Информационная безопасность «Интернет-банкинга»

Использование системы «Интернет-банкинг» становится более безопасным. Информационная безопасность усовершенствуется с учетом постоянно изменяющейся инфраструктуры, а также в связи с постоянным развитием информационных технологий.

Безопасное использование «Интернет-банкинга» обеспечивается благодаря следующим механизмам:

Аутентификация сервера «Интернет-банкинга»

Для того, чтобы обеспечить защиту от атак, направленных на подмену банковского Web-сервера и модификации его контента во время передачи, применяется протокол SSL (Secure Sockets Layer) и сертификат открытого ключа, выданный одним из авторитетных Интернет центров сертификации ключей (Certificate Аuthority) — VeriSign.

Аутентификация пользователей «Интернет-банкинга»

В «Интернет-банкинге» применяется технология двухфакторной аутентификации пользователей для организации безопасного доступа к системе. Эта технология базируется на двух факторах: наличия у пользователя действительного личного (секретного) криптографического ключа, который хранится в файловом контейнере или на токене, а также знание пароля (PIN- кода) доступа к этому ключу.

Конфиденциальность передаваемых данных

С целью обеспечения конфиденциальности данных, которыми обмениваются пользователи с банком по каналам «Интернет-банкинга», эти данные шифруются. Таким образом, исключается возможность перехвата и несанкционированного чтения платежной и другой информации.

Авторизация платежных документов

С целью обеспечения аутентичности (подтверждения авторства), неотказуемости от авторства и целостности электронных платежных документов, которые формируются клиентами и передаются в банк, применяется механизм электронной цифровой подписи. Действительность электронной цифровой подписи проверяется перед любой операцией по обработке документа.

Средства криптографической защиты, интегрированные в систему «Интернет-банкинг» для операций формирования и проверки электронной цифровой подписи, сертифицированы в соответствии с требованиями законодательства Украины.

Рекомендации относительно безопасной работы в системе «Интернет-банкинг»

Для того, чтобы обезопасить работу в системе «Интернет-банкинг», ознакомтесь с рекомендациями специалистов информационной безопасности, которые позволят значительно снизить риски мошеннических действий со счетами, доступ к которым осуществляется каналами «Интернет-банкинга».

1. Установите на рабочую станцию, с которой осуществляется доступ в систему «Интернет-банкинг» лицензионное антивирусное программное обеспечение. Поддерживайте обновление версий, регулярно и своевременно обновляйте антивирусные базы данных. Рекомендуем использовать антивирусное программное обеспечение, которое поставляется российскими компаниями, например Антивирус Касперского, Антивирус Dr.Web.

2. Установите на рабочую станцию, с которой осуществляется доступ в систему «Интернет-банкинг»:

- лицензионное «антишпионское» программное обеспечение (antispyware);

- программный персональный сетевой экран (файервол, брендмауэр)*.

* На рынке присутствует ряд программных комплексов, которые объединяют в себе функции антивируса, сетевого экрана, антишпионского и другого программного обеспечения, предназначенного для защиты рабочих станций.

Сетевой экран необходимо настроить таким образом, чтобы максимально ограничить выходной и входной сетевой трафик. Рекомендуется разрешить только доступ к ресурсам системы «Интернет-банкинг» и к другим минимально необходимым ресурсам, например, для обновления баз вирусных сигнатур, антивирусных программных средств, операционной системы и другого программного обеспечения.

Антивирусное и антишпионское программное обеспечение рекомендуется настроить для мониторинга всех событий, а также периодического сканирования данных, которые хранятся на жестком диске рабочей станции, с которой осуществляется доступ в систему «Интернет-банкинг».

3. Необходимо регулярно и своевременно обновлять системное программное обеспечение рабочей станции, с которой осуществляется доступ в систему «Интернет-банкинг», особенно, операционной системы, web-браузера, Java-машины. Рекомендуется активировать возможность автоматического обновления программного обеспечения.

4. Не рекомендуется устанавливать на рабочие станции, через которые осуществляется доступ в систему «Интернет-банкинг» программное обеспечение из ненадежных источников (публичные библиотеки программного обеспечения, программы в электронных сообщениях и т.д.). Не рекомендуется осуществлять доступ с таких рабочих станций к ненадежным (незнакомым) интернет-ресурсам.

5. Во время доступа в систему «Интернет-банкинг» строго не рекомендуется работать в операционной системе под учетной записью пользователя, который имеет расширенные права в операционной системе, например, «Администратор».

6. При подключении к веб-сайту системы «Интернет-банкинг» (https://ibank.aval.ua/) убедитесь в корректной аутентификации веб-сервера системы «Интернет-банкинг» по протоколу SSL. Избегайте подключений к веб-сайту системы по баннерным ссылкам или по ссылкам, содержащимся в электронной почте. Рекомендуется ввести адрес веб-сайта системы самостоятельно и добавить его в закладки браузера. При доступе к веб-сайту обращайте внимание на адресное поле браузера. Учитывая, что веб-сайт системы «Интернет-банкинг» имеет настоящий и действительный сертификат от мирового Интернет центра сертификации VeriSign, при входе в адресное поле браузера, должны отображаться первые символы адреса https://, а не http:// (в окне браузера может появится сообщение о том, что начинается просмотр страницы через безопасное соединение).

Сертификат веб-сайта возможно просмотреть с помощью браузера. Для этого необходимо нажать на значок «замочек» в поле статуса (этот значок размещен в разных местах в зависимости от браузера). На экране появится информация о сертификате безопасности веб-сайта ibank.aval.ua.

