+7(499)495-49-41

Безопасность ДБО зависит и от банка, и от клиента

Качели ДБО: безопасность и удобство

Безопасность ДБО зависит и от банка, и от клиента

«В настоящее время ДБО скорее неотъ­емлемая часть банковского сервиса, чем нововведение, позволяющее сократить банковские расходы», — уверена Мария Лагутина, руководитель подразделения электронного бизнеса Ситибанка. Особенно бурно этот сегмент рос в кризис — стремясь сократить издержки, банкиры выводили клиентов в более дешевые каналы коммуникации (см. табл. 2).

Для физических и юридических лиц сейчас наиболее перспективен и эффективен Интернет — он доступен почти всем и стоимость его использования очень низкая, считают в банке «Уралсиб».

Многие начинают пользоваться интернет-банком прямо со своих мобильных телефонов, и банки разрабатывают облегченные версии для сотовых, говорит Николай Петелин, заместитель председателя правления Банк24.ру.

Чем популярнее системы удаленного доступа в банк — тем большее внимание на него обращают мошенники. Особенно это касается мобильного и интернет-банкинга. Убытки от несанкционированного доступа в интернет-банк официально никто не подсчитывал, однако общая сумма потерь банков от мошенников в 2009 году оценивается более чем в полмиллиарда рублей.

Достаточно вспомнить серию фишинговых атак на клиентов российских банков и «дочек» зарубежных кредитных организаций, сетевые атаки через Интернет, ориентированные на финансовые мошенничества и несанкционированный доступ к конфиденциальной информации, блокирование дистанционного выполнения банковских операций, вирусное заражение компьютерных систем. Пока до российского рынка не дошел такой вид несанкционированного доступа, как взлом web-сайтов с целью размещения на них антирекламы или порочащих банк сведений о ненадежности систем обеспечения безопасности. Но мастерство мошенников растет, и никто не может быть застрахован.

Системы ДБО развивались бурно, а об их безопасности задумались совсем недавно. При этом не прекращается война между «бизнесами» и «безопасниками», которые пытаются найти компромисс.

Последние с неохотой говорят об этих конфликтах, но в неофициальной беседе отмечают, что при всем размахе интернет-мошенничества эти потери не влияют на доходы банка.

И поэтому «пробить» апгрейд систем безопасности и аутентификации бывает довольно сложно.

Регулятор особо не регламентирует подобные операции. Последний документ от ЦБ по этому поводу вышел более трех лет назад — в 2007 году. Это было письмо №197-Т «О рисках при дистанционном банковском обслуживании», где ЦБ дал банкам несколько рекомендаций.

Защита и аутентификация

Способ защиты дистанционного канала напрямую связан с уровнем риска в системе ДБО (см. рис. 2). Уровень этот зависит, во-первых, от категории клиента, во-вторых — от типа операций.

Банки выбирают различные системы безопасности для корпоративных и розничных клиентов: более надежную для корпоративных и более удобную для розничных. Также возможно использовать различные системы безопасности для операций с разным уровнем риска: упрощенную для информационных операций и максимально надежную для активных операций.

В свое время одна из компаний пыталась ввести единое комплексное предложение для банков, однако успеха оно не имело. Банки стремятся к максимальной эффективности систем и хотят настраивать системы безопасности в зависимости от категорий клиентов и типа операций.

CПРАВКА.БО

«…Вред, причиненный жизни, здоровью или имуществу гражданина либо имуществу юридического лица вследствие конструктивных, рецептурных или иных недостатков товара, работы или услуги, а также вследствие недостоверной или недостаточной информации о товаре (работе, услуге), подлежит возмещению продавцом или изготовителем товара, лицом, выполнившим работу или оказавшим услугу (исполнителем), независимо от их вины и от того, состоял потерпевший с ними в договорных отношениях или нет.
Правила, предусмотренные настоящей статьей, применяются лишь в случаях приобретения товара (выполнения работы, оказания услуги) в потребительских целях, а не для использования в предпринимательской деятельности».

Сейчас разработчики оборудования и ПО активно предлагают системы защиты и аутентификации клиента. Учитывая, что чаще всего мошенники пользуются украденными ключами, PIN-кодами и проводят информацию от имени клиента, проблема подтверждения подлинности оказывается на переднем плане.

https://www.youtube.com/watch?v=xCDoWcWLJS0

Всего факторов аутентификации можно насчитать три. Первый — это то, что знает клиент (пароль, персональный идентификационный код (PIN), секретные ключи). Второй — это то, что клиент имеет (карта с магнитной полосой, электронные ключи классов touch memory и eToken, смарт-карта).

И третий — то, что клиент представляет собой на самом деле, то есть его биометрические данные. Третий способ, к сожалению, в качестве фактора аутентификации в мобильном и интернет-банкинге использоваться пока не может. Некоторые системы и устройства безопасности содержатся в табл. 3.

В зависимости от используемых в технологиях аутентификации факторов различают однофакторную или двухфакторную аутентификацию.

Самые распространенные и подходящие для использования в мобильном и интернет-банкинге — это электронная цифровая подпись (ЭЦП) и One Time Password (ОТР) (см. табл. 4).

Эцп (электронная цифровая подпись)

Электронная цифровая подпись — это своего рода электронный документ, состоящий из набора обязательных и необязательных реквизитов.

В состав обязательных входит криптографическая часть, обеспечивающая надежную идентификацию подписываемых данных и гарантирующая надежность источника информации о подписавшем. Также содержит минимальную информацию о подписавшем.

