fintraining (fintraining) wrote,
fintraining
fintraining

Category:

Как защитить свои деньги

С.С.:
Уже писал не раз про большие проблемы в российской банковской системе с удаленным банковским обслуживанием ("клиент-банк", "интернет-банк" и т.д.)

Вот вам свежий пример из френдленты.

Все еще думаете, что вас это не касается, вы - умный и вам бояться нечего?

* * *
Оригинал взят у abradoks в Как защитить свои деньги
Вчера не писал ничего. Не было времени.  Хакнули одного моего клиента.
Списали с банковского счета приличную сумму денег, эквивалентную стоимости нескольких авто.


Все предприятия сейчас работают с банками через систему удаленного банковского обслуживания "Клиент-Банк". Вот через нее и хакнули.

Описываю, как все произошло. Может быть, кого-то это спасет от потери денег и времени. Сначала немного о том, что такое "Клиент-Банк", и как им пользуются.


[Что такое система "Клиент-Банк" и как она работает]Система "Клиент-Банк" - это программно-технический комплекс, обладающий рядом функций, необходимых предприятию для дистанционного управления своим текущим счетом в банке. Основные функции системы:

  • возможность проводить платежи со своего счета в банке, не посещая банк, из офиса на рабочем месте, оборудованном персональным компьютером с установленным необходимым программным обеспечением

  • отслеживание денежных средств на текущем счете. Уполномоченный работник предприятия может, не выходя из офиса, контролировать движение средств на текущем счете

  • получение выписки с текущего счета, а также ежедневных официальных курсов иностранных валют

  • возможность вести справочник своих контрагентов по платежам и справочник назначения платежа, которые позволяют быстрее формировать платежные документы (отпадает необходимость заносить информацию в каждый документ - готовый шаблон переносится в платежный документ из справочников)

  • получение от банка уведомлений о новых банковских услугах, текущих процентных ставках по кредитам и депозитам, иной информации, которую банк считает нужным оперативно доводить до клиентов.



Системы «Клиент-Банк» принципиально подразделяются на 2 типа ("Толстый клиент" и "Тонкий клиент"):

Классический тип системы Банк-Клиент ("Толстый клиент"). На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется прямое соединение или через сеть Интернет.

"Тонкий клиент" (Интернет-клиент)  входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя (платёжные документы и выписки по счетам) доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (мобильный сайт банка) — PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций.
К недостаткам системы относится в первую очередь слабая защищенность интернета от несанкционированного доступа.

[Обеспечение безопасности системы "Клиент-Банк"]В данном случае применялся, естественно, "Толстый клиент", достаточно защищенный от несанкционированного доступа.
Безопасность системы обеспечивалась следующим комплексом мероприятий:

  • на каждый документ, пересылаемый от клиента в банк, накладывается электронная цифровая подпись (ЭЦП). Использование ЭЦП позволяет однозначно определить автора документа и защитить документ от несанкционированного изменения

  • в системе используются сертифицированные Государственной службой специальной связи и защиты информации программные средства управления ЭЦП. Для генерации ключей используется криптографический алгоритм ГОСТ 34.310-95

  • для наложения ЭЦП на электронные платежные и информационные документы в качестве носителя ключевой информации используется флэш-накопитель

  • личный ключ дополнительно защищен паролем, который знает только оператор системы Клиент-Банк

  • вся информация, пересылаемая от клиента банку и от банка клиенту, подвергается адресному шифрованию. Применение адресного шифрования позволяет сделать информацию доступной только получателю-участнику конкретной пары "Клиент – Банк".



Как все произошло

Оператор системы "Клиент-Банк", как обычно,  включила компьютер, подключила флэш-накопитель, запустила программу и ввела пароль. Проверив остаток на счете, оператор занялась другими неотложными делами. И в это время компьютер зависает.  С этого момента и начинается цепь действий, формально не являющихся нарушением правил работы с системой "Клиент-Банк", но в результате приведших в печальным последствиям для предприятия.

