2.2 Безопасность АИС в банках

Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Существуют два аспекта, выделяющих банки из круга остальных коммерческих систем:

- Информация в банковских системах представляет собой «живые деньги», которые можно получить, передать, истратить, вложить и т.д.

- Она затрагивает интересы большого количества организаций и отдельных лиц.

Поэтому информационная безопасность банка - критически важное условие его существования. Безопасность электронных банковских систем зависит от большого количества факторов, которые необходимо учитывать еще на этапе проектирования этой системы. Основные изменения в банковской индустрии за последние десятилетия связаны именно с развитием информационных технологий. Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии.

Современные АБС - это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью. Особенно актуальна данная проблема в России.

Самым уязвимым для несанкционированных действий звеном информационной системы банка являются автоматические групповые операции, сумма и счета которых обычно не подлежат тщательному контролю. Рассмотрим некоторые из этих операций.

Начисление процентов на расчетные счета и счета до востребования. Обычно известна только общая сумма данной групповой операции, причем приблизительно. Незначительные изменения в каждой проводке с последующим сбросом суммы на счет злоумышленника практически не поддаются визуальному контролю. Для предотвращения подобного рода хищений рекомендуется иметь в рамках службы безопасности специализированную службу для параллельного контроля автоматических операций по закрытым для остальных сотрудников методикам.[10]

О попытках хищения денежных средств со счетов клиентов с использованием систем «Клиент-Банк»

За последние несколько лет в российских банках были выявлены случаи хищения (предотвращенные и свершившиеся) денежных средств с расчетных счетов корпоративных клиентов путем совершения электронных платежей по системе «Клиент-Банк».

Анализ выявленных ситуаций показывает, что хищения денежных средств с расчетных счетов осуществляются:

1. Ответственными сотрудниками корпоративных клиентов, имевшими доступ к секретным ключам ЭЦП организации. Как правило, это уволенные директора, бухгалтеры и их заместители, а также совладельцы организации.

2. Штатными ИТ-сотрудниками корпоративных клиентов, имевшими технический доступ к носителям (дискеты, флеш-носители, жесткие диски и пр.) с секретными ключами ЭЦП клиентов, а также доступ к компьютерам клиентов, с которых осуществлялась работа по системе «Клиент-Банк».

3. Нештатными, приходящими по вызову, ИТ-специалистами, обслуживающими компьютеры корпоративного клиента, с которых осуществлялась работа по системе «Клиент-Банк».

Как правило, это приходящие ИТ-специалисты, осуществляющие профилактику и подключение к Интернет, установку и обновление бухгалтерских и информационно-правовых программ, установку, обновление и настройку другого ПО.

4. Злоумышленниками путем заражения через Интернет компьютеров корпоративных клиентов вредоносными программами. Используя уязвимости системного и прикладного ПО (операционные системы, Web-браузеры, почтовые клиенты и пр.), злоумышленники заражали компьютеры корпоративных клиентов троянскими программами с последующим дистанционным похищением секретных ключей ЭЦП клиента и паролей или дистанционно управляли компьютером клиента.

Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭЦП и паролям корпоративного клиента и направляли в банк платежные поручения с корректной ЭЦП клиента.

Успешно прошедшие проверку ЭЦП, но при этом подозрительные, абсолютно не свойственные данному клиенту платежные поручения в большинстве случаев пресекались банковскими операционистами на этапе принятия решения об исполнении документов.

В то же время часть платежей, направленных злоумышленниками с использованием действующих секретных ключей ЭЦП клиента, не вызывала подозрений у банка. Такие документы имели корректную ЭЦП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств с расчетного счета клиента. При этом вся ответственность за убытки безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭЦП.

Вся ответственность за конфиденциальность Ваших секретных ключей ЭЦП полностью лежит на Вас, как на единственных владельцах Ваших секретных ключей ЭЦП.

Банк информирует Вас, что не осуществляет рассылку электронных писем с просьбой прислать секретный ключ ЭЦП или пароль. Банк не рассылает по электронной почте программы для установки на Ваши компьютеры.

Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭЦП, если есть подозрение об их компрометации (копировании), Вы должны немедленно заблокировать свои ключи ЭЦП позвонив в банк.

Для продолжения работы в системе «Клиент-Банк» Вам потребуется сгенерировать и зарегистрировать в Банке новые ключи ЭЦП.

Настоящим письмом Банк еще раз информирует Вас о необходимости строгого соблюдения правил информационной безопасности, правил хранения и использования секретных ключей ЭЦП и об ограничении по возможности доступа к персональным компьютерам, с которых осуществляется работа по системе «Клиент-Банк».

Действия злоумышленников направлены на:

· похищение файла с секретным ключом ЭЦП;

· передачу в банк электронных платежных документов, заверенных похищенным ключом ЭЦП.

Для обеспечения безопасности Вашей работы с системой «Клиент-Банк» требуется придерживаться приведенных ниже правил и рекомендаций.

Чтобы предотвратить хищение секретного ключа ЭЦП, необходимо:

1. Использовать для хранения файлов с секретными ключами ЭЦП отчуждаемые носители: дискеты, флеш-носители, CD-диски, специализированные устройства.

2. Отключать и извлекать носители с ключами ЭЦП в то время, когда они не используются для работы с системой «Клиент-Банк».

3. По возможности ограничить доступ к компьютерам, используемым для работы с системой «Клиент-Банк»

4. На компьютерах, используемых для работы с системой «Клиент-Банк», исключить посещение Интернет_сайтов сомнительного содержания, загрузку и установку сомнительного ПО и т. п.

5. Применять на рабочем месте (в рабочей локальной сети) надежные, по возможности лицензионные средства антивирусной защиты, обеспечить регулярное автоматическое обновления антивирусных баз.

6. Исключить обслуживание компьютеров, используемых для работы с системой «Клиент-Банк», ненадежными ИТ-сотрудниками.

7. При обслуживании компьютера ИТ-сотрудниками - обеспечивать контроль за Выполняемыми ими действиями.

8. Никогда не передавать ключи ЭЦП ИТ-сотрудникам для проверки работы системой «Клиент-Банк», проверки настроек взаимодействия с банком и т.п. При необходимости таких проверок только лично владелец ключа ЭЦП должен сам подключить носитель к компьютеру и лично ввести пароль, исключая его подсматривание.

9. При увольнении ответственного сотрудника, имевшего доступ к секретному ключу ЭЦП, обязательно заблокировать ключи ЭЦП и сгенерировать новые.

10. При увольнении ИТ-специалиста, осуществлявшего обслуживание компьютеров, используемых для работы с системой «Клиент-Банк», принять меры для проверки компьютеров на отсутствие вредоносных программ.

11. Если Вы заметили проявление необычного поведения ПО «Клиент-Банк» или какие-то изменения в интерфейсе программы - позвонить в банк и Выяснить, не связаны ли такие изменения с обновлением версии ПО. Если нет - возможно, изменения Вызваны работой программы-шпиона. Обязательно сразу же заблокировать ключи ЭЦП и сообщить в Банк о ситуации. [4]