По информации Л аборатории Касперского в третьем квартале 2016 г. был зарегистрирован существенный рост количество атак и инцидентов, связанных с несанкционированным переводом денежных средств и платежами.
Из результата анализа географии атак видно, что в России таким атакам подвергся наибольший процент пользователей.
К сожалению, нефинансовыми организациями непростительно мало внимания уделяется вопросам защиты клиентской части ДБО. Надеетесь, что банки вас защитят? По текущей практике далеко не всегда это им удается. А недавно вышедший стандарт о реагировании на инциденты ИБ при осуществлении платежей поможет банку разве что аргументировано доказать, что инцидент произошел по вашей вине, что вы не выполнили требуемые меры и т.п.
Кстати из обзора ЦБ о несанкционированных переводах денежных средств в 2015 также можно сделать вывод о том, что большинство несанкционированных платежей выявлялись всё-таки не банками, а клиентами.
В одной из предыдущих статей я уже выкладывал обзорную презентацию по защите клиентской части ДБО. В этот раз продолжаю тему с перечнем вопросов, которые я обычно задаю в рамках консультаций по защите клиентов ДБО. Если вы также интересуетесь защитой ДБО, возможно эти эти вопросы будут вам полезны как отправная точка в повышении защиты вашего ДБО:
1. Перечень территориально удаленных объектов, с которых ведется работа с ДБО
2. Количество пользователей работающих с ДБО
3. Количество помещений, в которых ведется работа с ДБО
4. Перечень различных типов технических средств, с которых ведется работа с ДБО (АРМ, ноутбук, сервер)
5. Перечень различных ОС (с указанием точной версии), с которых ведется работа с ДБО
6. Перечень используемого клиентского ПО и/или браузеров для работы с ДБО
7. Используемые технологии усиленной аутентификации (по каждому банку, либо учесть все варианты - закрытый/открытый ключ, одноразовые пароли по СМС, одноразовые пароли на скретч карте, одноразовые пароли с использованием мобильных приложений, биометрия). Если применяются мобильные устройства (SMS или приложение для аутентификации) - личные или служебные?
8. Используемые при работе с ДБО ключевые носители (реестр, HDD, usb flash, usb токен, смарт-карта)
9. Места хранения ключевых носителей в течении рабочего дня (на столе, в техническом средстве, у пользователя, в запираемом шкафу, в сейфе)
10. Места хранения ключевых носителей в нерабочее время (на столе, в техническом средстве, у пользователя, в запираемом шкафу, в сейфе)
11. Выполняется ли на технических средствах, работающих с ДБО, другая деятельность сотрудников (работа с сетью Интернет, работа с электронной почтой, подготовка документов, др.)?
12. Кем формируются долговременные пароли для работы с ДБО?
13. Используются ли траст-скрины при работе с ДБО?
14. Используется ли ролевая модель работы с ДБО? (формирующий платежи, подписывающий платежи, контроллер)
15. Какие подразделения работают с ДБО? Кто принимает решение о проведении платежа? Имеется ли формализованная процедура подготовки, согласования и проведения платежей? Возможны ли исключения, например платеж по устному телефонному сообщению от руководителя, по сообщению в whatsup, по указанию, полученному по электронной почте?
16. Каналы по которым реквизиты и сумма платежа поступает на техническое средство, работающее с ДБО: на бумаге, файловое хранилище, флешка, электронная почта?
17. Используемые дополнительные сервисы безопасности, предоставляемые банками (лимиты, перечни доверенных получателей, оперативное информирование о платежах). Интересуют сервисы, которые используются в обязательном порядке по всем ДБО. 1 из 5 - не показатель. При информировании о платежах - на электронный адрес/телефон каких сотрудников (должность) заказывается информирование
18. Средства защиты информации, на всех технических средствах, работающих с ДБО:
· персональный межсетевой экран
· средство защиты от НСД
· другие персональные средства защиты информации
19. Имеющиеся документы, регламентирующие работу или защиту ДБО, в том числе правила для пользователей, администраторов, правила ограничения доступа в помещения и т.п.
20. Требования по защите информации, предъявляемые к клиенту из всех договоров и соглашений с банками
21. Инциденты при работе с ДБО, с которыми приходилось сталкиваться
PS: коллеги, если я что-то упустил, дополняйте
