарушают механизмы самозащиты систем, что может привести к заражению операционной системы вирусными программами или установке в нее троянской компоненты, используемой злоумышленниками для получения несанкционированного доступа к компьютеру;
• Возможно нарушение в работе систем автоматического обновления операционной системы и связанных программных продуктов, что оказывает негативное влияние на механизм обеспечения безопасности.
Используя нелегальное системное и прикладное программное обеспечение на компьютере, предназначенному для эксплуатации систем «Клиент-Банк», Вы подвергаете себя неоправданному риску, поскольку потери в результате хищений могут быть значительно больше, чем экономия на приобретении легального программного обеспечения.
Для систем семейства Microsoft Windows версия операционной системы должна быть не ниже Windows XP с установленным Service pack 3 и всеми актуальными на момент установки системы «Клиент-Банк» обновлениями операционной системы.
В случае использования Вами СДО только типа Internet-banking, мы рекомендуем Вам установить на компьютере, используемом для обеспечения работы СДО, операционную систему, отличную от Microsoft Windows, при неукоснительном соблюдении всех изложенных в данном документе рекомендаций и требований, в той мере, в какой они могут быть распространены на используемую операционную систему. В случае, если позволяют технология производственного процесса, квалификация сотрудников, эксплуатирующих СДО и сотрудников, обслуживающих вычислительные и коммуникационные системы, поддерживающие функционирование СДО, мы рекомендуем использовать операционные системы, загружающиеся с неизменяемых носителей информации, например DVD/CD-R/RW, или иных, защищенных от записи носителей информации/устройств хранения данных.
В любом случае, вне зависимости от используемой операционной системы и метода ее использования, в ней обязательно должна быть включена функция автоматической загрузки и установки обновлений операционной системы и прикладного программного обеспечения
2. На компьютере, используемом для обеспечения работы системы «Клиент-Банк», должно быть установлено и включено антивирусное программное обеспечение и персональный сетевой экран с постоянно обновляющимися в автоматическом режиме базами. Рекомендуется использование следующих антивирусных программных продуктов: Kaspersky Work Space Security, Kaspersky Business Space Security, Kaspersky Enterprise Space Security, Kaspersky Hosted Security Services, Kaspersky Total Space Security, Kaspersky Small Office Security, Kaspersky CRYSTAL, Kaspersky Internet Security 2011/2012, Dr.Web Enterprise Security Suite, Dr.Web «Малый бизнес», Dr.Web Security Space Pro, Dr.Web Desktop Security Suite, Dr.Web Server Security Suite, Dr.Web Mail Security Suite, Dr.Web Gateway Security Suite, Dr.Web Mobile Security Suite, Dr.Web Office Shield, Dr.Web Бастион Pro, ESET NOD32 Smart Security, ESET NOD32 Business Edition Smart Security. Использование бесплатных, условно-платных программ, либо программ с ограниченной функциональностью категорически не рекомендуется. Антивирусное программное обеспечение должно быть настроено способом, обеспечивающим надлежащий уровень реакции на возникающие угрозы без участия пользователя, и обеспечивать максимальный уровень защиты, в той мере, в которой это не препятствует штатной работе пользователя.
3. Все прочее прикладное и системное программное обеспечение, установленное на данном компьютере, должно быть либо лицензионно-чистым, либо получено из доверенного источника. Если это предусмотрено производителем программного продукта, то должна быть включена возможность автоматической установки обновлений для данного программного продукта. Недопустимо использование программ-генераторов инсталляционных ключей или программ снятия защиты от несанкционированного доступа на компьютере с установленной системой «Клиент-Банк».
4. Категорически не рекомендуется использование компьютера с системой «Клиент-Банк» для каких-либо целей, отличных от связанных с исполнением должностных обязанностей, например, развлекательных.
5. Работа пользователя на данном компьютере должна происходить в режиме «обычного пользователя» (классификация в системе Microsoft Windows – USER, в операционных системах «не-WINDOWS-типа» - пользователь должен быть отличен от ROOT). Работа в роли пользователя, обладающего административными правами, локальными или иными, категорически не рекомендуется, вне зависимости от используемой операционной системы.
