navimann (navimann) wrote,
navimann
navimann

Category:

Как защитить свои деньги

Оригинал взят у abradoks в Как защитить свои деньги
Вчера не писал ничего. Не было времени.  Хакнули одного моего клиента.
Списали с банковского счета приличную сумму денег, эквивалентную стоимости нескольких авто.


Все предприятия сейчас работают с банками через систему удаленного банковского обслуживания "Клиент-Банк". Вот через нее и хакнули.

Описываю, как все произошло. Может быть, кого-то это спасет от потери денег и времени. Сначала немного о том, что такое "Клиент-Банк", и как им пользуются.

[Что такое система "Клиент-Банк" и как она работает]Система "Клиент-Банк" - это программно-технический комплекс, обладающий рядом функций, необходимых предприятию для дистанционного управления своим текущим счетом в банке. Основные функции системы:

  • возможность проводить платежи со своего счета в банке, не посещая банк, из офиса на рабочем месте, оборудованном персональным компьютером с установленным необходимым программным обеспечением

  • отслеживание денежных средств на текущем счете. Уполномоченный работник предприятия может, не выходя из офиса, контролировать движение средств на текущем счете

  • получение выписки с текущего счета, а также ежедневных официальных курсов иностранных валют

  • возможность вести справочник своих контрагентов по платежам и справочник назначения платежа, которые позволяют быстрее формировать платежные документы (отпадает необходимость заносить информацию в каждый документ - готовый шаблон переносится в платежный документ из справочников)

  • получение от банка уведомлений о новых банковских услугах, текущих процентных ставках по кредитам и депозитам, иной информации, которую банк считает нужным оперативно доводить до клиентов.



Системы «Клиент-Банк» принципиально подразделяются на 2 типа ("Толстый клиент" и "Тонкий клиент"):

Классический тип системы Банк-Клиент ("Толстый клиент"). На рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется прямое соединение или через сеть Интернет.

"Тонкий клиент" (Интернет-клиент)  входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя (платёжные документы и выписки по счетам) доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (мобильный сайт банка) — PDA, смартфоны (Мобильный банкинг (mobile-banking). На основе Интернет-Клиент могут предоставляться информационные сервисы с ограниченным набором функций.
К недостаткам системы относится в первую очередь слабая защищенность интернета от несанкционированного доступа.

[Обеспечение безопасности системы "Клиент-Банк"]В данном случае применялся, естественно, "Толстый клиент", достаточно защищенный от несанкционированного доступа.
Безопасность системы обеспечивалась следующим комплексом мероприятий:

  • на каждый документ, пересылаемый от клиента в банк, накладывается электронная цифровая подпись (ЭЦП). Использование ЭЦП позволяет однозначно определить автора документа и защитить документ от несанкционированного изменения

  • в системе используются сертифицированные Государственной службой специальной связи и защиты информации программные средства управления ЭЦП. Для генерации ключей используется криптографический алгоритм ГОСТ 34.310-95

  • для наложения ЭЦП на электронные платежные и информационные документы в качестве носителя ключевой информации используется флэш-накопитель

  • личный ключ дополнительно защищен паролем, который знает только оператор системы Клиент-Банк

  • вся информация, пересылаемая от клиента банку и от банка клиенту, подвергается адресному шифрованию. Применение адресного шифрования позволяет сделать информацию доступной только получателю-участнику конкретной пары "Клиент – Банк".



Как все произошло

Оператор системы "Клиент-Банк", как обычно,  включила компьютер, подключила флэш-накопитель, запустила программу и ввела пароль. Проверив остаток на счете, оператор занялась другими неотложными делами. И в это время компьютер зависает.  С этого момента и начинается цепь действий, формально не являющихся нарушением правил работы с системой "Клиент-Банк", но в результате приведших в печальным последствиям для предприятия.

Сначала оператор пытается самостоятельно восстановить работоспособность системы, перезагружая компьютер. Однако, это ей не удается. Потом она связывается с системный администратором предприятия, который в это время находится за городом. Через два часа после начала происшествия системный администратор прибывает на место и, поняв, что проблема с операционной системой Windows,  делает ее откат. После отката, лицензионный Windows вдруг становится нелицензионным. Система "Банк-Клиент" не запускается  - не подходит пароль.

[Что было дальше ... ]И только сейчас предприятие связывается с банком,  с целью  смены пароля.  После смены с помощью сотрудника банка пароля,  запустив "Клиент-Банк", оператор проверяет остатки средств на счете и обнаруживает исчезновение денег. В системе значится платежное поручение, которое оператор не оформлял. По этому платежному поручению деньги ушли на счет другого предприятия в другой банк. Но ведь это всего-навсего электронный перевод, реальные деньги все еще находятся в банке и их можно вернуть!


К сожалению - нет. По информации обслуживающего предприятие работника банка, поступившие на счет другого банка деньги  тут же были изъяты наличными по банковскому чеку. Все, финита ля комедиа!


Теперь о том, что можно было сделать, чтобы последствия не оказались столь печальными

  • Во-первых, в договоре с банком необходимо предусмотреть максимально четкий алгоритм взаимодействия работников предприятия и банка при возникновении любых ситуаций, грозящих безопасности системы "Клиент-Банк". В идеале - моментальное блокирование любого движения средств по счету клиента в определенных ситуациях.

  • В договоре с банком установить ограниченный максимум средств, которые могут быть списаны со счета предприятия без дополнительного согласования ответственными работниками предприятия и банка в телефонном режиме.

  • Установить, кто и за что несет ответственность в случае неисполнения вышеуказанного алгоритма действий.

  • В должностной инструкции оператора системы "Клиент-Банк" установить обязанность немедленно информировать банк и руководство предприятия о любых сбоях в работе компьютера, на котором установлена система.

  • Для работы с с ситемой "Клиент-Банк"  выделить отдельный, не задействованный более ни в какой другой работе компьютер. В идеале - на нем должна стоять минимально допустимая сборка ОС + Клиент-банк.

  • Максимально защитить компьютер с системой "Клиент-Банк" от несанкционированного доступа из Интернет.


Ждем информацию о результатах работы правоохранительных органов, от  которых теперь в полной мере зависит финал этой истории.

Tags: банки
Subscribe

  • Вчерашние новости по Беларуси

    Герасименя такая. Спортсменка, комсомолка... не, спортсменка чемпионка, съехала за границу по известным причинам, но теперь ее ищут милиция...…

  • Россия стала Беларусью?

    Так быстро? Нда, как кто-то написал, ланцелот залетел в пасть дракона и началось несварение. ланцелоту тоже хреновато, но помощи…

  • Украина совсем разучилась бабки пилить.

    Ну что это, в Полтаве соблираются построить флагшток на 50м за 3 млн гривень... Фото отсюда. Ну кто так бабки пилит? Всего…

promo navimann may 18, 2013 09:21 21
Buy for 10 tokens
В данном посте будет алфавитный указатель. Ссылки будут нарабатываться. Австралия Австрия ходит евро Азербайджан Аландские острова (территория Финляндии с шведским населением) ходит евро и шведская крона в наличке Албания Алжир Ангола Андорра ходит евро (не страна еврозоны, используе…
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments