.:: ОСНОВНЫЕ ПРАВИЛА ПРИ РАБОТЕ С IBANK 2 ::.

УВАЖАЕМЫЕ КЛИЕНТЫ!

В последнее время резко возросло количество финансовых преступлений, совершаемых с использованием достижений высоких технологий. Таким примером могут служить случаи хищения денежных средств граждан с пластиковых карт через сеть банкоматов и платежных интернет систем. Если банкоматы и пластиковые карты еще можно как-то защитить силами банков – эмитентов, то системы, использующие доступ к банковским счетам через сеть Интернет выглядят наиболее опасными и менее защищенными от злоумышленников, легко ориентирующихся в динамично развивающихся современных информационных технологиях (далее ИТ). Вопрос стоит не в слабой защищенности ресурсов, предоставляемых банками. Как правило банки, для того чтобы предоставить доступ к системе дистанционного банковского обслуживания (далее ДБО) проходят строгую систему проверок, аттестаций и лицензирования у соответствующих служб ФСБ России и ЦБ России.

Опыт показывает, что при хищении денежных средств с использованием систем ДБО, злоумышленники не тратят время и силы на взлом банковских систем, а как правило, атакуют незащищенные персональные компьютеры клиентов банков (далее ПК).

Даже и не зная основных принципов ИТ, не следует бояться их использовать. Нужно просто придерживаться определенных правил безопасности при работе с подобными системами.

Мероприятия по защите, реализуемые Клиентом самостоятельно

Физическая защита

Организационные мероприятия – очень важный момент, существенно снижающий вероятность хищения денежных средств с использованием ДБО. Организационные мероприятия включают в себя все правила физической защиты компьютера, на котором установлена клиентская часть системы ДБО.

Физическая защита включает в себя:

1. Использование ПК только для работы с ДБО.

2. НЕ использовать компьютер:
- для компьютерных игр,
- для серфинга (доступа) в Интернет,
- в качестве компьютера общего пользования.

3. Ограничение доступа посторонних лиц к ПК, используемому для работы с ДБО. Посторонние лица – это не только люди с улицы, а как правило, лица, работающие в той же организации, но не имеющие отношение к работе с ДБО. Такими лицами могут быть:

  • дети сотрудников, руководства и директора организации, которые могут устанавливать компьютерные игры, входить в Интернет, запускать разные компьютерные программы, не предназначенные для работы на ПК, с которого осуществляются платежи через систему ДБО;
  • сотрудники организации, работа которых не связана с системой ДБО. Это, как правило, сотрудники и руководители других подразделений организации, которые могут использовать ПК для компьютерных игр и Интернет;
  • родственники сотрудников организации, не имеющие отношение к работе с ДБО;
  • лица и организации, которые занимаются обслуживанием и ремонтом ПК и локальной сети организации, производят настройку ПК для выхода в Интернет!!! Это особая категория лиц, обладающая достаточной квалификацией в ИТ технологиях, и имеющих достаточно знаний, которые возможно использовать для осуществления несанкционированного (неразрешенного) доступа к ПК. Все работы, проводимые такими лицами, должны жестко контролироваться и регулироваться договорами, повышающими их ответственность перед Вами в случае утраты электронных ключей. Электронные ключи системы ДБО на момент обслуживания компьютера НЕ ДОЛЖНЫ БЫТЬ установлены на ПК. Ключевой носитель должен контролироваться сотрудником, ответственным за работу с ДБО. Необходимо предотвратить свободный доступ к ключу.

4. Экран компьютера должен быть расположен так, чтобы не было возможности просмотреть его со стороны (из-за спины, через отражение в зеркале или в окне).

Мероприятия по защите электронного ключа

Электронный ключ можно сравнить с ключом от квартиры, или от банковской ячейки. От того, как ключ хранится, зависит сохранность денежных средств на расчетном счете, доступ к которому осуществляется через систему ДБО.

1. Категорически недопустимо:

  • оставлять носитель с ключом на ПК постоянно, даже на периоды отсутствия доступа к системе ДБО;
  • давать ключ лицам, не имеющих права работы с ДБО;
  • оставлять ключ без присмотра в открытом доступе (на столе, тумбочке и т.п.);
  • передавать ключ сотрудникам и организациям, производящих техническое обслуживание, ремонт и настройку ПК и программного обеспечения;
  • передавать ключ сотрудникам банка;
  • терять электронный ключ.

2. Обязательно следует:

  • вынимать ключ после окончания работы с ним;
  • хранить ключ только в ЗАКРЫВАЕМЫХ ящиках/сейфах/боксах/пеналах.

3. Обращать особое внимание в случае, если:

  • носитель с ключом пропадал на некоторое время, а потом неожиданно нашелся;
  • лицо, работающее с ключом в организации, уходит в отгул, отпуск, берёт больничный, увольняется. В этом случае ключ необходимо дополнительно контролировать, либо менять (при увольнении сотрудника);
  • сайт системы ДБО поменял свой внешний вид без предварительного предупреждения от банка;
  • появление сообщений на сайте системы ДБО о проведении технических работ, без предварительного предупреждения со стороны банка.