6. Должна быть отключена возможность автозапуска программ со всех подключаемых устройств хранения данных, сетевых и сменных носителей информации. Загрузка компьютера должна осуществляться с установленного в нем жесткого диска, возможность первичной загрузки с иных устройств (CD/DVD, внешних накопителей, сетевая загрузка и прочее), а также возможность дистанционного включения или выключения компьютера путем подачи сигнала по сетевому или иному коммуникационному интерфейсу, должна быть отключена средствами BIOS компьютера. Доступ к BIOS компьютера должен быть закрыт паролем.
7. Не допускается вход в систему любого из пользователей данного компьютера без ввода пароля, причем, количество неудачных попыток его ввода должно быть обязательно ограничено. Пароли пользователей должны иметь длину не менее 12 символов и содержать символы, цифры и спецсимволы латинского алфавита в различном регистре ввода, таким же образом должны формироваться и пароли к системе «Клиент-Банк». Пароли к ключам системы «Клиент-Банк» и компьютеру, обеспечивающему её функционирование, должны храниться в условиях, не допускающих их попадание к посторонним лицам. Срок действия паролей и ключей целесообразно ограничивать сроком в 1-2 месяца. Также желательно переименование учетных записей пользователей с административными правами.
8. После установки на компьютер системного и прикладного программного обеспечения, требующего для этого административного уровня доступа, целесообразно произвести очистку кэша паролей (в случае использования систем MS WINDOWS), с целью недопущения попадания паролей административных учетных записей в руки злоумышленников.
9. Если это возможно, то компьютер, используемый для работы СДО, должен быть физически отключен от сети предприятия, или же не входить в сетевой домен (домены) и/или рабочие группы, существующие в сети предприятия.
10. Категорически не рекомендуется использование в сетях, в которых функционируют СДО, беспроводных подключений и точек доступа любого рода. Не рекомендуется использование беспроводных средств доступа для подключения к провайдерам сети Интернет или иных локальных или глобальных сетей.
11. В том случае, если избежать использования беспроводных подключений не представляется возможным, в силу причин технического и/или технологического характера, не допускается отключение шифрования канала передачи данных или использование стандарта безопасности WEP. Пароли к точкам доступа, ключи сетей и порядок обращения с ними должны соответствовать требованиям, изложенным в п.7 настоящего документа. Настоятельно рекомендуется установить контроль доступа по МАС-адресам устройств, если это позволяет архитектура точки доступа. Идентификатор беспроводной сети рекомендуется назначить таким образом, чтобы избежать даже косвенной ассоциации точки доступа с объектом, на котором она установлена, каким-либо сотрудником предприятия/подразделением/физическим лицом или указанием на оборудование, обеспечивающее функционирование или функционирующее в данной сети.
12. Не допускается установка или активация на компьютере, используемом для работы СДО, программ дистанционного управления или каких-либо их компонентов, как входящих в состав операционной системы, так и сторонних производителей. Также необходимо отключить системы дистанционного управления аппаратным обеспечением, путем внесения соответствующих изменений в настройки BIOS компьютеров (также см. п.6).
13. Недопустимо предоставление любых ресурсов данного компьютера в общий доступ, если же избежать этого не представляется возможным, то пароль доступа к предоставляемым ресурсам должен соответствовать требованиям, указанным в п.7 настоящего документа. Предоставление в общий доступ логических дисков с установленной системой «Клиент-Банк», или каталогов (папок), находящихся на этих логических дисках, категорически запрещается. Также запрещается предоставление в общий доступ устройств хранения данных или носителей информации, используемых для хранения ключей системы «Клиент-Банк», или же портов компьютера, к которым они подключаются.
14. Не допускается наличие на сменном носителе, используемом для хранения ключей электронно-цифровой подписи системы «Клиент-Банк», иной информации, кроме как ключевой, или использование его для любых иных целей, кроме как для хранения ключей электронно-цифровой подписи. Любое устройство, используемое для хранения ключей системы «Клиент-Банк» или подписи документов этой системы (см. п.16), должно подключаться к компьютеру исключительно на время работы с системой «Клиент-Банк», после чего должно отключаться в штатном порядке и перемещаться в место, предназначенное для его безопасного хранения (металлический шкаф, сейф и т.д.).