Сначала оператор пытается самостоятельно восстановить работоспособность системы, перезагружая компьютер. Однако, это ей не удается. Потом она связывается с системный администратором предприятия, который в это время находится за городом. Через два часа после начала происшествия системный администратор прибывает на место и, поняв, что проблема с операционной системой Windows,  делает ее откат. После отката, лицензионный Windows вдруг становится нелицензионным. Система "Банк-Клиент" не запускается  - не подходит пароль.

[Что было дальше ... ]И только сейчас предприятие связывается с банком,  с целью  смены пароля.  После смены с помощью сотрудника банка пароля,  запустив "Клиент-Банк", оператор проверяет остатки средств на счете и обнаруживает исчезновение денег. В системе значится платежное поручение, которое оператор не оформлял. По этому платежному поручению деньги ушли на счет другого предприятия в другой банк. Но ведь это всего-навсего электронный перевод, реальные деньги все еще находятся в банке и их можно вернуть!


К сожалению - нет. По информации обслуживающего предприятие работника банка, поступившие на счет другого банка деньги  тут же были изъяты наличными по банковскому чеку. Все, финита ля комедиа!


Теперь о том, что можно было сделать, чтобы последствия не оказались столь печальными

  • Во-первых, в договоре с банком необходимо предусмотреть максимально четкий алгоритм взаимодействия работников предприятия и банка при возникновении любых ситуаций, грозящих безопасности системы "Клиент-Банк". В идеале - моментальное блокирование любого движения средств по счету клиента в определенных ситуациях.

  • В договоре с банком установить ограниченный максимум средств, которые могут быть списаны со счета предприятия без дополнительного согласования ответственными работниками предприятия и банка в телефонном режиме.

  • Установить, кто и за что несет ответственность в случае неисполнения вышеуказанного алгоритма действий.

  • В должностной инструкции оператора системы "Клиент-Банк" установить обязанность немедленно информировать банк и руководство предприятия о любых сбоях в работе компьютера, на котором установлена система.

  • Для работы с с ситемой "Клиент-Банк"  выделить отдельный, не задействованный более ни в какой другой работе компьютер. В идеале - на нем должна стоять минимально допустимая сборка ОС + Клиент-банк.

  • Максимально защитить компьютер с системой "Клиент-Банк" от несанкционированного доступа из Интернет.


Ждем информацию о результатах работы правоохранительных органов, от  которых теперь в полной мере зависит финал этой истории.







Ближайшие вебинары:

18 июня - бесплатный вебинар Владимира Савенка "Управление личным капиталом"


ЖЖ-сообщество Личные финансы
TOP-100 блогов финансовой тематики

Tags: банки, безопасность
Subscribe

  • Банки поворачивают интерфейсом друг к другу

    Банки поворачивают интерфейсом друг к другу Финансовому рынку предложили повысить прозрачность Газета "Коммерсантъ" №183 от 08.10.2019 Ассоциация…

  • Про краудфандинг – очень коротко

    Про краудфандинг – очень коротко То, что в современном мире называется «краудфандингом» – это скидывание на лохов предложений, которые не устроили…

  • Картинка дня

    Картинка дня Доля (%) частного капитала (домохозяйств) в разных странах, вложенная в: - банковские депозиты и валюту – зеленые столбцы -…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 13 comments

  • Банки поворачивают интерфейсом друг к другу

    Банки поворачивают интерфейсом друг к другу Финансовому рынку предложили повысить прозрачность Газета "Коммерсантъ" №183 от 08.10.2019 Ассоциация…

  • Про краудфандинг – очень коротко

    Про краудфандинг – очень коротко То, что в современном мире называется «краудфандингом» – это скидывание на лохов предложений, которые не устроили…

  • Картинка дня

    Картинка дня Доля (%) частного капитала (домохозяйств) в разных странах, вложенная в: - банковские депозиты и валюту – зеленые столбцы -…