Как защитить свои деньги
С.С.:
Уже писал не раз про большие проблемы в российской банковской системе с удаленным банковским обслуживанием ("клиент-банк", "интернет-банк" и т.д.)
Вот вам свежий пример из френдленты.
Все еще думаете, что вас это не касается, вы - умный и вам бояться нечего?
* * *
Оригинал взят у abradoks в Как защитить свои деньги
Вчера не писал ничего. Не было времени. Хакнули одного моего клиента.
Списали с банковского счета приличную сумму денег, эквивалентную стоимости нескольких авто.
Все предприятия сейчас работают с банками через систему удаленного банковского обслуживания "Клиент-Банк". Вот через нее и хакнули.
Описываю, как все произошло. Может быть, кого-то это спасет от потери денег и времени. Сначала немного о том, что такое "Клиент-Банк", и как им пользуются.
[Что такое система ]Система "Клиент-Банк" - это программно-технический комплекс, обладающий рядом функций, необходимых предприятию для дистанционного управления своим текущим счетом в банке. Основные функции системы:
Системы «Клиент-Банк» принципиально подразделяются на 2 типа ("Толстый клиент" и "Тонкий клиент"):
Классический тип системы Банк-Клиент ("Толстый клиент"). На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется прямое соединение или через сеть Интернет.
"Тонкий клиент" (Интернет-клиент) входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя (платёжные документы и выписки по счетам) доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (мобильный сайт банка) - PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций.
К недостаткам системы относится в первую очередь слабая защищенность интернета от несанкционированного доступа.
[Обеспечение безопасности системы ]В данном случае применялся, естественно, "Толстый клиент", достаточно защищенный от несанкционированного доступа.
Безопасность системы обеспечивалась следующим комплексом мероприятий:
Как все произошло
Оператор системы "Клиент-Банк", как обычно, включила компьютер, подключила флэш-накопитель, запустила программу и ввела пароль. Проверив остаток на счете, оператор занялась другими неотложными делами. И в это время компьютер зависает. С этого момента и начинается цепь действий, формально не являющихся нарушением правил работы с системой "Клиент-Банк", но в результате приведших в печальным последствиям для предприятия.
Сначала оператор пытается самостоятельно восстановить работоспособность системы, перезагружая компьютер. Однако, это ей не удается. Потом она связывается с системный администратором предприятия, который в это время находится за городом. Через два часа после начала происшествия системный администратор прибывает на место и, поняв, что проблема с операционной системой Windows, делает ее откат. После отката, лицензионный Windows вдруг становится нелицензионным. Система "Банк-Клиент" не запускается - не подходит пароль.
[Что было дальше ... ]И только сейчас предприятие связывается с банком, с целью смены пароля. После смены с помощью сотрудника банка пароля, запустив "Клиент-Банк", оператор проверяет остатки средств на счете и обнаруживает исчезновение денег. В системе значится платежное поручение, которое оператор не оформлял. По этому платежному поручению деньги ушли на счет другого предприятия в другой банк. Но ведь это всего-навсего электронный перевод, реальные деньги все еще находятся в банке и их можно вернуть!
К сожалению - нет. По информации обслуживающего предприятие работника банка, поступившие на счет другого банка деньги тут же были изъяты наличными по банковскому чеку. Все, финита ля комедиа!
Теперь о том, что можно было сделать, чтобы последствия не оказались столь печальными
Ждем информацию о результатах работы правоохранительных органов, от которых теперь в полной мере зависит финал этой истории.
Ближайшие вебинары:
18 июня - бесплатный вебинар Владимира Савенка "Управление личным капиталом"
ЖЖ-сообщество my_fin
TOP-100 блогов финансовой тематики
Уже писал не раз про большие проблемы в российской банковской системе с удаленным банковским обслуживанием ("клиент-банк", "интернет-банк" и т.д.)
Вот вам свежий пример из френдленты.
Все еще думаете, что вас это не касается, вы - умный и вам бояться нечего?
* * *
Оригинал взят у abradoks в Как защитить свои деньги
Вчера не писал ничего. Не было времени. Хакнули одного моего клиента.
Списали с банковского счета приличную сумму денег, эквивалентную стоимости нескольких авто.
Все предприятия сейчас работают с банками через систему удаленного банковского обслуживания "Клиент-Банк". Вот через нее и хакнули.
Описываю, как все произошло. Может быть, кого-то это спасет от потери денег и времени. Сначала немного о том, что такое "Клиент-Банк", и как им пользуются.
[Что такое система ]Система "Клиент-Банк" - это программно-технический комплекс, обладающий рядом функций, необходимых предприятию для дистанционного управления своим текущим счетом в банке. Основные функции системы:
- возможность проводить платежи со своего счета в банке, не посещая банк, из офиса на рабочем месте, оборудованном персональным компьютером с установленным необходимым программным обеспечением
- отслеживание денежных средств на текущем счете. Уполномоченный работник предприятия может, не выходя из офиса, контролировать движение средств на текущем счете
- получение выписки с текущего счета, а также ежедневных официальных курсов иностранных валют
- возможность вести справочник своих контрагентов по платежам и справочник назначения платежа, которые позволяют быстрее формировать платежные документы (отпадает необходимость заносить информацию в каждый документ - готовый шаблон переносится в платежный документ из справочников)
- получение от банка уведомлений о новых банковских услугах, текущих процентных ставках по кредитам и депозитам, иной информации, которую банк считает нужным оперативно доводить до клиентов.
