В последнее время участились случаи мошеннических действий в системах дистанционного банковского обслуживания (ДБО), направленные на хищение секретных ключей пользователей и денежных средств организаций. Все большая популярность удаленного управления счетами, активность и безнаказанность киберпреступников не позволяют надеяться на снижение количества инцидентов в будущем.
В данной статье я рассмотрю практические меры, позволяющие снизить вероятность кражи денежных средств со счетов компаний, а также приведу рекомендации по реагированию на возможные мошеннические действия.
Организационные мероприятия по противодействию мошенничеству в системах ДБО
Основные:
Осуществлять работу с системой ДБО с выделенного рабочего места. На машине должен быть установлен минимально необходимый набор программ.
Запретить доступ в Интернет с рабочего места системы ДБО на все сайты, кроме сайта банка.
Хранить секретные ключи, используемые для работы с системой ДБО, в хранилищах, не позволяющих копировать ключ, например, в защищенных USB-токенах.
Запретить на рабочем месте системы ДБО запуск файлов, полученных из недоверенных источников.
Запретить отключение персонального антивируса.
Категорически запретить работу с системой ДБО с других рабочих мест (из дома, Интернет-кафе и т.д.)
Дополнительные:
Ограничить круг лиц, имеющих право доступа к компьютеру, используемому для работы в системе ДБО.
Не оставлять без контроля включенный компьютер, используемый для работы в системе ДБО.
Запретить оставлять хранилище секретного ключа постоянно подключенным к компьютеру. Подключать устройство только для входа в систему или подписи документов.
Запретить создавать одинаковые пароли для входа в операционную систему, систему ДБО, в электронную почту, на форумы и т.п.
При увольнении ответственного сотрудника необходимо заменить всю аутентификационную информацию.
Технические мероприятия по противодействию мошенничеству в системах ДБО
Основные:
На рабочем месте системы ДБО использовать лицензионное регулярно обновляемое прикладное программное обеспечение (ПО).
На рабочем месте системы ДБО использовать лицензионный ежедневно обновляемый антивирус.
На персональном межсетевом экране рабочего места системы ДБО запретить доступ к любым IP-адресам кроме IP-адреса сайта банка, корпоративного сервера бухгалтерии, сервера обновлений антивируса, прикладного и системного ПО.
На персональном межсетевом экране рабочего места системы ДБО запретить доступ к сайтам с недоверенным или просроченным сертификатом безопасности.
На рабочем месте системы ДБО запретить использование любого ПО, предназначенного для удаленного управления компьютером.
Использовать средства защиты сети организации (корпоративный межсетевой экран, корпоративный антивирус, средства обнаружения и предотвращения вторжений).
Дополнительные:
Рабочее место системы ДБО должно находиться в отдельном сегменте сети, имя машины не должно указывать на использование ее для работы с системой ДБО.
На рабочем месте системы ДБО необходимо использовать программное обеспечение для контроля портов ввода/вывода. Запретить использование всех съемных носителей, кроме ограниченного списка.
На рабочем месте системы ДБО отключить службы сервера и терминала, которые предоставляют удаленный доступ к рабочему месту.
Для работы с системой ДБО использовать локальную учетную запись с ограниченными правами.
На персональном межсетевом экране рабочего места системы ДБО запретить входящий и исходящий трафик по всем неиспользуемым портам.
Реагирование на инциденты
Реагирование до хищения
При возникновении следующих ситуаций:
обнаружение попыток входа в систему ДБО с других IP-адресов или в нерабочее время;
несоответствие порядковых номеров платежных поручений;
внезапное продолжительное пропадание сотовой связи на SIM-карте, используемой для работы с системой ДБО;
невозможность загрузки рабочего места системы ДБО;
невозможность входа в систему ДБО (недоступность сайта, невозможность авторизации), даже при наличии сообщения о проведении регламентных работ;
атака на сетевую инфраструктуру компании.
необходимо незамедлительно уточнить в банке наличие подложных платежных документов. При обоснованном подозрении в компрометации аутентификационной информации следует дать банку распоряжение на блокирование доступа в систему ДБО.
Действия после обнаружения хищения
При обнаружении факта мошенничества необходимо:
незамедлительно дать в банк распоряжение на блокирование доступа в систему и отмену подложного платежа;
отключить рабочее место системы ДБО;
сохранить журналы сетевого оборудования и шлюзов безопасности;
не использовать скомпрометированную аутентификационную информацию системы ДБО;
обратиться в органы МВД с заявлением о факте мошенничества.
Заключение
Руководители многих компаний еще не полностью осознают все риски, связанные с использованием систем удаленного управления счетами. Помня о физической безопасности, большинство ответственных сотрудников обычно забывают о рисках информационной безопасности.
При использовании системы ДБО необходимо помнить:
средства с расчетного счета могут быть похищены и обналичены за очень короткое время;
процент раскрытия подобного рода преступлений очень низок;
большинство жертв мошенничества не имели выделенного рабочего места для работы с системой ДБО, регламента работы с системой, современных средств информационной безопасности, актуальных обновлений программного обеспечения.
Применение перечисленных в статье мер поможет резко сократить вероятность хищения средств через систему ДБО, а потраченные на это время и средства являются отличными инвестициями в безопасность и стабильность компании