Этот способ аутентификации считается одним из самых надежных и используется для работы по удаленным каналам с юридическими лицами.

Одной из особенностей системы ДБО для юридических лиц является возможность проставления под документом до пяти подписей. Каждый из подписантов использует личный комплект ключей ЭЦП. Такой подход существенно затрудняет деятельность злоумышленника, поскольку для отправки документа ему необходимо завладеть полным комплектом ключей компании.

Электронная цифровая подпись формируется с помощью закрытого ключа, который может храниться на диске, в системном реестре, на токенах, смарт-картах и т.д.

Риски

Есть два риска: компрометация секретного ключа и компрометация пароля к ключу. Обоими рисками возможно управлять — хранить секретный ключ на аппаратном USB-токене и не передавать пароль третьим лицам.

Были прецеденты, когда клиент использовал токен, отходил от компьютера, а когда возвращался — на дисплее кто-то набивает платежку, сохраняет, подписывает с токена и отправляет в банк. Это работал «троян». Хорошо, что клиент сориентировался, позвонил в банк и приостановил платеж.

Законодательство

У банков есть выбор — использовать сертифицированную ЭЦП (Inter-PRO, Message PRO и др.). Документ, подписанный такой ЭЦП, юридически значим, а количество операций не ограничено. Ограничен срок действия. Недостаток сертифицированной ЭЦП в том, что ее сложно настраивать и эксплуатировать, а также необходимо надежное место для хранения файлов с секретными ключами.

Однако не все банки готовы платить за сертифицированную продукцию, тем более сложную в эксплуатации. И тогда он выбирает несертифицированный вариант (PGP и др.). Такая ЭЦП гораздо проще в эксплуатации, однако если что — платить придется банку либо разработчику.

Федеральный закон об электронной цифровой подписи №1-ФЗ от 10.01.2002 гласит, что при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5).

Конечно, прямо в законе не запрещено использовать несертифицированные ЭЦП, но в той же статье указано, что «Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации».

Отр (one time password)

Этот способ аутентификации считается достаточно простым способом, часто используется как самостоятельно, так и в сочетании с ЭЦП — к примеру, когда по операции установлен лимит.

Способы реализации:

  • ОТР-коды на скретч-картах просты в эксплуатации и надежны, однако их использование ограничено по количеству операций — приходится время от времени обращаться в банк за новыми карточками.
  • OTP-коды на банкоматной ленте избавляют от походов в банк, однако печатаются в открытом виде, что создает дополнительный риск разглашения информации. К тому же, за один запрос выдается небольшое количество кодов (~10 шт.)
  • ОТР-коды, передаваемые по SMS, тоже удобны, и ограничений на операции нет, но и здесь возникает риск — код передается по открытым каналам.
  • ОТР-токены также не имеют ограничений по операциям, безопасны и просты, но слишком дороги для клиентов (более 500 рублей).
  • И, наконец, самый современный вариант — программные ОТР-токены. Не нужно носить с собой дополнительное устройство, он встраивается в мобильный телефон или коммуникатор. Но если телефон будет украден или утерян — информация будет доступна злоумышленнику.

Самым экономичным считается распространение одноразовых паролей на бумаге, скретч-карте или генераторе одноразовых паролей на мобильном телефоне — просто потому, что банк не тратится на выдачу и перевыдачу электронных токенов и на SMS.

Риски

Динамический механизм задания пароля — один из лучших способов защитить процесс аутентификации от внешних угроз. Однако и одноразовые пароли уязвимы для фишинга.

Можно вспомнить случай, когда в конце 2005 года у пользователей Банка Швеции обманом выманили их одноразовые пароли. Мало того, даже синхронизированные по времени пароли не защищены от фишинга.

Просто в этом случае взломщик должен действовать достаточно быстро, чтобы воспользоваться паролем. Например, так случилось в 2006 году, когда совершалась атака на пользователей Citibank в США.

Законодательство

В соответствии с п. 2.3 №17-П от 10.02.

1998 временного положения о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи (АСП) при проведении безналичных расчетов кредитными организациями, «платежные документы, подписанные АСП, признаются имеющими равную юридическую силу с другими формами поручений владельцев счетов, подписанными ими собственноручно». Таким образом, законодательных препятствий к использованию такого рода способов аутентификации нет.

Резюме

Стопроцентной гарантии от несанкционированного проникновения не существует. Разработчики и банки, понимая, что опоздали с разработкой систем безопасной аутентификации, пытаются исправить ситуацию. Когда дело касается физлиц, платить по счетам мошенников почти всегда приходится банку (см. Справку.БО).

В случае с корпоративными клиентами закон не так строго регламентирует отношения, однако зачастую и в этом случае дело заканчивается возмещением ущерба клиенту из кошелька банкира. Плюс ко всему репутационные риски — наверное, именно поэтому банки стараются не раскрывать случаи мошенничества в СМИ, чем, кстати, играют на руку мошенникам.

Использование тех или иных механизмов аутентификации — это своего рода качели между простотой и снижением рисков. Клиент становится все более требовательным к качеству и безопасности услуг.

Поэтому некоторые новые виды максимально безопасной аутентификации — к примеру, разработанная несколько лет назад американцами система графических паролей — так и не были запущены в массы.

К тому же банки неохотно тратятся на «побочные» технологии, пока уровень потерь не сильно влияет на доходы.

Для справки: Электро?нная по?дпись (ЭП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП.

Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.
В России федеральным законом № 63-ФЗ от 6 апреля 2011 г.

наименование «электронная цифровая подпись» заменено словами «электронная подпись» (аббревиатура — «ЭП»).

Источник: https://bosfera.ru/bo/kacheli-dbo-bezopasnost-i-udobstvo

Защита систем дистанционного банковского обслуживания (ДБО) — CSM

Безопасность ДБО зависит и от банка, и от клиента

Это может быть классический интернет-банк, телефонный банк (call-центр), мобильный банк.

Услуги дистанционного банковского обслуживания  востребованы и популярны, они существенно упрощают жизнь клиентов банка, одновременно снижая затраты банка на транзакционную деятельность, освобождая персонал отделений и ресурсы банка для проведения таких операций, которые трудно провести без непосредственного присутствия клиента, например, автокредитование, ипотечное кредитование  и подобные операции. К сожалению,  системы дистанционного банковского обслуживания (ДБО) стали излюбленным местом атак  для различного рода мошенников, которые используют уязвимости в системах аутентификации, применяемых в системах ДБО. 

Применяются весьма изощренные схемы незаконного получения аутентификационных данных и искажения легитимных транзакций для воровства денег с банковских счетов клиентов: 

  • фишинг; 
  • подставные сайты; 
  • специально разработанные вирусы, трояны, кейлоггеры и т.д.; 
  • постоянно совершенствуются схемы атак «man-in-the-middle» (MITM),  «man-in-the-browser» (MITB); 
  • используются методы социальной инженерии; 
  • существуют угрозы и для серверной части (инсайд, коммерческий подкуп, шантаж).

Использование статического пароля  стало просто опасным. Требуемую защиту сегодня могут обеспечить только решения, поддерживающие строгие механизмы многофакторной аутентификации.

Способы аутентификации пользователей и обеспечения безопасности транзакций:

  • одноразовые пароли на основе времени/события;
  • одноразовые пароли на основе механизма «запрос – ответ»;
  • различные механизмы подписи транзакции на базе симметричных криптографических механизмов (например,  технологии EMV-CAP, OATH, проприетарных  механизмов);
  • механизмы на основе несимметричных алгоритмов (PKI);
  • специфические механизмы привязки к мобильным устройствам;
  • биометрия.

Выбор аутентификационного решения определяется тремя ключевыми факторами: требованием к защищенности системы, удобством использования и общей стоимостью владения.

При этом всегда следует помнить:

  • степень потенциальной угрозы зависит от функциональных возможностей системы и объема обращающихся в ней средств;
  • защита должна быть адекватна угрозе и одинаково надежна в каждой точке.

Решение

Сегодня на российском рынке представлен ряд продуктов, позволяющих с различной степенью успеха добавлять один-два механизма аутентификации в решение для систем ДБО и электронной коммерции.

Компания CSM предлагает универсальное решение по многофакторной аутентификации для систем дистанционного банковского обслуживания «Аутентификационный центр».

 Решение может быть создано с использованием сервера аутентификации ведущих поставщиков – Gemalto, VASCO Data Security, Thales e-Security.

«Аутентификационный центр» надежно решает вопросы аутентификации, контроля целостности информации и обеспечения безотзывности операций для любых типов аутентификационных устройств и множества различных приложений.

Решение «Аутентификационный центр» обеспечивает:

  • реализацию разнообразных механизмов строгой многофакторной аутентификации;
  • контроль целостности транзакций/информации;
  • ведение аудит-журналов для юридического подтверждения операций.

Взаимодействие клиента с защищаемым ресурсом происходит в такой последовательности:

1. Пользователь вводит аутентификационные данные и отправляет запрос на доступ к своей странице интернет-банка. 2. Фронтальное приложение (ФП) перехватывает запрос и передает аутентификационную информацию на проверку серверу аутентификации SafeSign. 3. Сервер SafeSign выполняет проверку подлинности аутентификационной информации и передает результаты проверки приложению. Проверка осуществляется с использованием аппаратного криптографического модуля SafeSign Crypto Module.

4. В случае успешного прохождения процедуры аутентификации пользователь получает доступ к своей странице в интернет-банке.

Свойства

Аппаратная безопасность

В решении «Аутентификационный центр» реализованы меры, полностью исключающие мошенничество, в том числе, со стороны сотрудников, обслуживающих систему:

  • все криптографические преобразования и операции выполняются внутри аппаратного криптографического модуля, сертифицированного в соответствии с жесткими требованиями стандарта FIPS 140-2 Level 3;
  • критически важные внутренние операции сервера аутентификации и взаимодействие с внешними приложениями защищены криптографическими механизмами;
  • выполняемые операции протоколируются для целей аудита, а целостность каждой записи журнала контролируется криптографическими средствами.

Юридическая достоверность, аудит операций

Решение ведет юридически значимый взломоустойчивый аудит-лог, содержащий записи всех аутентификаций, верификаций подписей и проверки MAC-кодов.
Кроме того, решение прослеживает историю транзакции, что позволяет:

  • убедиться в завершенности транзакции;
  • знать, кто провел транзакцию;
  • убедиться в том, что данные по транзакции не были изменены.

Широкая гамма токенов и механизмов аутентификации

Решение поддерживает разнообразные механизмы аутентификации и токены большинства мировых производителей. Это позволяет подобрать свои механизмы аутентификации для разных пользователей и приложений на основе анализа имеющихся для них рисков и предпочтений.

Поддерживаемые технологии:

  • автономные аппаратные токены (токены OATH,  VASCO,  ActivIdentity, Aladdin);
  • автономные и подключаемые кардридеры EMV/CAP/PLA;
  • PKI-карты, цифровые сертификаты или USB-токены;
  • аутентификация с использованием мобильного телефона (эмуляторы аппаратных токенов, SMS-аутентификация).

Простая интеграция «Аутентификационный центр» легко интегрируется с внутренними системами банка.

«Аутентификационный центр» легко интегрируется с решениями полного цикла банковского обслуживания клиентов. Гибкость и легкость встраивания вызовов сервера достигается исчерпывающим набором API:

  • Java RMI, JNDI или JavaBean интерфейс;
  • Web Services XML или SOAP с поддержкой для Web Services Security (WS-S);
  • Microsoft.NET интерфейс.

Встроенные инструменты управления и мониторинга сервера SSAS прозрачно интегрируются с общеизвестными продуктами IBM Tivoli и HP OpenView для обеспечения централизованного контроля и управления ИТ-инфраструктурой.

Масштабируемость и высокая надежность

Решение хорошо масштабируется и легко адаптируется к меняющимся потребностям бизнеса.

Различные варианты комплектации «Аутентификационного центра» позволяют использовать это решение для аутентификации как в небольших проектах, так и в проектах масштаба страны и континента (например, единая система Европейских электронных платежей, или объединенная система банковского обслуживания Швеции). 

Серверная архитектура спроектирована с учетом высоких требований по надежности, включающих аппаратную и программную балансировку нагрузки и отказоустойчивую кластеризацию.

Источник: http://csmteam.ru/services/it-bezopasnost-dlya-bankov/

Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

Безопасность ДБО зависит и от банка, и от клиента

Анализ выявленных в Российской Федерации за последнее время попыток хищения денежных средств с расчетных счетов корпоративных клиентов, путем совершения платежей с использованием систем электронного банкинга показал, что хищения денежных средств с расчетных счетов осуществляются, как правило:

  • ответственными сотрудниками предприятия, имевшими доступ к секретным (закрытым) ключам ЭП, в том числе работающими или уволенными (директорами, бухгалтерами и их заместителями);
  • штатными ИТ-сотрудниками организаций, имевшими доступ к носителям с секретными (закрытыми) ключами ЭП (дискеты, флеш-диски, жесткие диски и пр.), а также доступ к компьютерам, с которых осуществлялась работа по системе “Интернет-банк”;
  • нештатными, приходящими по вызову, ИТ-специалистами, выполняющими профилактику и подключение к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, с которых осуществляется работа по системе “Интернет-банк”;
  • злоумышленниками путем заражения компьютеров клиентов или взятия под контроль с использованием уязвимостей системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.) с последующим дистанционным похищением секретных (закрытых) ключей ЭП и паролей.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным (закрытым) ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной цифровой подписью.

В связи с этим Банк настоящим документом еще раз информирует Вас о необходимости строгого соблюдения приведенных в данном документе правил информационной безопасности.

2. Общие понятия

Информационная Безопасность – совокупность организационных и технических мер, направленная на повышение безопасности использования ИТ технологий. Далее по тексту ИБ.

Система Дистанционного Банковского Обслуживания – совокупность сервисов дистанционного обслуживания клиентов таких как: «Интернет-Банк», «Банк-Клиент», «Выписка OnLine» и т.п. Далее по тексту используется сокращение ДБО.

ПО – программное обеспечение.

Вредоносное ПО – это разного рода программы (в том числе троянские).

Такие программы могут регистрировать последовательность нажимаемых на клавиатуре клавиш, другие делают снимки экрана при посещении пользователем сайтов, предлагающих банковские услуги, третьи загружают на компьютер дополнительный вредоносный код, предоставляют хакеру удаленный доступ к компьютеру и т.д. Все эти программы объединяет то, что они позволяют злоумышленникам собирать конфиденциальную информацию и использовать ее в том числе для кражи денег у пользователей.

ЭП – электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) и которая используется для определения лица, подписывающего информацию.

3. Важные замечания

Важно понимать, что:

  • Банк не имеет доступа к секретным ключам ЭП и паролям Клиентов для доступа в систему дистанционного банковского обслуживания (далее ДБО).
  • Банк не может от имени Клиента сформировать корректную ЭП под электронным платежным поручением.
  • Вся ответственность за конфиденциальность секретных (закрытых) ключей ЭП полностью лежит на Клиенте, как на единственном владельце секретных (закрытых) ключей ЭП.
  • Банк не рассылает по электронной почте  и не озвучивает по телефону секретный ключ ЭП или пароль Клиента.
  • Банк не запрашивает по электронной почте  и по телефону секретный ключ ЭП или пароль, а также номер банковской карты Клиента и ПИН-коды.
  • Если  Клиент сомневается в конфиденциальности своих секретных (закрытых) ключей ЭП или есть подозрение в их компрометации (копировании), Клиент должны заблокировать свои ключи ЭП обратившись в Банк.

4. Меры ИБ

4.1. Организационные меры предприятия.

Для снижения риска неправомерного доступа к системе(ам) ДБО предприятия , необходимо определить:

• ограниченный перечень лиц имеющих доступ к системе ДБО и ЭП;

• правила хранения и использования носителей ЭП (п. 4.4.2. документа);

• перечень событий, наступление которых должно повлечь за собой немедленную замену или изъятие ключей ЭП (п. 4.5. документа).

