Рекомендации Банка по снижению рисков при работе в системе «Клиент-Банк»
Уважаемый Клиент!
Настоящие Рекомендации разработаны АКБ «Ланта-Банк» (ЗАО) в соответствии с требованиями действующего законодательства Российской Федерации.
Рекомендации адресованы всем лицам, заявившим о намерении совершать операции по своим счетам с использованием дистанционного банковского обслуживания.
В рекомендациях раскрываются основные риски, принимаемые клиентом Банка, в связи с осуществлением операций посредством дистанционного банковского обслуживания и не охватывают абсолютно все риски, возникающие при указанном способе обслуживания.
Клиентам, намеревающимся совершать операции посредством дистанционного банковского обслуживания, следует внимательно рассмотреть вопрос, являются ли риски, перечисленные ниже, приемлемыми для них.
Дистанционное банковское обслуживание — динамично развивающийся банковский сервис, позволяющий контролировать банковские счета, совершать расходные операции, направлять в Банк документы, оперативно получать информацию о состоянии счета при помощи компьютерного оборудования, имеющего доступ к сети «Интернет».
Банк постоянно принимает меры необходимые для повышения уровня безопасности работы Клиентов посредством системы «Клиент-Банк», сохраняя удобство пользования услугами Банка.
Риски при работе с системой «Клиент-Банк»
За последние несколько месяцев в ряде российских банков были выявлены попытки хищения денежных средств со счетов корпоративных клиентов путем совершения платежей с использованием системы Клиент-Банк.
Хищения денежных средств со счетов чаще всего осуществляются:
- ответственными сотрудниками предприятия, имевшими доступ к секретным ключам электронной подписи (далее – «ЭП») необходимым для работы в системе «Клиент-Банк», в том числе работающими или уволенными директорами, бухгалтерами и их заместителями;
- штатными ИТ-сотрудниками организации, имевшими доступ к носителям с секретными ключами ЭП (дискеты, флэш-диски, жесткие диски и пр.), а также доступ к компьютерному оборудованию, с использованием которого осуществлялась работа по системе «Клиент-Банк»;
- нештатными ИТ-специалистами, приходящими по вызову и выполняющими профилактику и подключение к сети «Интернет», установку и обновление бухгалтерских, справочных программ, настройку другого программного обеспечения на компьютерном оборудовании, с использованием которого осуществлялась работа по системе «Клиент-Банк»;
- злоумышленниками путем заражения компьютеров клиентов специальными вирусными программами через уязвимости системного и прикладного программного обеспечения (операционные системы, Web-браузеры, почтовые клиенты, Java-машина и пр.) с последующим дистанционным похищением секретных ключей ЭП и паролей.
Во всех выявленных случаях злоумышленники тем или иным образом получали доступ к секретным ключам ЭП и паролям и направляли в банк платежные поручения с корректной электронной подписью.
Платежи направленные злоумышленниками с использованием действующих секретных ключей ЭП клиента, не вызывали подозрений у банков. Такие документы имели корректную ЭП, вполне обычные реквизиты получателей и типовое назначение платежа. Их исполнение банком приводило к хищению денежных средств со счетов клиента. При этом вся ответственность за убытки, безусловно и полностью возлагалась на клиента как единственного владельца секретных ключей ЭП.
Рекомендации.
При работе в системе «Клиент-Банк» Вы создаете электронные документы и подписываете их уникальной электронной подписью. Документ, созданный Вами и полученный Банком, является основанием для проведения расходных операций или совершения Банком иных юридически значимых действий в отношении клиента.
Важно понимать, что Банк не имеет доступа к Вашим секретным ключам ЭП и не может от Вашего имени сформировать корректную ЭП под электронным документом.
Вся ответственность за конфиденциальность секретных ключей ЭП полностью лежит на Вас, как на единственных владельцах секретных ключей ЭП.
Если Вы сомневаетесь в конфиденциальности своих секретных ключей ЭП или есть подозрение об их хищении (копировании), Вы должны незамедлительно заблокировать свои ключи ЭП следующими двумя способами:
- позвонить в Банк, назвать блокировочное слово и не позднее дня, следующего за днем обращения, предоставить письменное заявление по форме Банка;
- оформить письменное заявление о блокировке ключей в любом офисе Банка.
Для продолжения работы в системе «Клиент-Банк» Вам потребуется сгенерировать и зарегистрировать в Банке новый ключ ЭП и ключ проверки ЭП, передать сертификат ключа проверки ЭП в любой офис Банка.