Системы «Клиент-Банк» принципиально подразделяются на 2 типа ("Толстый клиент" и "Тонкий клиент"):
Классический тип системы Банк-Клиент ("Толстый клиент"). На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется прямое соединение или через сеть Интернет.
"Тонкий клиент" (Интернет-клиент) входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя (платёжные документы и выписки по счетам) доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (мобильный сайт банка) - PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций.
К недостаткам системы относится в первую очередь слабая защищенность интернета от несанкционированного доступа.
[Обеспечение безопасности системы ]В данном случае применялся, естественно, "Толстый клиент", достаточно защищенный от несанкционированного доступа.
Безопасность системы обеспечивалась следующим комплексом мероприятий:
- на каждый документ, пересылаемый от клиента в банк, накладывается электронная цифровая подпись (ЭЦП). Использование ЭЦП позволяет однозначно определить автора документа и защитить документ от несанкционированного изменения
- в системе используются сертифицированные Государственной службой специальной связи и защиты информации программные средства управления ЭЦП. Для генерации ключей используется криптографический алгоритм ГОСТ 34.310-95
- для наложения ЭЦП на электронные платежные и информационные документы в качестве носителя ключевой информации используется флэш-накопитель
- личный ключ дополнительно защищен паролем, который знает только оператор системы Клиент-Банк
- вся информация, пересылаемая от клиента банку и от банка клиенту, подвергается адресному шифрованию. Применение адресного шифрования позволяет сделать информацию доступной только получателю-участнику конкретной пары "Клиент - Банк".
Как все произошло
Оператор системы "Клиент-Банк", как обычно, включила компьютер, подключила флэш-накопитель, запустила программу и ввела пароль. Проверив остаток на счете, оператор занялась другими неотложными делами. И в это время компьютер зависает. С этого момента и начинается цепь действий, формально не являющихся нарушением правил работы с системой "Клиент-Банк", но в результате приведших в печальным последствиям для предприятия.
Сначала оператор пытается самостоятельно восстановить работоспособность системы, перезагружая компьютер. Однако, это ей не удается. Потом она связывается с системный администратором предприятия, который в это время находится за городом. Через два часа после начала происшествия системный администратор прибывает на место и, поняв, что проблема с операционной системой Windows, делает ее откат. После отката, лицензионный Windows вдруг становится нелицензионным. Система "Банк-Клиент" не запускается - не подходит пароль.
[Что было дальше ... ]И только сейчас предприятие связывается с банком, с целью смены пароля. После смены с помощью сотрудника банка пароля, запустив "Клиент-Банк", оператор проверяет остатки средств на счете и обнаруживает исчезновение денег. В системе значится платежное поручение, которое оператор не оформлял. По этому платежному поручению деньги ушли на счет другого предприятия в другой банк. Но ведь это всего-навсего электронный перевод, реальные деньги все еще находятся в банке и их можно вернуть!
К сожалению - нет. По информации обслуживающего предприятие работника банка, поступившие на счет другого банка деньги тут же были изъяты наличными по банковскому чеку. Все, финита ля комедиа!
Теперь о том, что можно было сделать, чтобы последствия не оказались столь печальными
- Во-первых, в договоре с банком необходимо предусмотреть максимально четкий алгоритм взаимодействия работников предприятия и банка при возникновении любых ситуаций, грозящих безопасности системы "Клиент-Банк". В идеале - моментальное блокирование любого движения средств по счету клиента в определенных ситуациях.
- В договоре с банком установить ограниченный максимум средств, которые могут быть списаны со счета предприятия без дополнительного согласования ответственными работниками предприятия и банка в телефонном режиме.
- Установить, кто и за что несет ответственность в случае неисполнения вышеуказанного алгоритма действий.
- В должностной инструкции оператора системы "Клиент-Банк" установить обязанность немедленно информировать банк и руководство предприятия о любых сбоях в работе компьютера, на котором установлена система.
- Для работы с с ситемой "Клиент-Банк" выделить отдельный, не задействованный более ни в какой другой работе компьютер. В идеале - на нем должна стоять минимально допустимая сборка ОС + Клиент-банк.
- Максимально защитить компьютер с системой "Клиент-Банк" от несанкционированного доступа из Интернет.
Ждем информацию о результатах работы правоохранительных органов, от которых теперь в полной мере зависит финал этой истории.
Ближайшие вебинары:
18 июня - бесплатный вебинар Владимира Савенка "Управление личным капиталом"
ЖЖ-сообщество my_fin
TOP-100 блогов финансовой тематики