Так же необходимо предупредить ответственных сотрудников об увеличении риска хищения и дальнейшего неправомерного использования ЭП при доступе к системе «Интернет-банкинга» с гостевых рабочих мест в местах общего пользования (например: интернет – кафе).

4.2. Правила безопасного использования сети Интернет.

  • На компьютерах, используемых для работы с системой “Интернет-банк”, исключить посещение интернет сайтов сомнительного содержания, загрузку и установку нелицензионного ПО и т. п.
  • При регистрации на сайтах, нельзя указывать личную информацию, т.к. она может быть доступна незнакомым людям. Так же, не рекомендуется размещать свою фотографию, давая, тем самым, представление о том, как вы выглядите, посторонним людям.
  • Если пришло сообщение с незнакомого адреса (включая сообщения электронной почты; мессенджеров ICQ, Skype и т.п.; Социальных сетей), его лучше не открывать. Подобные письма могут содержать вирусы.
  • Нежелательные письма от незнакомых людей называются «Спам». При получении такого письма, не отвечать на него. В случае ответа на подобное письмо, отправитель будет знать, что данный электронный почтовый ящик активно используется, и будет продолжать посылать на этот адрес спам.
  • При скачивании контента надо внимательно читать условия использования сервиса, а также информацию, размещенную с символом «звездочка» (*)
  • Необходимо быть осторожным при всплывающих окнах и не переходить по неизвестным ссылкам и адресам.
  • Не отправлять SMS для разблокировки Windows и разархивирования файлов.

4.3. Доступ к компьютеру и его защита.

  • Необходимо ограничить доступ к компьютеру, на котором установлен Интернет-банк. Доступ к компьютеру должны иметь только уполномоченные сотрудники. Рекомендуется регулярно менять пароль на вход в операционную систему, на которой установлен Интернет-банк.
  • При обслуживании компьютера ИТ-сотрудниками – обеспечивать контроль за выполняемыми ими действиями.
  • Необходимо убедится, что компьютер с установленной системой ДБО не поражен какими-либо вирусами. Необходимо установить и активировать антивирусные программы, обеспечить возможность автоматического обновления антивирусных баз, а так же еженедельно проводить антивирусную проверку. Обратите внимание, что действие вирусов может быть направлено на запоминание и передачу третьим лицам информации о вашем пароле и ключах ЭП.
  • Рекомендуется установить и использовать персональный брандмауэр (firewall) на компьютерах с доступом в интернет, это позволит предотвратить несанкционированный доступ к информации на компьютере.
  • Необходимо использовать лицензионное программное обеспечение (в том числе антивирусное), межсетевые экраны и средства защиты от несанкционированного доступа.
  • При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой “Интернет-банк”, необходимо принять меры для обеспечения отсутствия вредоносных программ на компьютерах.
  • При увольнении сотрудника, имеющего доступ к паролям и ключам ЭП, необходимо произвести смену паролей, блокировать ЭП с которой работал старый сотрудник и получить ЭП для нового сотрудника.

4.4. Правила работы в системах ДБО.

4.4.1. Пароли.

  • Для ввода пароля необходимо использовать функционал «Безопасная авторизация». В этом случае на экране появится виртуальная клавиатура – пароль набирается не клавишами на клавиатуре компьютера, а кликами курсора мыши по картинкам с буквами и цифрами, что исключает возможность перехвата пароля программами-вирусами.
  • После первого входа в систему Интернет-Банк необходимо изменить пароль, используя правила защиты паролем:
  • Не использовать для защиты данных очевидные пароли, которые легко угадать: имя  супруга (супруги), ребенка, домашнего животного, номера телефонов, регистрационный номер машины, почтовый индекс и т.п.;
  • Не сообщать никому свой пароль. Если с вами связался (например, по телефону) представитель некой организации и попросил сообщить ваш пароль, не раскрывайте свои личные данные: вы не знаете, кто на самом деле находится на другом конце провода;
  • Не записывать логин и пароль на бумаге или в файлы на рабочем компьютере. В случае необходимости хранения параметров доступа на бумажном носителе, пароли необходимо хранить в запечатанных конвертах или в сейфе вместе с ключами ЭП. Недопустимо расположение паролей на бумажных носителях на рабочем столе, под клавиатурой и т.п.;
  • Не использовать функцию запоминания логина и пароля в браузерах;
  • Не вводить логин и пароль Интернет-банка на компьютерах, которые находятся в общедоступных местах (например: интернет кафе);
  • Регулярно менять пароли;
  • Не использовать одинаковые логин и пароль для доступа к различным системам;
  • При смене паролей не допускать повторяющиеся и схожие пароли (например : пароль1, пароль2, пароль3 и т.п.)
  • Если онлайн-магазин или веб-сайт присылает по электронной почте сообщение с подтверждением регистрационной информации и новым паролем, как можно скорее  надо зайти на соответствующий сайт и сменить пароль;
  • Не допускается хранить пароль для входа в систему «ДБО BS-Client» в файле на локальном диске, либо в любом другом легкодоступном месте. Необходимо убедиться, что только уполномоченные сотрудники могут получить доступ к паролю для входа в систему. Если  возникли подозрения, что кто-либо владеет информацией о пароле, необходимо самостоятельно сменить пароль или заблокировать его с помощью обращения в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать пароль можно в офисе банка, написав соответствующее уведомление.

4.4.2. Ключи Электронной подписи.

Необходимо серьезно отнестись к вопросу хранения ключей Системы «Клиент-Банк». Наличие ключа позволяет заверить от имени владельца документ и передать его на исполнение в Банк. Для повышения безопасности рекомендуется:

  • Не хранить ключи на жестком диске компьютера! Использовать для хранения файлов с секретными (закрытыми) ключами ЭП ТОЛЬКО отчуждаемые носители: флеш-диски и eToken, к которым исключен доступ третьих лиц.
  • Использовать устройства защищенного хранения закрытых ключей ЭП – E-Token PRO (безопасность обеспечивается наличием защищенного хранилища данных, доступ к которому возможно только владельцем E-Token PRO, знающим PIN-код ключа).
  • Не передавать ключи ЭП ИТ-сотрудникам для проверки работы системы “Интернет-банк”, проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только владелец ключа ЭП, лично, должен подключить носитель к компьютеру, убедиться, что пароль доступа к ключу вводится в интерфейс клиентского части системы ДБО, и лично ввести пароль, исключая его подсматривание.
  • Выходить из Интернет-банка и отключать носитель ЭП, даже если надо отойти от компьютера на несколько минут.

4.4.3. Контроль подключения (для сервиса «Интернет-Банк»).

  • Необходимо проверять, что соединение действительно происходит в защищенном режиме. В этом случае адресная строка в браузере начинается с https://, а в адресной строке и  правом нижнем углу вэб-браузера InternetExplorer должен быть виден значок закрытого замка.
  • Необходимо убедиться в том, что соединение установлено именно с сайтом системы Интернет-Банк по адресу https://bk.gibank.ru/

Внимание!

В случае обнаружения подозрительных веб-сайтов, доменные имена и стиль оформления которых сходны с именами и оформлением, просьба сообщить об этом в Банк

  • Необходимо контролировать посещения системы, проверяя дату последнего посещения и IP-адрес,  отображаемые на главной странице
  • Регулярно проверять состояние счетов и движение документов по выпискам.
  • Не вводить конфиденциальные данные, если окно для ввода отличается от стандартных окон Системы «Клиент-Банк» (другие надписи, шрифт и тому подобное) или отображается не так как всегда (нарушен порядок работы в системе). О появлении подобных сайтов немедленно сообщите в Банк по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.
  • После окончания работы в системе ДБО надо всегда использовать пункт меню «Выход».

4.5. Случаи, требующие немедленного обращения в банк.

ПРИМЕЧАНИЕ!

Обратиться в банк клиенты могут по телефонам (495) 694-0098 или (495) 650-90-03. Так же заблокировать ключ ЭП и/или доступ в систему ДБО можно в офисе банка, написав соответствующее уведомление.

Незамедлительно надо обратиться в Банк, если:

  • Возникло подозрение, что пароль или секретные ключи были скомпрометированы, а также, если была обнаружена иная подозрительная активность в системе ДБО.
  • За сменой секретных ключей, в случае увольнения/ухода уполномоченных сотрудников или сотрудников IT клиента, которые имели доступ к ним.
  • При возникновении любых подозрений на компрометацию (копирование) секретных (закрытых) ключей ЭП или компрометацию среды исполнения (наличие в компьютере вредоносных программ). В случае выявления подозрительной активности на компьютере с установленной системой Интернет-банк (самопроизвольные движения мышью, открытие/закрытие окон, набор текста) немедленно надо выключить компьютер и сообщить в Банк о возможной попытке несанкционированного доступа к системе.

Заключительные положения

5.1. Настоящие Правила вступают в силу с момента их утверждения Председателем Правления Банка и действуют до их отмены.

5.2. В настоящие Правила могут быть внесены изменения, дополнения в установленном в Банке порядке.

Скачать: Правила информационной безопасности при работе с системой дистанционного банковского обслуживания

Источник: https://www.gibank.ru/RKO-cor-security/

Безопасность дбо зависит и от банка, и от клиента

Безопасность ДБО зависит и от банка, и от клиента

Банкам нужна комплексная защита совокупностей дистанционного обслуживания.

Кредитные организации, деятельно развивающее дистанционное обслуживание, в один момент стараются повысить защищенность совокупностей ДБО. Наряду с этим способы, каковые смогут употребляться при атаках на совокупности ДБО, различаются и зависят от конкретной совокупности. Соответственно, и методы защиты смогут варьироваться.

Угрозы бывают разнообразные

Возможно, не существует универсального средства либо способа противодействия разным атакам на совокупности ДБО. Тем более что разнообразие и количество этих атак из года в год лишь возрастает. Но имеется методы защиты от мошенников, минимизирующие риски работы в ДБО, которыми удачно пользуются банки.

«Как правило при атаках на совокупности ДБО употребляются способы социальной инженерии, средством защиты от которых есть увеличение уровня осведомленности пользователей совокупностей ДБО в вопросах информационной безопасности», — отмечает помощник главы управления по информационным рискам Райффайзенбанка Денис Камзеев. Специалист Райффайзенбанка в качестве главных угроз именно выделяет применение способов социальной инженерии с последующим заражением клиентских рабочих станций вредоносным компрометацией и программным обеспечением идентификационных данных клиента, и фишинг и атаки типа «отказ в обслуживании».

Глава управления внутренней защиты Росгосстрах Банка Николай Кузьмин среди главных угроз дистанционного обслуживания именует, первым делом, хищение ключей электронной подписи и закрытых ключей ЭП клиентов совокупностей ДБО (причем хищение производится с компьютеров клиентов).