Значок закрытого замочка, который отображается при безопасном подключении к системе, является доказательством того, что веб-сайт настоящий.

7. Не рекомендуется осуществлять доступ в систему «Интернет-банкинг» через ссылки, полученные по электронной почте, а также из не контролированных и ненадежных рабочих станций, размещенных в интернет-кафе, отелях, офисах и т.д.

8. С целью завладения данными аутентификации пользователей системы «Интернет-банкинг» (личный ключ и пароль доступа к нему) для последующего незаконного использования, злоумышленники совершают атаки на рабочие станции пользователей.

Основными методами завладения ключевой информациею являются:

- распространение поддельных электронных писем, которые содержат ссылку на адрес веб-сайта, замаскированный под банковский;

- распространение через электронные письма или веб-сайты программного обеспечения, содержащего зловредный код и скрыто передающего злоумышленнику данные аутентификации пользователя;

- несанкционированное дистанционное управление персональным компьютером пользователя путем удаленного доступа.

Для предупреждения подобных ситуаций следует помнить, что банк никогда и не при каких обстоятельствах не осуществляет рассылку электронных писем с просьбой передать ключ, пароль, перейти по указанной ссылке, а также не распространяет по электронной почте программы и их обновления. Ответственность за хранение личных ключей и паролей возлогается на пользователя.

В случае получения подобных писем, программ или других сообщений электронной почтой необходимо срочно проинформировать об этом банк письмом или по телефону, указанному на сайте банка. Рекомендуется удалять подозрительные электронные письма не открывая их, особенно письма от неизвестных отправителей с прикрепленными файлами, имеющие расширения *.exe, *.pif, *.vbs или другие файлы.

9. Если настройку и обслуживание рабочей станции, с которой осуществляется доступ в систему «Интернет-банкинг», выполняет сторонний специалист, рекомендуется контролировать его действия.

10. Рекомендации относительно безопасности обращения с данными аутентификации (личным ключом и паролем доступа):

– Личный ключ и пароль доступа к нему являются особенно критичными данными с точки зрения безопасной работы в системе «Интернет-банкинг». Личный ключ генерируется по инициативе пользователя – его собственника под личным контролем. Банк никогда не имеет доступа к личным ключам пользователей. Для надежного хранения и использования личных ключей рекомендуется применять аппаратные устройства формирования подписей (токены), которые поставляются банком. Аппаратное устройство формирование подписи (токен) — это средство криптографической защиты информации, техническая реализация которого обеспечивает хранение личного ключа в защищенной памяти и выполнения криптографических операций таким образом, чтобы сделать невозможным копирование личного ключа или его нахождение за границами защищенной памяти устройства.

Если пользователь выбирает метод хранение ключа в файловом контейнере, личный ключ должен храниться исключительно на сменном носителе информации, например на дискете, CD-диске, USB-флэш памяти. Не допускается даже временное хранение ключей на жестком диске рабочей станции (компьютеров).

– Носитель ключевой информации, который содержит действительный ключ (сменный носитель информации, токен) должен постоянно быть под личным контролем пользователя, таким образом, чтобы не допустить доступ к нему других лиц. Ни при каких обстоятельствах не допускается передача носителя ключевой информации (токена) и/или раскрытия пароля к нему другим лицам, в том числе сотрудникам банка.

– Носитель ключевой информации, который содержит действительный ключ (съемный носитель информации, токен) должен использоваться только во время работы в системе «Интернет-банкинг». Не допускается оставление носителя ключевой информации, подключенным к персональному компьютеру, если работа в системе приостановлена или не проводится, персональный компьютер используется в других целях или в нерабочие время.

– Пароль доступа (PIN-код) к личному ключу не должен храниться в открытом виде (например, быть записанным на бумаге) и использоваться для других систем и сервисов. Персональная ответственность за хранение пароля доступа (PIN-кода) и недопущение возможности его использования другим лицом полностью возлагается на пользователя.

– Рекомендуется периодически менять пароль доступа к ключу (не реже одного раза в месяц). Пароль должен содержать цифры, буквы верхнего и нижнего регистра, а также специальные символы. При выборе пароля строго не рекомендуется использование комбинаций, которые легко устанавливаются, например, имена, даты рождение, телефонные номера и т.д;

– В случае увольнение пользователя или перевода его на должность, которая не предусматривает работу в системе «Интернет-банкинг», необходимо немедленно обратится в банк для блокирования его ключа.

– В случае компрометации или подозрения в компрометации ключа (потери, повреждения носителя ключевой информации, разглашения пароля или других событий и/или действий, которые привели или могут привести к несанкционированному использованию ключа), необходимо срочно обратится в банк с официальным письмом или по телефону для блокирования ключа, при этом обязательно назвать блокировочное слово или.

11. В случае, если доступ в «Интернет-банкинг» осуществляется со статического IР-адреса или диапазона адресов, рекомендуется обратиться в банк для установление ограничения перечня IP-адресов и/или IP-подсетей, с которых возможен доступ в систему «Интернет-банкинг». В этом случае все попытки подключения к системе «Интернет-банкинг» с IP-адресов и/или IP-подсистем, не включенных в заявленный перечень будут блокироваться.

12. Рекомендуется ежедневно анализировать все сообщения о принятых и непринятых банком электронных расчетных документов, а также немедленно информировать банк о случаях несанкционированного зачисления (перечисления) денежных средств.

Желаем успешной работы!