Технические мероприятия по защите персонального компьютера

Данный вид мероприятий включает в себя защита ПК от вредоносных программ, программных вирусов и неизвестных компьютерных программ.

Для подобной защиты существуют компьютерные программы – антивирусы и т.н. антишпионы. Это программное обеспечение (ПО) обязательно должно быть приобретено у официальных представителей, имели лицензии и сертификаты безопасности ФСБ России. Подобные ПО должны работать постоянно и не отключаться в процессе работы. Очевидно, что они требуют определенных ресурсов компьютера. Следовательно, следует заранее планировать мощность компьютера, чтобы работа на нем была комфортна при использовании антивирусных программ. Но и сами антивирусы должны быть настроены так, чтобы одновременно эффективно защищать ПК и не мешать работе на нем. Базы данных этих ПО должны регулярно обновляться, чтобы иметь данные о самых свежих вирусах и программ - шпионах. Как правило, вредоносные программы попадают на компьютер тремя путями:

  • через съемный носитель (флеш-память/флеш-диск, дискета, CD/DVD диски);
  • через программы электронной почты (e-mail) или обмена сообщениями (ICQ, «аська»);
  • через сайты сети Интернет.

Если антивирус/анти-шпион работает правильно, то при обращении к этим источникам информации, программы автоматически срабатывают для поиска вирусов и программ-шпионов. В случае же, если в момент обращения к одному из источников антивирусное средство было просто отключено, вирус беспрепятственно может проникнуть на ПК. В этом случае последствия вирусной атаки непредсказуемы. Необходимо регулярно запускать сканирование компьютера антивирусом для профилактики.

Следует избегать установки различных неизвестных нелицензионных компьютерных программ на рабочее место системы ДБО. Последствия таких установок однозначно непредсказуемы.

Кроме антивирусных программ, следует применять межсетевые экраны – программы, которые контролируют доступ компьютера к сети и доступ к компьютеру из сети. Такие программы реализуют строгий список правил доступа компьютера к объектам сети. С помощью межсетевого экрана следует полностью запретить доступ к компьютеру, с которого осуществляется доступ к Системе, из локальной сети и из сети Интернет, а также крайне желательно запретить доступ ко всем ресурсам сети Интернет, кроме сервера Системы.

Мероприятия по защите, реализуемые Клиентом совместно с Банком

Кроме самостоятельной организации защитных мер, Клиент может совместно с Банком использовать следующие способы защиты, доступные в Системе:

1. Использование фиксированного IP-адреса

При подключении к сети Интернет каждому компьютеру присваивается определённый IP-адрес. В зависимости от способа подключения к сети Интернет, и в зависимости от провайдера, этот адрес может быть закреплён за компьютером Клиента, либо выдаваться динамически, т.е. быть разным при каждом подключении. В случае использования статического IP-адреса существует техническая возможность ограничить доступ к Системе так, чтобы войти в неё можно быть только с одного (или нескольких) адресов, которые Клиент укажет Банку путём подачи заявлвения.

2. Использование ключа « iBank2 Key»

Для защиты электронного ключа от несанкционированного доступа Банк рекомендует применять ключи «iBank2 Key». Ключ «iBank2 Key» может быть исполнен в виде флешки или в виде смарт-карты, содержит в себе специальный микропроцессор, который генерирует электронные ключи, хранит их и с их помощью формирует значение цифровой подписи. При этом секретный ключ электронной цифровой подписи Клиента не покидает пределов микросхемы «iBank2 Key», и следовательно, ключ не может быть украден с помощью вредоносных программ.

3. Использование SMS-банкинга

Услуга SMS-банкинга, кроме рассылки уведомлений о различных событиях в Системе, позволяет усилить возможности для аутентификации Клиента в Системе и тем самым серьёзно усложнить возможность получения несанкционированного доступа к Системе со стороны злоумышленников. Если Клиент активирует услугу расширенной аутентификации, то при каждой попытке входа в Систему на телефон Клиента будет высылаться одноразовый пароль в виде SMS-сообщения, и доступ к Системе будет предоставлен только после ввода пароля. Таким образом, для получения доступа к Системе, злоумышленнику необходимо будет кроме кражи электронного ключа каким-то способом перехватить SMS-пароль.

Кроме того, уведомления SMS-банкинга позволяют оперативно отслеживать события доступа к Системе и выявлять попытки несанкционированного доступа.

В случае, если Вы все-таки пострадали от вирусной атаки или от злоумышленников, получивших несанкционированный доступ к электронному ключу, НЕМЕДЛЕННО СООБЩИТЕ О СЛУЧИВШИМСЯ ФАКТЕ в банк по телефону и ЗАБЛОКИРУЙТЕ доступ к системе ДБО.

Далее действуйте по инструкции безопасности банка. Совместно с сотрудниками банка разберитесь со случившимся фактом до конца, не теряйте время – выявите причину, по которой произошло данное событие, чтобы не допустить подобных ситуаций вновь.

ПОМНИТЕ! Банк заинтересован в выявлении и устранении фактов и причин несанкционированного хищения ключей и денежных средств с использованием системы ДБО.

Банк заинтересован в сохранении Ваших денежных средств на расчетных счетах и своей деловой репутации.