15. В том случае, если это возможно, необходимо использовать для подписи документов пару ключей, например, ключ бухгалтера и ключ директора, размещаемые на разных носителях данных или устройствах (см. п.16). Эта мера, в сочетании с прочими, способна уменьшить вероятность совершения хищения, поскольку злоумышленнику необходимо будет завладеть уже двумя ключами и двумя паролями к ним.
16. Для хранения ключевой информации и шифрования данных рекомендуется использование электронных ключей (так называемых «e-token`ов»), обеспечивающих больший уровень защиты от попыток несанкционированного использования систем «Клиент-Банк». Также электронные ключи целесообразно применять в тех случаях, когда осуществляется подключение к системе «Клиент-Банк» из потенциально опасного места, например, с использованием компьютера в гостинице, аэропорту, интернет-кафе или открытой публичной точки доступа Wi-Fi. Однако, они не являются панацеей, поскольку, если злоумышленник получил удаленный доступ к компьютеру (например, в результате нарушения положений п.12), то его действия, даже при использовании электронных ключей, для банка будут неотличимы от штатных действий пользователя.
17. Запрещается хранение ключей системы «Клиент-Банк» непосредственно на жестких дисках компьютера или иных встроенных в него устройствах хранения данных.
18. Если банком используется система фильтрации IP-адресов, то необходимо в официальном порядке, в письменной форме сообщить банку IP-адрес или диапазон IP-адресов, идентифицирующий компьютер, или компьютерную сеть клиента, или его провайдера в сети Интернет. Эта мера позволит значительно снизить вероятность успешных действий злоумышленников, даже в том случае, если они завладели ключами и паролями к системе «Клиент-Банк».
19. Если банк предоставляет услуги информирования о движении денежных средств и платежных документов с помощью СМС, то желательно подключить данную услугу. Эта мера позволит оперативно обнаружить поступивший от злоумышленников платежный документ и предотвратить хищение денежных средств.
20. При наличии возможности, необходимо оговорить с банком условия подтверждения платежей по системе «Клиент-Банк» (вообще всех, или превышающих определенную сумму). Например, одним из вариантов такой системы контроля может быть обратный звонок менеджера банка, работающего с клиентом, на заранее оговоренный телефонный номер, в ответ на который клиент подтверждает количество платежей и их суммы.
Обращаем внимание пользователей систем «Клиент-Банк»!
21. Не отвечайте и не реагируйте на сообщения, письма (e-mail, почтовые отправления и т.п.) или телефонные звонки, исходящие якобы от имени банка, с просьбой выслать или сообщить иным образом секретный ключ(-и), пароль(-и) и другие конфиденциальные данные, установить программное обеспечение и т.д.
22. Банк не осуществляет рассылку электронных писем, SMS и иного типа сообщений и/или почтовых отправлений, как напрямую, так и делегируя это право третьим лицам, содержащих инструктивный материал, вложенные документы, носители информации и/или программного обеспечения, ссылки на WEB-страницы и т.п. содержимое, за исключением случаев, явно инициированных владельцем конкретной СДО. Необходимые для работы системы «Клиент-банк» программное обеспечение и иную информацию можно получить исключительно на официальном сайте банка или непосредственно в банке.
23. Банк никогда не запрашивает у клиентов конфиденциальную информацию.
24. При взаимодействии с банком необходимо использовать только реквизиты средств связи (мобильных и/или стационарных телефонов, факсов, интерактивных страниц в сети Интернет (сайтов/порталов), обычной и электронной почты и др.), которые указаны в документах, полученных непосредственно в банке или размещены на официальном сайте банка.
25. Если Вы получили сообщение любой формы и способа доставки, или телефонный звонок, в котором от имени банка Вас просят исполнить какое-то действие, Вам необходимо, игнорируя полученное сообщение, немедленно связаться с банком, учитывая положения п.24 настоящего документа.
26. В случае, если при включении или в процессе работы системы «Клиент-Банк», или компьютера, используемого для работы СДО, будут обнаружены какие-то не имевшие ранее места события, такие, как нештатные информационные окна, платежи, Вами не проводившиеся или не санкционированные, сообщения об ошибках, сообщения о неверном ключе доступа или пароле, и т.п. – лицу, ответственному за работу с системой, надлежит зафиксировать суть события, прекратить работу, выключить компьютер и незамедлительно уведомить о событии сотрудников банка. Эти же действия необходимо выполнить и в случае появления признаков заражения этого компьютера или вычислительной сети, к которой он подключен, вирусными программами.
