Рекомендации по обеспечению информационной безопасности при работе с Системой ДБО

PROбезопасность

11:00 – 12:00 14 сентября 2016

Статистика несанкционированных операций

* Источник: Обзор ЦБ РФ о несанкционированных переводах средств за 2015 год.

2

11

71

94

271

176

292

116

31

0 100 200 300 400

от 0 до 1 000

от 1 000 до 10 000

от 10 000 до 50 000

от 50 000 до 100 000

от 100 000 до 500 000

от 500 000 до 1 000 000

от 1 000 000 до 5 000 000

от 5 000 000 до 20 000 000

более 20 000 000

рубли

Какие суммы списывают чаще со счетов юридических лиц

Количество несанкционированных операций, ед.

31

5,2

0

37

1,3

0

45

9,4

0

54

7,5

0

61

2,6

0

1 4

55

,80

2 0

70

,50

98

7,6

0

1 2

76

74

4

1 2

64

1 6

06 3 3

02 5

36

9

8 2

33

15

67

4

I КВ. 2014

I I КВ. 2014

I I I КВ. 2014

IV КВ. 2014

I КВ. 2015

I I КВ. 2015

I I I КВ. 2015

IV КВ. 2015

Динамика несанкционированных операций 2014-2015гг.

Объем несанкционированных операций, млн руб.

Количество несанкционированных операций с использованием систем ДБО, ед.

3

3

1. Подмена страницы входа в интернет-банк

Как украсть денежные средства

2. Подмена реквизитов платежа при загрузке платежей в систему ДБО

3. Кража логинов, паролей и одноразовых кодов доступа

Почему это происходит

4

Основные источники опасности

заражение вредоносным кодом устройства, с которого осуществляется доступ в интернет-банк

несанкционированный доступ злоумышленника к информации, необходимой для переводов денежных средств, в том числе аутентификационной информации

утрата носителей ключевой информации и средств аутентификации

1 июня 2016 в 11:30В ходе совместной операции сотрудники МВД и ФСБ задержали группу хакеров из 50 человек. С помощью вредоносной программы злоумышленники похитили более 1,7 миллиарда рублей у российских банков.

Как банк обеспечивает безопасную работу

Персональный логин и пароль каждому пользователю

Использование одноразовых кодов для входа

Применение средств криптографической защиты

Работа антифрод-системы

Дополнительно Вы можете:

Подключить SMS-информирование о расходных операциях

Установить лимиты на списание средств со счета в день

+ +

5

Использование криптографии

— компактное устройство для защищенного хранения ключей

шифрования и электронной подписи, а также цифровых сертификатов

Обязательное хранение ключей ЭП на USB-токене

С извлекаемым ключом С неизвлекаемым ключом

Ключ хранится на токене, но при шифровании выгружается в оперативную память компьютера

Ключ хранится на токене и не покидает его. Генерация ключей происходит внутри

При подключении или замене выдаются бесплатно

Приобретаются в соответствии с тарифами банка

Возможно использование 1 токена для работы с несколькими компаниями

6

Как совершать платежи безопасно

5 факторов:

1. Ограничение доступа

2. Антивирус/брандмауэр

3. Пароль

4. Хранение ключей ЭП (токенов)

5. Лицензионные программы

7

Безопасная работа в Интернет с рабочего ПК

Соблюдайте максимальную осторожностьпри работе с почтой, не открывайте письма ивложения от неизвестных получателей

Не заходите с компьютера, которыйиспользуется для работы в интернет-банке,на сайты сомнительного содержания.Используйте данный компьютер только дляработы в системах ДБО.

Отключите возможность автозапускапрограмм

Проверяйте значок безопасного соединенияпри работе в интернет-банке

11

Антивирус или брандмауэр?

.