Наряду с этим специалист Росгосстрах Банка уверен в том, что тождественный способ противодействия разного рода атакам на совокупности ДБО придуман — это перенос функции контроля главных параметров документа из ОС в замкнутую среду на внешнем устройстве.

«В этом случае функции защиты, неизменности и целостности документа реализуются не в ОС, а на отчуждаемом защищенном носителе. Такие устройства на русском рынке уже предлагают пара компаний», — поясняет эксперт.

Сейчас внимание экспертов по информационной безопасности сконцентрировано на проблеме несанкционированных платежей, каковые создаются мошенниками при помощи похищенных ключей электронной подписи, удаленного управления компьютером с ключом ЭП или при помощи подмены реквизитов платежного поручения на ПК клиента в момент подписи. Такую точку зрения высказывает помощник начальника работы информационной безопасности Промсвязьбанка Иван Ян-сон. «Соответственно, главные упрочнения сосредоточены на защите клиентских ключей ЭП и защите процесса создания электронной подписи для платежного документа. Наряду с этим выясняются в тени вопросы защиты сетевого периметра, ИТ-инфраструктуры и автоматизированных банковских совокупностей, вопросы безопасности самого приложения «клиент — банк»,- подчеркивает эксперт Промсвязьбанка.

В случае если, к примеру, веб-интерфейс совокупности «клиент — банк» написан не учитывая разработок надёжного программирования, без контроля его качества, то он может содержать уязвимости, каковые, соответственно, употребляются для атаки, растолковывает Иван Янсон.

«Для атаки на приложение «клиент — банк» смогут быть использованы уязвимости ОС сервера, на котором несвоевременно устанавливаются обновления и патчи безопасности.

Причем, строго говоря, сервер может и не быть сервером совокупности «клиент — банк» — атака возможно начата через рядом стоящее приложение (почтовый сервер, информационный web-сервер и т.п.)», -вычисляет специалист Промсвязьбанка.

Элементарные нормы безопасности

Безопасность совокупности ДБО зависит и от банка, и от клиента: у каждого собственная территория ответственности, причем у кредитной организации она значительно более широкая. В частности, в зоне ответственности банка находится комплексное обеспечение безопасности совокупности.

«В рамках реализации данной задачи банки делают все возможное чтобы обезопасисть ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента, -говорит Иван Янсон.

— Но наряду с этим, в большинстве случаев, клиент все же обязан снабжать элементарные нормы безопасности на своем рабочем месте для работы с приложением «клиент — банк».

Вправду, обстановка складывается так, что клиент выясняется менее защищен, нежели организация, исходя из этого и действия мошенников сместились как раз в эту территорию.

«В случае если ключи лежат на компьютере у клиента и их, то для чего взламывать сервер «клиент — банк»? Это сложнее сделать и более затратно.

Другими словами мошенники пошли по пути громаднейшей экономической целесообразности», — рассуждает Иван Янсон.

Но защита клиентской стороны все-таки неспешно увеличивается.

Это происходит посредством устройств защищенного хранения ключей ЭП и защищенной выработки электронной подписи, при помощи доверенных устройств отображения по подписи п/п (платежного поручения), посредством доверенных каналов подтверждения платежа, при помощи применения доверенной среды для работы с приложением «клиент — банк». По мере того как совершенствуется защита клиента, увеличивается возможность того, что мошенники начнут искать уязвимые серверы, приложения и применять эти «узкие места» для атак на совокупности ДБО, подчеркивает Иван Янсон.

Средства защиты

Действенная совокупность безопасности должна быть комплексной и включать меры и различные средства.

Денис Камзеев (Райффайзенбанк) среди факторов, из которых складывается безопасность ДБО, именует защищенность серверной части данной совокупности, авторизации схемы транзакций и надёжность аутентификации, информирование клиентов об операциях, оформленных по их квитанциям в совокупности ДБО, своевременное и действенное реагирование на сообщения клиентов о вероятном несанкционированном доступе в совокупность ДБО.

Николай Кузьмин поведал о средствах защиты совокупностей ДБО, установленных на сегодня в Росгосстрах Банке в целях защиты и безопасности информации клиентов.

Для физических лиц вход в совокупность осуществляется с применением пароля авторизации (и средств логина), причем банком установлены ограничения (дневной и месячный) на проведение операций.

Доступ к совокупности происходит по защищенному протоколу SSL (Secure Socket Layer), что удовлетворяет современным требованиям безопасности.

Операции, которые связаны с перечислением средств не на личные квитанции клиента, подтверждаются одноразовыми паролями (сеансовыми ключами).

Для юрлиц в Росгосстрах Банке предусмотрено применение сертифицированного ФСБ России программно-аппаратного комплекса, что снабжает исполнение банком функций собственного удостоверяющего центра без привлечения внешнего подрядчика.

В качестве носителей главной информации используются сертифицированные ФСТЭК России USB-ключи eToken 72K (JAVA), снабжающие надёжное хранение криптографических ключей, говорит Николай Кузьмин. «Электронная цифровая подпись, применяемая в совокупности ДБО, соответствует требованиям ФСБ России.

Независимое изготовление клиентами собственных тайных (закрытых) ключей увеличивает безопасности и уровень конфиденциальности передаваемой информации», — пологает аналитик.

Двухсторонняя безопасность

Безопасность имеет две главные составляющие, считает Иван Янсон: безопасность на стороне безопасность и банка на стороне клиента.

Первая предполагает безопасность сетевого периметра, ИТ-инфраструктуры совокупности (серверов, сетевого оборудования), приложений. Вторая предполагает обеспечение безопасности процедуры подтверждения клиентом платежа.

