(382-2) 784-701
г. Томск, пер. Войкова, 2а
Ирина, Начальник отдела по работе с персоналомИрина, Начальник отдела по работе с персоналом

Памятка "О мерах безопасности при работе с системами дистанционного обслуживания"

Проведенный Центральным Банком России анализ обстоятельств хищения денежных средств при использовании систем интернет-банкинга показывает, что для реализации преступных посягательств все чаще применяются технические средства, позволяющие удаленно, путем хакерских, вирусных и иных атак осуществлять хищение ключей клиентов банков, которые, как правило об этом не знают. А затем использовать эти ключи для проведения незаконных операций по счетам.

Также следует иметь в виду, что, при совершении попыток неправомерного получения персональной информации пользователей систем дистанционного банковского обслуживания клиентам банков по системам электронной почты может быть направлены сообщения, в которых под какими-либо предлогами (техническое перевооружение организации, обновление или сверка баз данных банка и т.п.) предлагается ввести с клавиатуры компьютера указанные коды в поля экранных форм в ходе имитируемых сеансов информационного взаимодействия с кредитной организацией (к примеру, через созданный дубликат ее web-сайта). Одновременно на компьютер клиента с web-сайта могут передаваться вредоносные программы, являющиеся компьютерными вирусами или "закладками", выполняющими в фоновом режиме работы скрытые функции, связанные с неправомерным получением персональной информации пользователей «Банк-Клиента».

В целях неправомерного получения персональной информации пользователей, заинтересованные лица используют также различные варианты телефонного мошенничества. В частности, отмечаются случаи направления мошенниками на мобильные телефоны клиентов банков SMS-сообщений о необходимости позвонить по номерам телефонов, которые в действительности не принадлежат этим банкам. Также имеют место звонки клиентам с сообщением автоинформаторов о предоставлении продуктов и услуг банка с предложением нажать определенные клавиши на телефоне для подтверждения согласия в их приобретении и т.п. Тем самым клиенты банка провоцируются к вступлению в контакты с мошенниками, целью которых в том числе может являться получение конфиденциальной клиентской информации.

Банк России сообщает о появлении в российском сегменте сети Интернет Web-сайтов, имитирующих интернет-представительства ряда российских кредитных организаций. Доменные имена и стиль оформления таких сайтов, как правило, сходны с именами подлинных Web-сайтов банков, а содержание прямо указывает на их якобы принадлежность соответствующим кредитным организациям. При этом посетителям таких сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация. Использование подобных реквизитов, а также вступление в какие-либо деловые отношения с лицами, фактически представляющими ложные банки, связано с риском и может привести к нежелательным последствиям для клиентов кредитных организаций.
В связи с изложенным, в целях противодействия распространению подобных негативных явлений Банк России начиная с 11.06.2009 приступил к регулярному размещению на своем Web-сайте ( http://www.cbr.ru/credit/CO_sites.asp ) списка адресов (доменных имен) официальных Web-сайтов кредитных организаций, содержащихся в отчетах по форме 0409070 "Сведения об использовании кредитной организацией интернет-технологий". Клиентам Банка необходимо информировать Банк о самостоятельно выявленных ложных Web-сайтах банка или о полученных сведениях подобного рода по электронной почте или иным способом.

Общие требования обеспечения безопасности:

  • Использовать для хранения ключевой информации отчуждаемые носители: дискеты, флеш – диски, USB-токены.
  • Отключать, извлекать ключевые носители информации, если они не используются для работы с системой «Банк-Клиент iBank2». 
  • Ограничить доступ к компьютеру, используемому для работы с системой «Банк-Клиент iBank2». Исключить доступ к компьютеру персонала, не имеющего права доступа к системе «Банк-Клиент iBank2».
  • Не открывать сообщения, пришедшие по электронной почте, если Вы не знаете отправителя. Будьте особенно осторожны при открытии посланий с вложенными файлами. Если Вы не знаете, что за файл прикреплен к письму, не открывайте его. Будьте аккуратны с ссылками, содержащимися в электронных сообщениях. Они могут открывать совсем не тот сайт, который указан в текстовой информации.
  • На компьютерах, используемых для работы с системой удаленного доступа, исключить посещение интернет‑сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т.п.
  • Не использовать ключи Электронной Подписи (далее ЭП - персональный идентификатор кредитной организации либо клиента кредитной организации, являющийся контрольным параметром правильности составления всех обязательных реквизитов платежного документа и неизменности их содержания) и другую аутентификационную информацию для входа в систему удаленного доступа с гостевых рабочих мест (интернет-кафе и т.д.).
  • Перейти к использованию лицензионного ПО (операционные системы, офисные пакеты и пр.), обеспечить автоматическое обновление системного и прикладного ПО.
  • Применять на рабочем месте лицензионные средства антивирусной защиты, обеспечить возможность автоматического обновления антивирусных баз.
  • Применять на рабочем месте специализированные программные средства безопасности: персональные межсетевые экраны, антишпионское программное обеспечение и т.п.
  • При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.
  • Не передавать ключи ЭП ИТ-сотрудникам для проверки работы системы удаленного доступа, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭП должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского АРМа системы, и лично ввести пароль, исключая его подсматривание.
  • При увольнении ответственного сотрудника, имевшего доступ к секретному (закрытому) ключу ЭП, обязательно позвонить в банк и заблокировать ключ ЭП.
  • При возникновении любых подозрений на компрометацию (копирование) секретных (закрытых) ключей ЭП или компрометацию среды исполнения (наличие в компьютере вредоносных программ) - обязательно позвонить в банк и заблокировать ключи ЭП.

Рекомендации по обеспечению безопасности ключевой информации:

  • для хранения ключевых носителей с ключами ЭП выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации;
  • хранение ключей допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное применение, не предусмотренное правилами пользования СЗИ;
  • ключевые носители с рабочими ключами (дополнительными ключами) хранятся раздельно с обеспечением условия невозможности их одновременной компрометации;
  • при транспортировке ключевых носителей с секретной ключевой информацией создаются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

 Рекомендации по обеспечению безопасности с помощью дополнительных услуг банка:

  • Подключить услугу «IP-фильтрация» (информация, передаваемая в Банк по системе "Банк-Клиент iBank2", будет обработана только в случае совпадения IP-адреса передающего компьютера, с IP-адресом Клиента, хранящимся в базе данных Банка);
  • Подключить услуги «SMS-Сервис» (дает возможность оперативно получать SMS сообщения с информацией о состояния Вашего расчетного счета и о регистрации в системе «Банк-Клиент iBank2», что существенно повысит уровень безопасности);
  • Подключить услугу Аутентификации по SMS (получение по SMS одноразового пароля на вход в систему);
  • Использовать USB-токен «iBank 2 Key» и Smart Card(смарт-карты) «iBank 2 Key»  (ключевые носители информации, обеспечивающие защищенное хранение и неизвлекаемость ключей);
  • Использовать МАК-токен (генератор одноразовых паролей, защищенный пин кодом );
  • Использовать AGSES-карту (устройство генерации одноразовых паролей с использованием биометрической аутентификации).
Версия для печати