- контролирует входящий/исходящий траффик

- препятствует несанкционированному доступу вредоносного ПО из Интернета и локальной сети

Антивируc Брандмауэр

Антивирус + брандмауэр =

- осуществляет поиск на устройстве/ПК вредоносного программного обеспечения

- удаляет найденные вирусы

Примеры программ Встроенный firewall

9

eWallet

• Длина - не менее 8 символов (сочетание букв, цифр и спецсимволов латинского алфавита разного регистра)

• Не передавайте пароли (к рабочему ПК, интернет-банку) третьим лицам

• Меняйте пароли не реже, чем раз в 1-2 месяца

Правильное использование паролей

При вводе пароля используйте виртуальную клавиатуруПУСК -> Все программы -> Стандартные -> Специальные возможности

Создавайте безопасные пароли с помощью программы генерации паролейНапример,

www.keepass.info

eWallet

www.iliumsoft.com/ewallet

RoboFormwww.roboform.com

8

Всегда извлекайте USB-токен из компьютера после завершения работы синтернет-банком

При увольнении/смене в компании лиц, имеющих право подписидокументов в интернет-банке, обязательно оформите в Банке заявлениедля замены USB-токена и блокировки уволенных сотрудников.

Не рекомендуется использовать USB-токены при подключении через сетиWI-FI общего доступа (в интернет-кафе, в гостиницах, в аэропортах)

При сбоях в работе браузера/компьютера во время работы с интернет-банком немедленно извлеките ключи и выключите компьютер, обратитесьв Службу технической поддержки Банка:

11

Ключевые носители: что делать, если...

с 08.00 до 20.00 (по рабочим дням МСК)Телефоны:Санкт-Петербург: /812/ 329 5939Москва: /495/ 228 3065Калининград: /4012/ 995 7778 800 500 5939 по России звонок бесплатный

Скажите «Нет» нелегальному ПО!

1. Нелегальные копии могут уже быть заражены вирусными программами или иметь «чёрные ходы», используемые злоумышленниками

2. Наличие ответственности за использование нелицензионных копий:

Административная ответственностьст.7.12 КоАП РФ «Нарушение авторских и смежных прав, изобретательских и патентных прав»

для юридических лиц - штраф в размере от 30 000 до 40 000 рублей

Уголовная ответственностьчасть 2, ст. 146 УК РФ «Нарушение авторских и смежных прав»

Для физического лица (например, руководитель организации/системный администратор)

штраф в размере до 200 000 рублей или в размере ЗП/иного дохода за период до 18 мес; обязательные работы на срок до 480 часов; исправительные работы на срок до 2-х лет; принудительные работы на срок до 2-х лет; лишение свободы на срок до 2-х лет

Гражданско-правовая ответственностьст. 1252 ГК РФ – возмещение убытков или ст. 1301 ГК РФ - выплата компенсации:

в размере от 10 000 рублей до 5 000 000 рублей, определяемом по усмотрению суда;

в двукратном размере стоимости экземпляров произведения или в двукратном размере

стоимости права использования произведения.

ст. 1253 ГК РФ неоднократное и грубое нарушение исключительных прав на результаты интеллектуальной деятельности:• Для юридических лиц и ИП - решение суда о ликвидации по требованию прокурора.

Проверки правоохранительными органамиИзъятие компьютерной техники без решения суда сотрудниками Отдела по борьбе с преступлениями в сфере высоких технологий на неустановленный срок.На деле могут достигать 4- 5 месяцев.

Уголовная ответственность наступает,когда стоимость использованногонелицензионного ПО или прав на него> 100 000 рублей.

Примечание к ст. 146 УК.

Например,для привлечения к уголовнойответственности достаточно6-7 офисных компьютеров, нелегальнооснащенных MS Windows + Office.

10

13

Взаимодействие с Банком

Уважаемые клиенты, помните:

! Банк никогда не рассылает письма со ссылками для перехода настраницы в сети Интернет или для загрузки какого-либопрограммного обеспечения;

! Сотрудники Банка не имеют права запрашиватьконфиденциальную информацию, в том числе пароли доступа,одноразовые коды аутентификации.

! Все взаимодействие с клиентами осуществляются с банковских

телефонных номеров 329-50-50, 329-59-39

Вместе – мы сильнее

Только совместными усилиями мы сможем обеспечить эффективную защиту ваших средств

7

По всем возникающим вопросам по обеспечению защиты в системах ДБО обращайтесь вСлужбу технической поддержки Банка

по телефонам в Санкт-Петербурге:/812/329 5939или 8 800 500 5939 (по России звонок бесплатный )или пишите на адрес sbk@bspb.ru

Благодарим за внимание!