Важно! Изменение пароля доступа к секретному ключу без генерации новых ключей ЭП не защищает от возможности использования ранее скопированного (похищенного) ключа. Необходима замена ключей ЭП и пароля одновременно.
Для обеспечения безопасности Вашей работы в системе «Клиент-Банк» необходимо следовать следующим правилам:
1. Использовать для хранения секретных ключей ЭП только аппаратные криптопровайдеры в виде USB-токена, либо смарт-карты «iBank 2 Key». Использование Вами устройств защиты ЭП, при условии соблюдения правил работы с ними, является действенной мерой, предотвращающей хищение (копирование) секретных ключей ЭП;
2. При работе со статического IP-адреса или с нескольких адресов подключать услугу «IP-фильтрация», которая позволит ограничить круг адресов, с которых возможна работа при помощи Вашего ключа ЭП;
3. Отключать и извлекать устройства защиты ЭП и иные носители с ключами ЭП в то время, когда они не используются для работы с системой «Клиент-Банк», даже если Вы отключаете компьютер;
4. При работе с системой использовать дополнительные средства защиты в системе дистанционного банковского обслуживания - услуги SMS-информирование и SMS-пароль.
Услуга SMS-информирование позволяет клиенту получать информацию по счету на указанный им номер мобильного телефона и/или электронный адрес в виде sms / е-mail сообщений.
Услуга SMS-пароль позволяет клиенту обеспечить дополнительную защиту от несанкционированного доступа при работе клиента в системе «Клиент-Банк», путем получения одноразового пароля на мобильный телефон клиента и /или с использованием вспомогательного устройства – OTP - токен. Услуга SMS-пароль обеспечивает:
a) дополнительное подтверждение отправки платежей одноразовым паролем;
b) возможность самостоятельного выбора суммы платежа, от размера которой система будет запрашивать подтверждение одноразовым паролем (опция настраивается индивидуально для каждого клиента);
c) дополнительную идентификацию клиента при входе в систему «Клиент-Банк» – подтверждение входа в систему одноразовым паролем, без введения которого вход в систему невозможен (опция настраивается индивидуально для каждого клиента).
5. На компьютерах, используемых для работы с системой «Клиент-Банк», исключить посещение Интернет - сайтов сомнительного содержания, открытие подозрительных файлов, работу с непроверенными носителями информации и так далее;
6. Применять на рабочем месте (в рабочей локальной сети) надежные, лицензионные операционные системы и средства антивирусной защиты, обеспечить регулярное автоматическое обновление операционных систем, антивирусных баз и программного обеспечения Java-машина. Устаревшие версии Java-машины уязвимы;
7. Если Вы заметили проявление необычного поведения системы «Клиент-Банк» или какие-то изменения в интерфейсе программы – позвоните в Банк и выясните, не связаны ли такие изменения с обновлением версии системы. Если нет – возможно, изменения вызваны работой программы-шпиона. Обязательно сразу же заблокируйте ключи ЭП и сообщите в Банк о ситуации;
8. При обслуживании компьютера сотрудниками ИТ-служб контролировать выполняемыми ими действиями. Никому не передавать ключи ЭП. При увольнении сотрудника, имевшего доступ к системе «Клиент-Банк» или к компьютерному оборудованию, с использованием которого осуществлялось проведение операций, принять меры для проверки компьютера на отсутствие вредоносных программ, при необходимости заблокировать ключи ЭП и сгенерировать новые, проверить выполнение всех вышеперечисленных рекомендаций.
На любые Ваши вопросы, касающиеся работы системы «Клиент-Банк», ответят специалисты Банка.
Также считаем необходимым отметить, что все вышеуказанное не имеет целью заставить Клиента отказаться от осуществления операций с использованием дистанционного банковского обслуживания, а лишь призвано помочь Клиенту понять риски этого вида сервиса, определить их приемлемость, реально оценить свои финансовые цели, возможности и ответственно подойти к решению вопроса о дистанционном банковском обслуживании.
“Настоящие Рекомендации по снижению рисков, связанных с осуществлением операций с использованием системы дистанционного банковского обслуживания «Клиент-Банк» «iBank2», мною прочитаны и поняты. Я осознаю реальные риски при принятии решения о подключении к моим счетам системы «Клиент-Банк» ”.
Клиент: ______________________________________________________________ ИНН __________________
_____________________ (_______________________) «_____» _______________ 20___ г.
МП
