Рекомендации по защите информации при работе в системах ДБО
В последнее время участились случаи мошеннических действий в системах дистанционного банковского обслуживания (ДБО), направленные на хищение секретных ключей пользователей и денежных средств организаций. Все большая популярность удаленного управления счетами, активность и безнаказанность киберпреступников не позволяют надеяться на снижение количества инцидентов в будущем.
Сотрудники компании «СОВИТ» имеют богатый опыт в расследовании инцидентов, связанных с атаками на системы ДБО. В данной статье мы рассмотрим практические меры, позволяющие снизить вероятность кражи денежных средств со счетов компаний, а также приведем рекомендации по реагированию на возможные мошеннические действия.
Организационные мероприятия по противодействию мошенничеству в системах ДБО
Основные:
- Осуществлять работу с системой ДБО с выделенного рабочего места. На машине должен быть установлен минимально необходимый набор программ.
- Запретить доступ в Интернет с рабочего места системы ДБО на все сайты, кроме сайта банка.
- Хранить секретные ключи, используемые для работы с системой ДБО, в хранилищах, не позволяющих копировать ключ, например, в защищенных USB-токенах.
- Запретить на рабочем месте системы ДБО запуск файлов, полученных из недоверенных источников.
- Запретить отключение персонального антивируса.
- Категорически запретить работу с системой ДБО с других рабочих мест (из дома, Интернет-кафе и т.д.)
Дополнительные:
- Ограничить круг лиц, имеющих право доступа к компьютеру, используемому для работы в системе ДБО.
- Не оставлять без контроля включенный компьютер, используемый для работы в системе ДБО.
- Запретить оставлять хранилище секретного ключа постоянно подключенным к компьютеру. Подключать устройство только для входа в систему или подписи документов.
- Запретить создавать одинаковые пароли для входа в операционную систему, систему ДБО, в электронную почту, на форумы и т.п.
- При увольнении ответственного сотрудника необходимо заменить всю аутентификационную информацию.
Технические мероприятия по противодействию мошенничеству в системах ДБО
Основные:
- На рабочем месте системы ДБО использовать лицензионное регулярно обновляемое прикладное программное обеспечение (ПО).
- На рабочем месте системы ДБО использовать лицензионный ежедневно обновляемый антивирус.
- На персональном межсетевом экране рабочего места системы ДБО запретить доступ к любым IP-адресам кроме IP-адреса сайта банка, корпоративного сервера бухгалтерии, сервера обновлений антивируса, прикладного и системного ПО.
- На персональном межсетевом экране рабочего места системы ДБО запретить доступ к сайтам с недоверенным или просроченным сертификатом безопасности.
- На рабочем месте системы ДБО запретить использование любого ПО, предназначенного для удаленного управления компьютером.
- Использовать средства защиты сети организации (корпоративный межсетевой экран, корпоративный антивирус, средства обнаружения и предотвращения вторжений).
Дополнительные:
- Рабочее место системы ДБО должно находиться в отдельном сегменте сети, имя машины не должно указывать на использование ее для работы с системой ДБО.
- На рабочем месте системы ДБО необходимо использовать программное обеспечение для контроля портов ввода/вывода. Запретить использование всех съемных носителей, кроме ограниченного списка.
- На рабочем месте системы ДБО отключить службы сервера и терминала, которые предоставляют удаленный доступ к рабочему месту.
- Для работы с системой ДБО использовать локальную учетную запись с ограниченными правами.
- На персональном межсетевом экране рабочего места системы ДБО запретить входящий и исходящий трафик по всем неиспользуемым портам.
Реагирование на инциденты
Реагирование до хищения
При возникновении следующих ситуаций:
- обнаружение попыток входа в систему ДБО с других IP-адресов или в нерабочее время;
- несоответствие порядковых номеров платежных поручений;
- внезапное продолжительное пропадание сотовой связи на SIM-карте, используемой для работы с системой ДБО;
- невозможность загрузки рабочего места системы ДБО;
- невозможность входа в систему ДБО (недоступность сайта, невозможность авторизации), даже при наличии сообщения о проведении регламентных работ;
- атака на сетевую инфраструктуру компании.
необходимо незамедлительно уточнить в банке наличие подложных платежных документов. При обоснованном подозрении в компрометации аутентификационной информации следует дать банку распоряжение на блокирование доступа в систему ДБО.
Действия после обнаружения хищения
При обнаружении факта мошенничества необходимо:
- незамедлительно дать в банк распоряжение на блокирование доступа в систему и отмену подложного платежа;
- отключить рабочее место системы ДБО;
- сохранить журналы сетевого оборудования и шлюзов безопасности;
- не использовать скомпрометированную аутентификационную информацию системы ДБО;
- обратиться в органы МВД с заявлением о факте мошенничества.
Заключение
Руководители многих компаний еще не полностью осознают все риски, связанные с использованием систем удаленного управления счетами. Помня о физической безопасности, большинство ответственных сотрудников обычно забывают о рисках информационной безопасности.
При использовании системы ДБО необходимо помнить:
средства с расчетного счета могут быть похищены и обналичены за очень короткое время;
процент раскрытия подобного рода преступлений очень низок;
большинство жертв мошенничества не имели выделенного рабочего места для работы с системой ДБО, регламента работы с системой, современных средств информационной безопасности, актуальных обновлений программного обеспечения.
Применение перечисленных в статье мер поможет резко сократить вероятность хищения средств через систему ДБО, а потраченные на это время и средства являются отличными инвестициями в безопасность и стабильность компании.
Более подробную информацию о наших решениях по защите систем дистанционного банковского обслуживания Вы сможете получить, обратившись по адресу info@sovit.net, заполнив форму обратной связи или позвонив по телефону +7 (495) 920-44-28.