27. При увольнении сотрудников, имевших доступ к секретным ключам ЭЦП СДО и их носителям, обслуживающих систему «Клиент-Банк» или обеспечивающих информационно-техническую поддержку предприятия, необходимо незамедлительно заблокировать текущие и создать новые ключи системы «Клиент-Банк», сменив также все пароли доступа к используемому в работе с данной системой компьютеру и устройствам, подключенным к вычислительной сети. Также необходимо провести полную антивирусную проверку компьютера с установленной СДО, а также его проверку на предмет запланированного исполнения каких-либо программ, наличия программ или компонентов программ удаленного доступа и, в целом, на предмет соответствия изложенным в п. 1-13. настоящего документа требованиям и рекомендациям.
28. Ключи и пароли доступа к системе «Клиент-Банк», равно как и пароли к компьютеру, обеспечивающему функционирование этой системы, должны обязательно меняться в случае заражения данного компьютера вредоносными программами, даже в том случае, если было проведено успешное их удаление, вне зависимости от того, выполнялась или нет переустановка системного и прикладного программного обеспечения.
29. Лицо или лица, уполномоченные для работы с системой «Клиент-Банк», не должны передоверять свои обязанности иным лицам, при любых обстоятельствах и для решения любых задач, иначе, как в официальном порядке.
30. Если избежать использования систем обмена сообщениями или e-mail на компьютере, предназначенном для работы СДО, не представляется возможным, то необходимо соблюдать максимальную осторожность при работе с ними: не открывать письма или сообщения, полученные из неизвестных источников, не устанавливать и не запускать программы, прилагающиеся к письмам и не переходить по ссылкам из писем или сообщений (см. положения п.21-25).
31. Возможность просмотра ресурсов сети Интернет должна быть исключена, если же это невозможно в силу причин производственного характера, то она должна быть ограничена возможностью просмотра ресурсов, необходимыми в рабочей деятельности. Настройки безопасности программ, применяемых для просмотра ресурсов Интернет, должны быть установлены в максимально возможный уровень, не препятствующий исполнению пользователем своих служебных обязанностей.
Приведенные в данном документе правила, требования и рекомендации предполагают, что их реализация будет поручена лицам, имеющим надлежащую квалификацию и опыт работы. Они способны дать реальный эффект лишь при комплексном использовании и надлежащем контроле за их реализацией.
Строгое соблюдение Вами этих мер позволит существенно снизить риски, связанные с использованием систем "Клиент-Банк" и снизить вероятность несанкционированного доступа к Вашим денежным средствам.
***********************
Действия клиентов, использующих системы «Клиент-Банк», при появлении признаков компрометации их ключей или вирусного заражения компьютера, используемого для работы с системой.
Однозначными признаками, указывающим на получение злоумышленниками доступа к системе «Клиент-банк», можно назвать появление в базе документов этой системы платежных поручений, к набору и отправке которых лицо, ответственное за использование системы, не имеет отношения, или необъяснимое изменение остатка средств на расчетном счете.
Кроме этого, существуют и косвенные признаки, свидетельствующие о возможной атаке злоумышленников, например, признаки заражения вирусными программами, невозможность получения доступа к ресурсам в сети Интернет, сообщения об ошибках при выполнении программ и т.п. нештатные события, происходящие помимо воли пользователя.
Для своевременного и эффективного противодействия попыткам завладения Вашими денежными средствами мы рекомендуем Вам следующее:
1. Даже если финансовые операции в этот день не планируются, необходимо выходить на связь с банком несколько раз в день, утром, в момент начала рабочего дня, и вечером, незадолго до окончания операционного дня в банке. Как правило, злоумышленники отправляют документы именно в эти периоды времени или в ночное время.
2. При обнаружении документа, который заведомо не проводился на клиентской стороне уполномоченным лицом, необъяснимого изменения остатка средств на счете/счетах, или иных признаков, свидетельствующих о попытке взятия компьютера под контроль злоумышленниками (перечислены выше), необходимо немедленно связаться с банком, с целью блокирования всех платежей по всем Вашим счетам, а также, если это необходимо, для принятия мер, направленных на возврат денежных средств, уже списанных с Вашего счета.