Специалист Промсвязьбанка поведал о том, как обеспечивается безопасность в другом случай и том.

Первая задача решается посредством применения средств сетевой безопасности, регулярной установки достаточно обновлений операционных приложений и систем, надёжной настройки конфигураций сетевого и серверного оборудования при помощи применения процедур надёжной разработки совокупностей ДБО и регулярной проверки наличия уязвимостей (посредством средств поиска уязвимостей, тестов на проникновение).

Вторая задача решается при помощи применения устройств защищенного хранения ключей ЭП и защищенной выработки электронной подписи, доверенных устройств отображения главных подписи и реквизитов платежного поручения, доверенных каналов подтверждения платежа, доверенной среды для работы с приложением «клиент — банк». И при помощи мониторинга платежей на предмет обнаружения странных и возможно мошеннических сделок.

«Примером создания доверенной среды возможно случай, в то время, когда клиент применяет для работы с приложением «клиент — банк» лишь особый выделенный ПК (к примеру, настроенный определенным защищенным образом нетбук), — говорит Иван Янсон.

-Примером применения доверенного канала подтверждения платежа являются отправка SMS-сообщений с разовыми кодами подтверждения и применение так называемых МАС-токенов (либо криптокалькуляторов).

Отметим наряду с этим, что метод, применяющий SMS-сообщения, не есть совершенным с позиций защиты».

Специалист растолковал метод работы МАС-токенов (криптокалькуляторов).

Сперва в устройство вводятся главные реквизиты платежного поручения, устройство вычисляет код подтверждения как производную величину от введенных данных и от ключа, «зашитого» в устройство.

Потом клиент вводит код подтверждения в совокупность (на ПК, смартфоне и т.п.), и совокупность контролирует, что код подтверждения относится к поступившему платежному поручению.

В случае если проверка прошла удачно, то совокупность делает платеж.

Имеется и другие варианты устройств для того чтобы класса, говорит Иван Янсон. В частности, существуют устройства, каковые разрешают считывать реквизиты платежного поручения с экрана ПК, смартфона. В этом случае ручные действия клиента минимизируются, а метод выглядит следующим образом.

Клиент вводит платежное поручение (на ПК, смартфоне). Совокупность на экране выводит в зашифрованном виде п/п и дополнительный код. Клиент подносит устройство к штрих-коду и считывает его, устройство, со своей стороны, расшифровывает п/п (платежное поручение) и дополнительный код.

Клиент контролирует, легитимен ли платеж, и в случае если платеж легитимен, вводит код подтверждения в совокупность, а совокупность проводит платеж.

Что касается устройств с подписью платежа и доверенным отображением, то их наименование говорит само за себя, считает Иван Янсон.

«Такие устройства в большинстве случаев подключаются к ПК через USB-порт и владеют возможностью просмотра на экране главных последующего подтверждения и реквизитов платежа (или, напротив, неподтверждения платежа)», — разъясняет эксперт.

Кроме этого, он утвержает, что эти устройства владеют возможностью подписи платежного поручения на самом устройстве.

«БАНК — КЛИЕНТ» С ПОМОЩЬЮ РУТОКЕН PINPAD — АДЕКВАТНЫЙ ОТВЕТ НА НОВЫЕ УГРОЗЫ

Евгений СУХОВ, начальник отдела перспективных проектов, компания «Актив»

Банки уделяют все больше внимания формированию таковой дистанционной формы обслуживания клиентов, как интернет-банкинг.

Соответственно, растет спрос на повышение безопасности сервиса, и необходимость соответствования требованиям (ФСБ, ФСТЭК, ФЗ-152, защита коммерческой тайны и т.д.).

Совокупности «клиент — банк» оперируют настоящими деньгами, исходя из этого безопасность этих совокупностей должна быть на высоте.

Разбирая текущую обстановку, возможно заявить, что тенденция перехода банков на применение специальных средств обеспечения безопасности в совокупностях ДБО находится в стадии активного формирования.

В пользу этого факта возможно привести пример своевременного появления на рынке специального ответа Рутокен PINPad, талантливого обезопасисть пользователей совокупностей дистанционного банковского обслуживания от неприятностей, которые связаны с применением преступниками удаленного управления подменой и компьютером платежной информации вредоносным программным обеспечением.

Такое ответ будет весьма интересно фактически всем. Для банков появляется новый метод дать своим клиентам более надежный сервис (вместо того дабы разбираться с претензиями).

Для ведущих разработчиков совокупностей «банк — клиент», совместно с которыми компания «Актив» продвигает Рутокен PINPad на рынок, интеграция с этим аппаратным ответом дает убедительное конкурентное преимущество, разрешает привлечь новых клиентов.

Компания «Актив», производитель устройства Рутокен PINPad, тесно взаимодействует с ведущими разработчиками совокупностей ДБО. Уже на данный момент Рутокен PINPad употребляется в совокупности «Инист Банк Клиент» компании «Инист» и в совокупности «Банк+Клиент СФТ» компании СФТ. На завершающем этапе находится внедрение в совокупность «ДБО BS-Client» компании BSS.

Ведутся переговоры о поставках Рутокен PINPad в ведущие банки, предлагающие своим клиентам услуги по дистанционному обслуживанию.

Темы которые будут Вам интересны:

Источник: http://cont-market.ru/bezopasnost-dbo-zavisit-i-ot-banka-i-ot-klienta/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.