Для физических лиц

Для юридических лиц и ФЛП

О безопасности

О безопасности

  • Организационные правила
  • Общесистемные правила
  • Использование ключей-токенов

Правила обеспечения безопасности при работе с системой Интернет-Банкинг

В последнее время активизировались попытки хищения и компрометации секретных данных клиентов, которые работают с системами дистанционного банковского обслуживания, в том числе с системой Интернет-Банкинг. Это выражается в применении злоумышленниками специальных вредоносных программ, которыми заражаются компьютеры пользователей в попытке завладеть секретными данными клиентов. Такие программы, вместо настоящих окон для ввода ЭЦП и пароля, выводят на экран пользователей поддельные окна, чем-то похожие на настоящие. Пользователи системы, не заметив разницы, вводят в такое окно электронные ключи и пароли, после чего программа передает их по сети Интернет злоумышленникам. Для предотвращения компрометации секретных данных и возможного хищения денежных средств, при обнаружении подобного рода окон, клиент должен прекратить попытки входа в систему, проинформировать сотрудников банка и согласовать с ними последующие шаги!
Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов, как правило, осуществляются:

1. Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам ЭЦП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.

2. Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-карты, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе Интернет-Банкинг.

3. Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе электронного банкинга «iBank 2». Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.

4. Злоумышленниками, путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей.

Для предотвращения возможного хищения секретной информации, в том числе электронных ключей ЭЦП, с компьютеров пользователей и, как следствие, возможного хищения денежных средств со счетов пользователей, необходимо соблюдать правила обеспечения безопасности при работе с системой Интернет-Банкинг в глобальной сети Интернет.

Для исключения ситуаций, которые могут привести к компрометации секретных данных клиентов, в том числе электронных ключей, и хищении денежных средств, соблюдать следующие правила обеспечения безопасности при работе с системой Интернет-Банкинг в глобальной сети Интернет:

Организационные правила безопасности

1. Ограничивать доступ к компьютерам, с которых ведется работа с системой Интернет-Банкинг, посторонним лицам.

2. Не использовать компьютер, с которого выполняется работа с системой Интернет-Банкинг, для "серфинга" в Интернет, тем более для просмотра сайтов "сомнительного" характера.

3. Использовать более одной ЭЦП для подписи платежных документов (для корпоративных клиентов). Например, директора и главного бухгалтера.

4. Не использовать один и тот же файл для хранения нескольких ЭЦП. Всегда использовать разные. Хранить их раздельно.

5. Не разглашать пароли ЭЦП, не записывать их и не оставлять их в доступном месте, в том числе там где храните ЭЦП.

6. Не отвечать на электронные письма, якобы от банка, с просьбой прислать для проверки ЭЦП и пароли. Банк никогда не запрашивает у клиентов секретную информацию. Эти письма отправляются злоумышленниками.

7. При вводе файла ЭЦП и пароля в окно входа в систему, особое внимание обращать на правильное отображение названия ключа.

8. При работе с системой Интернет-Банкинг, всегда обращать внимание на адрес сайта системы. Правильный адрес выглядит так: https://ibank.marfinbank.ua. Обратите внимание на префикс адреса https, он говорит о наличии защищенного соединения с банком. Удостоверится в том, что вы находитесь на настоящем сайте, можно проверив SSL-сертификат безопасности, кликнув на иконке "замок", который обычно располагается рядом с адресной строкой браузера либо на его статусной строке внизу окна.

9. В случае: обнаружения попытки компрометации ключей ЭЦП, увольнения ответственных сотрудников (которые имели или могли иметь доступ к файлам ЭЦП и компьютерам, с которых осуществляется работа с системой Интернет-Банкинг), например, директора, бухгалтера или ИТ-администратора, обязательно обращаться в банк для блокировки текущих ключей ЭЦП, после чего выполнять процедуру создания новых ключей.

10. Не работать на компьютере, с которого выполняется работа с системой Интернет-Банкинг, с правами системного Администратора.


Общесистемные правила безопасности

1. Использовать антивирусное программное обеспечение известных производителей (для частных клиентов мы рекомендуем использовать бесплатные антивирусные программы). Ежедневно выполнять обновление антивирусных баз этих систем (у большинства этих систем - это автоматическая функция). 
2. Использовать межсетевые экраны (файрволы), для предотвращения атак на компьютеры пользователей извне и препятствия несанкционированным передачам секретных данных с компьютера пользователя в сеть Интернет (частным клиентам можно предложить использовать бесплатные файрволы, в том числе стандартный, входящий в поставку системы MS Windows; однако мы рекомендуем использовать коммерческие программы, такие как OutpostZoneAlarm и пр.)
3. Использовать программное обеспечение для защиты от Программ-шпионов и сканеров клавиатур. 
4. Не отключать автоматическое обновление операционной системы. Либо, ежемесячно обновлять операционную систему самостоятельно. Банк настоятельно рекомендует использовать лицензионные операционные системы.
5. Не хранить секретные данные, в том числе ЭЦП, непосредственно на компьютере. Для этого, использовать сменные накопители (флеш-карты и т.п.), которые хранить в безопасном месте.
6. Не использовать для работы в сети Интернет и в системе Интернет-Банкинг не проверенные компьютеры (например, в интернет-кафе), на которых может быть установлено вредоносное программное обеспечение.
7. Настроить ваш интернет-браузер для запрета: автоматической загрузки файлов из сети Интернет; автоматического запуска файлов из сети Интернет; автоматической загрузки не подписанных элементов ActiveX. Увеличить уровень безопасности браузера до максимального.
8. Не устанавливать и не сохранять подозрительные файлы, полученные из ненадежных источников, скачанные с неизвестных web-сайтов, присланные по электронной почте, полученные в телеконференциях и через программы мгновенных сообщений (ICQ и пр.). Такие файлы лучше немедленно удалять. В случае необходимости загрузки файла, убедится, что он проверен антивирусом.


Использование аппаратных ключей - USB-токенов

  
        Юридическим лицам и предпринимателям предлагается возможность использования аппаратных электронных ключей - USB-токенов для работы с системой Интернет-Банкинг.
USB-Токены являются устройствами, которые позволяют обеспечить максимальный уровень безопасности при работе с системой Интернет-Банкинг в глобальной сети Интернет. Токены предназначены для хранения электронных ключей пользователей. Аппаратная защита от копирования позволяет исключить кражу хранимой в токенах секретной информации программным путем, в том числе вредоносными программами. 
        Использование токенов дает пользователям возможность безопасно работать с системой Интернет-Банкинг в непроверенных местах доступа в Интернет. Клиенты могут не опасаться кражи электронных ключей в гостиницах, публичных WiFi-зонах, чужой локальной сети и т.п., находясь в отпуске или командировке. 
        Работа с USB-Токенами проста и аналогична использованию обычных файловых электронных ключей. Перед работой с системой Интернет-Банкинг, необходимо установить токен в свободный USB порт. При входе в систему, вместо привычного файла с электронными ключами необходимо выбрать использование токена, ввести пароль и войти в систему. После работы с системой, необходимо отключить токен от компьютера и сохранить его в безопасном месте отдельно от компьютера.
        Для работы с токенами, требуется предварительная инсталляция специального драйвера (только для ОС Microsoft Windows).
USB-токены, необходимо получить в банке у управляющего счетами. Получение токенов оформляется соответствующим Актом приема-передачи. 
        Полученные токены необходимо зарегистрировать в системе Интернет-Банкинг. Для этого, необходимо пройти стандартную процедуру создания новых электронных ключей, но уже с использованием токена (Внимание! Токены будут определяться в системе только в случае установки соответствующего драйвера). После создания новой ЭЦП (Электронно-Цифровой Подписи), необходимо передать управляющему счетом заполненный и подписанный документ Сертификат открытого ключа ЭЦП для активации электронного ключа администратором системы. После активации, токеном можно будет начать пользоваться.
Внимание! После активации токена, все файловые электронные ключи клиента, в целях безопасности, будут деактивированы.
Стоимость использования токенов определяется текущими тарифами.
USB-Токен внешне выглядит как обычная флешка и имеет примерно те же размеры:

Скачать драйвер USB-токена
Установка драйвера USB-токена