3. После этого необходимо заблокировать действующие ключи системы «Клиент-Банк» и отключить компьютер от внутренней компьютерной сети и сети Интернет.
4. Следующие Ваши действия зависят от того, есть ли у Вас намерение проводить какие-либо действия, направленные на установление лиц, причастных к совершению данного уголовного преступления. В этом случае компьютер следует сохранить в нетронутом виде и передать, в установленном законом порядке, уполномоченным к проведению следственных мероприятий представителям правоохранительных органов. В том случае, если проведение таковых мероприятий не планируется, на компьютер необходимо заново установить операционную систему и все необходимые в работе программы, поскольку вероятность того, что для похищения ключей были использованы троянские и вирусные программы чрезвычайно велика.
5. Для упрощения процесса подготовки компьютера к установке системы «Клиент-Банк» достаточно выполнить следующие шаги:
5.1. Скопировать с него необходимую Вам информацию. При этом необходимо учесть наличие на компьютере документов и данных других программ, которые Вам необходимо сохранить. Копировать файлы системы «Клиент-Банк» и исполняемые файлы нельзя, так как они могут быть заражены вирусами.
5.2. Произвести форматирование жесткого диска компьютера, с обязательной перезаписью Master Boot Record и Volume Boot Record, поскольку существуют вредоносные программы, сохраняющие себя в этих участках жесткого диска.
5.3. Установить лицензионно-чистую операционную систему.
5.4. Установить лицензионно-чистую антивирусную программу из списка и в соответствии с рекомендациями, приведенными в п. 2 документа «Рекомендации для клиентов банка, использующих в своей деятельности системы дистанционного обслуживания».
5.5. Настроить аппаратную часть компьютера, операционную систему и прикладное программное обеспечение в соответствии с документом «Рекомендации для клиентов банка, использующих в своей деятельности системы дистанционного обслуживания».
5.6. Произвести подключение к сети Интернет и обновить базы антивирусной программы.
5.7. Установить все обновления операционной системы.
5.8. Восстановить сохраненную ранее информацию (см. п.5.1.) и установить системные и прикладные программы, необходимые для работы.
5.9. Произвести полную проверку компьютера на предмет наличия вредоносных программ, содержащихся в восстановленных, согласно п.5.8. данных и документах.
Это важно: Приведенные в разделе 5 данного документа правила, требования и рекомендации предполагают, что их реализация будет поручена лицам, имеющим надлежащую квалификацию и опыт работы. Они способны дать реальный эффект лишь при комплексном использовании и надлежащем контроле за их реализацией.
6. Установить систему «Клиент-Банк» таким образом, как это указано на сайте банка, используя программы, полученные с сайта банка.
7. Произвести генерацию ключей системы «Клиент-Банк» и их регистрацию в банке, учитывая рекомендации, изложенные в соответствующих разделах документа «Рекомендации для клиентов банка, использующих в своей деятельности системы дистанционного обслуживания».
8. При дальнейшей работе следовать рекомендациям, изложенным в документе «Рекомендации для клиентов банка, использующих в своей деятельности системы дистанционного обслуживания».
Кроме того, кража ключей может быть обнаружена сотрудниками банка, в том случае, если злоумышленник попытается подобрать к нему пароль, подключаясь к серверу банка с украденным ключом. В этом случае сотрудник, работающий с системой «Клиент-Банк» может при сеансе связи с банком увидеть сообщение о блокировке своего ключа. Если это произошло, то необходимо немедленно связаться с представителями банка для уточнения обстоятельств, приведших к блокировке ключа. В том случае, если блокировка была вызвана противоправными действиями третьих лиц, есть основания предполагать, что компьютер, используемый для работы с системой «Клиент-банк», находится под контролем злоумышленников, использующих вирусные программы для кражи ключей и паролей. В этом случае рекомендуется начать с исполнения п.3 данного документа.
В случае, если восстановление работоспособности системы по вышеуказанной методике по каким-либо причинам произвести невозможно, то перед генерацией новых ключей системы «Клиент-Банк» обязательно необходимо провести полное удаление вредоносных программ. В противном случае сохраняется возможность получения злоумышленниками доступа к данному компьютеру, и, как следствие, возможность завладения ими Вашими денежными средствами.