2 марта, вторник 22:38
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Отчётность по 0403203 и претензии от ЦБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Отчётность по 0403203 и претензии от ЦБ

    В сентябре месяце в нашем банке было пару попыток дропа по ДБО. Ситуация вполне стандартная: бухгалтер использует компьютер с банк-клиентом для всего, включая скачивание игр, а токен ей просто лениво каждый раз вставлять в usb, поэтому он туда прирос. Соответственно однажды мошенники получают доступ к её банк-клиенту iBank-2 и формируют платежку, но мы платёжку тормозим. Выезжали к клиенту - логи антивируса полны криков о помощи, а бухгалтерша в слезах божится, что никуда ничего не отправляла и вообще впервые контрагента видит.

    В отчёте указали "Воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов". Спустя неделю поступил грозный звонок от ЦБ, который вопрошал - проводили ли мы экспертизу компьютера на наличие трояна, осуществляющего перевод, и есть ли заключение экспертной комиссии? Мол, на каком основании мы это пишем. Попытки сказать, что это распространенная проблема ДБО, что недавно Group-IB приводили отчёт по данному трояну, что независимая экспертиза стоит дорого, а полиция выносит отказ в возбуждении уголовного дела, не принесли успеха. Потребовали предоставить все образцы договоров, инструкций и прочего, что регулирует наши отношения с клиентами ДБО. Кричали и ругались, что недопустимы даже попытки списания по банк-клиенту.

    Это что же получается, лучше даже попытки скрывать, чтобы не нарваться на какое-нибудь предписание? Мы не можем стоять над каждым клиентом и требовать беспрекословного послушания, потому что это не реально. Так же мы не можем закрыть все уязвимости iBank-2 от Бифита. Мы вводим свои системы защиты, sms-подтверждение платежей и постоянное информирование клиентов о новых угрозах, но это не панацея.
    Что подскажете?

  • #2
    Сообщение от Ravilich Посмотреть сообщение
    Выезжали к клиенту
    Уж сколько раз твердили миру, не трогайте комп клиента, вас же потом и обвинят во всех смертных грехах.

    Комментарий


    • #3
      Сообщение от Ravilich Посмотреть сообщение
      Это что же получается, лучше даже попытки скрывать, чтобы не нарваться на какое-нибудь предписание? Мы не можем стоять над каждым клиентом и требовать беспрекословного послушания, потому что это не реально. Так же мы не можем закрыть все уязвимости iBank-2 от Бифита. Мы вводим свои системы защиты, sms-подтверждение платежей и постоянное информирование клиентов о новых угрозах, но это не панацея.
      Что подскажете?
      Как уже написал ost к клиенту не ездить, ничего не трогать на стороне клиента.
      По максимуму переложить все риски на клиента, т.е. в договоре подробно отразить все обязанности клиента, в т.ч. по соблюдению ИБ, требования к рабочему месту и т.п. В итоге, если происходит рисковое событие, то это несоблюдение клиентом договора по ДБО и по сути своей - вина клиента. А вы молодцы - своевременно остановили деньги, вернули их клиенту, претензий к банку нет. В 203 форме пишите, что был инцидент, который произошел по вине и на стороне клиента, вы предприняли все действия, чтобы его предотвратить, деньги никуда не ушли.
      Я думаю как-то так должно быть.

      Комментарий


      • #4
        Сообщение от Sascha Посмотреть сообщение
        вы предприняли все действия, чтобы его предотвратить, деньги никуда не ушли.
        А если бы ушли? Что тогда делать? Получается в любом случае будет:
        Кричали и ругались, что недопустимы даже попытки списания по банк-клиенту.

        Комментарий


        • #5
          Сообщение от Auburn Посмотреть сообщение
          Кричали и ругались, что недопустимы даже попытки списания по банк-клиенту.
          Кричать и ругаться - это всегда пожалуйста, только что они смогут сделать? За что наказывать? За то, что клиент не соблюдал условия договора? Клиенты взрослые люди, ставят подписи на договоре. Если они не читают договор и не соблюдают его - то это их проблемы. А недопускать злоумышленников к хакингу, это дело не банка, а правоохранителей.
          Главное побольше бумажек клепать...на каждое действия акты составлять....инцидент произошел - собрать ГРИИБ, которая зафиксирует и предотвратит инцидент. Потом по акту провести обучение клиента, где заставить его расписаться за обучение основам ИБ. Регулярно рассылать по ДБО письма клиентам, в которых указывать на правила обращения с ДБО и намеком на то, какие они несут риски.

          Комментарий


          • #6
            Присоединюсь к бичующим.
            К клиенту ездить категорически нельзя.
            С формулировакой отчета не согласна. Я бы написала "компрометация ключевой информации вследствие невыполнения клиентом требований ИБ, указанных в договоре.".
            А иначе ЦБ грозно звонили правильно... На основании чего ВЫ сделали заключение о вредоносном коде? Как Вы определили, что это именно тот троян, который анализировал GroupIB и кто такой вообще GroupIB для ЦБ, что вы на него ссылаетесь?
            Отказ в возбуждении УД - не Ваша головная боль, Вы тут вообще не должны учавствовать, пока вас не позвали...
            В общем ЦБ пока прав. Кроме пункта "недопустимы даже попытки списания по банк-клиенту", ибо кто же запретит клиенту нарушать устновленные ( ну т е которые должны быть установлены) требования безопасности...

            Скрывать не надо. БУдет хуже. Но и глупо себя вести не надо (ссылаясь на GroupIB в вынесении решения по инциденту).

            Проинформируйте ЦБ о мерах безопасности, предоставляемых клиенту, об оговоренных в документах ограничениях, о предупрежденных рисках, распишите где что как и почему клиент не выполнил (только не надо про то, что там клиент в игрушки играл, что на компе клиента - не ваша забота, а вот доступность ЭП на рабочем месте в момент неосуществления работы с ДБО легитимного владельца, что есть чистой воды компрометация даже без трояна - это Ваши терки с клиентом), будет вам счастье...

            Комментарий


            • #7
              Мне кажется, все еще проще - если нет заключения официальной экспертизы гос. органов, возбужденного уголовного дела и т.д. - никакого инциндента не было все только со слов клиента в худшем случае - инсайд, а это уже головная боль только клиента

              Комментарий


              • #8
                Сообщение от integro7 Посмотреть сообщение
                Мне кажется, все еще проще - если нет заключения официальной экспертизы гос. органов, возбужденного уголовного дела и т.д. - никакого инциндента не было все только со слов клиента в худшем случае - инсайд, а это уже головная боль только клиента
                Ну да, давайте научим чела сдавать недостоверную отчетность

                Комментарий


                • #9
                  Вот пишут комп клиента не трогать. А начальник банка вызывает и требует объяснить что произошло. А что безопаснику делать? Круглые глаза?
                  И почему сотрудники клиента не могут показать банковскому безопаснику логи, что здесь нарушается?

                  Комментарий


                  • #10
                    Сообщение от Dolphina12 Посмотреть сообщение
                    Ну да, давайте научим чела сдавать недостоверную отчетность
                    Ну почему же неверную-то? Про вирусную атаку это сугубо личное мнение безопасника Банка - это же не официальная экспертиза! Может клиент сам все сделал, а теперь валит на вирусы - сколько таких случаев уже было

                    Комментарий


                    • #11
                      Сообщение от АС Посмотреть сообщение
                      Вот пишут комп клиента не трогать. А начальник банка вызывает и требует объяснить что произошло. А что безопаснику делать? Круглые глаза?
                      И почему сотрудники клиента не могут показать банковскому безопаснику логи, что здесь нарушается?
                      А безопасник должен начальнику объяснить - ЭД подписан ЭП, все ок. ВСе остальное - это домыслы клиента. Памятку по безопасности ДБО давали? Давали! К каждому компьютеру клиента безопасника банка не приставишь. Если у клиента Банка воруют дебетовую карту, это чья проблема - клиента, а не банка.

                      Комментарий


                      • #12
                        Сообщение от АС Посмотреть сообщение
                        Вот пишут комп клиента не трогать. А начальник банка вызывает и требует объяснить что произошло. А что безопаснику делать? Круглые глаза?
                        И почему сотрудники клиента не могут показать банковскому безопаснику логи, что здесь нарушается?
                        У меня в случае хищения денег требовали отчет. Я сделал просто, всего 4 шага.
                        1. Проверка целостности криптографических средств защиты.
                        проверяем целостность криптобиблиотек, и то что они не изменялись
                        2. Проверка принадлежности Клиенту ключа ЭП.
                        Спорный документ подписан ключом ___ с идентификатором ___., который является действующим ключом на момент подписания спорного ЭД и принадлежит директору ___ ФИО.
                        Открытый ключ, зарегистрированный в системе ДБО, совпадает с открытым ключом на бумажном носителе, заверенным подписью руководителя и печатью организации.
                        3. Проверка корректности ЭП спорного ЭД.
                        Проверяем подпись под спорным ЭД - подписано ключом клиента.
                        Проверяем подпись под ЭД, который не оспаривается - та же подпись клиента.
                        4. Подлинных документов, отменяющих рассмотрение спорного ЭД и имеющих отметку о приеме ранее даты и времени спорного ЭД не представлено.

                        Получаем что единовременно выполняются следующие условия:
                        - ключ ЭПпринадлежит Клиенту.
                        - Отсутствуют подлинные документы, отменяющие рассмотрение ЭД и имеющие отметку о приеме ранее даты и времени спорного ЭД.
                        - Проверка корректности ЭП спорного ЭД дала положительный результат, т.е. под ЭД имеется необходимое количество корректных ЭП с учетом наложенных на них ограничений.

                        Вывод:
                        Электронный документ – является подлинными.

                        Все! Моя работа закончена, дальше рулятся юристы.

                        Комментарий


                        • #13
                          Очень желательно все инструктивные материалы передаваемые клиентам по безопасности ДБО, обучение, если такое проводится с клиентами, фиксировать на бумаге с подписью клиента.
                          Так как если инцидент происходит, то позиция клиента практически всегда, мол ничего нам не доводилось, никто ничего не передавал. И если дело доходит до суда, то подпись клиента будет играть в пользу банка.

                          Комментарий


                          • #14
                            Сообщение от АС Посмотреть сообщение
                            Вот пишут комп клиента не трогать. А начальник банка вызывает и требует объяснить что произошло. А что безопаснику делать? Круглые глаза?
                            И почему сотрудники клиента не могут показать банковскому безопаснику логи, что здесь нарушается?
                            Сотрудники клиента могут показывать логи, на здоровье. Приносить на отчужденном съемном носителе и показывать.
                            К скомпрометированному рабочему месту ни-ни подходить работнику банка!

                            Что делать?
                            Ранее уже написали.
                            Проверить целостность СКЗИ, логи своей системы, подлинность ЭП клиента.
                            Далее можно официальными бумажными запросами аккуратно выяснять, что же там произошло.
                            Если начальник банка вызывает, то пишется официальная позиция по результатам писем клиента о соблюдении требований безопасности.
                            И да, сами требования безопасности должны быть озвучены клиенту на основании договора задолго до инцидиента
                            По очень большому желанию можно попросить клиента предоставить на отчужденном носителе образ диска компрометированного рабочего места, снятый клиентом по желанию клиента.И тогда разбираться на образе (если велика тяга к открытиям). Передача носителя должна быть культурно офомрлена.
                            Но к самому рабочему месту ни-ни!

                            Комментарий


                            • #15
                              Сообщение от integro7 Посмотреть сообщение
                              Ну почему же неверную-то? Про вирусную атаку это сугубо личное мнение безопасника Банка - это же не официальная экспертиза! Может клиент сам все сделал, а теперь валит на вирусы - сколько таких случаев уже было
                              Все может быть... Но если клиент дотопает до территориального надзорного органа, а у банка нулевая 203-я, то у банка могут быть неприятности с надзором...
                              Позиция ЦБ - инцидент зарегистрировать, в ситуации разобраться, результаты запротоколировать, при необходимости отразить в отчетности.

                              Комментарий


                              • #16
                                Сообщение от Sat_Kelman Посмотреть сообщение
                                Открытый ключ, зарегистрированный в системе ДБО, совпадает с открытым ключом на бумажном носителе, заверенным подписью руководителя и печатью организации.
                                Вот кстати, попутный вопрос, а как вы оформляете эти ключи на бумажном носителе?
                                Я имею в виду технологически, печатаете из системы и требуете, чтобы клиент подписал и проштамповал бумагу в вашем присутствии?

                                Просто тут у нас тема возникла с юристами, что клиент может притарабанить заведомо неправильную бумагу, поменять одну цифру в открытом ключе, а сверка глазами на 99% этого не выявит, и привет.

                                Комментарий


                                • #17
                                  Сообщение от ost Посмотреть сообщение
                                  Просто тут у нас тема возникла с юристами, что клиент может притарабанить заведомо неправильную бумагу, поменять одну цифру в открытом ключе, а сверка глазами на 99% этого не выявит, и привет.
                                  Кстати, хороший вопрос.
                                  С уважением, Антон

                                  Комментарий


                                  • #18
                                    http://www.vesti.ru/doc.html?id=1133892
                                    Я так понимаю - это инцидент ИБ?
                                    С уважением, Антон

                                    Комментарий


                                    • #19
                                      Сообщение от ost Посмотреть сообщение
                                      Вот кстати, попутный вопрос, а как вы оформляете эти ключи на бумажном носителе?
                                      Я имею в виду технологически, печатаете из системы и требуете, чтобы клиент подписал и проштамповал бумагу в вашем присутствии?

                                      Просто тут у нас тема возникла с юристами, что клиент может притарабанить заведомо неправильную бумагу, поменять одну цифру в открытом ключе, а сверка глазами на 99% этого не выявит, и привет.
                                      Сами печатаем из системы ДБО.

                                      Комментарий


                                      • #20
                                        Сообщение от Dolphina12 Посмотреть сообщение
                                        Все может быть... Но если клиент дотопает до территориального надзорного органа, а у банка нулевая 203-я, то у банка могут быть неприятности с надзором...
                                        Позиция ЦБ - инцидент зарегистрировать, в ситуации разобраться, результаты запротоколировать, при необходимости отразить в отчетности.
                                        Ну клиент может сделать ровно то же самое после того, как сам сделает левую платёжку.

                                        Комментарий


                                        • #21
                                          Сообщение от integro7 Посмотреть сообщение
                                          Сами печатаем из системы ДБО.
                                          А дальше?
                                          На этой бумаге должна стоять подпись клиента и, возможно, печать (я правильно понимаю?), вот эту подпись он ставит в вашем присутствии?

                                          Комментарий


                                          • #22
                                            Сообщение от ost Посмотреть сообщение
                                            На этой бумаге должна стоять подпись клиента и, возможно, печать (я правильно понимаю?), вот эту подпись он ставит в вашем присутствии?
                                            Не обязательно. Некоторые коллеги работают по принципу письма по ДБО типа "прошу активировать ЭП с идентификатором таким-то"...
                                            С уважением, Антон

                                            Комментарий


                                            • #23
                                              Сообщение от Антон Дёмин Посмотреть сообщение
                                              Некоторые коллеги работают по принципу письма по ДБО типа "прошу активировать ЭП с идентификатором таким-то"...
                                              Хотя бы один раз (первый) нужно получить подпись, иначе как потом доказывать принадлежность ключа конкретному лицу? Это лицо будет отпираться.
                                              Также надо получать подпись при утере или компрометации ключа.

                                              Комментарий


                                              • #24
                                                Сообщение от ost Посмотреть сообщение
                                                Хотя бы один раз (первый) нужно получить подпись, иначе как потом доказывать принадлежность ключа конкретному лицу?
                                                Это бесспорно. При заключении договора.
                                                Сообщение от ost Посмотреть сообщение
                                                Также надо получать подпись при утере или компрометации ключа.
                                                Видимо, не ПРИ, а ПОСЛЕ компрометации единственного значащего ключа?
                                                С уважением, Антон

                                                Комментарий


                                                • #25
                                                  Сообщение от Антон Дёмин Посмотреть сообщение
                                                  Видимо, не ПРИ, а ПОСЛЕ компрометации единственного значащего ключа?
                                                  Ну да, ПОСЛЕ.
                                                  Обязательно после того, как ключ юзера был скомпрометирован или уже закончился срок его действия.

                                                  Хотелось бы узнать как в банках организовано получение подписи клиента на бумаге с открытым ключом.


                                                  А вот "письмо по ДБО типа "прошу активировать ЭП с идентификатором таким-то"", как-то стрёмно.
                                                  1. ИМХО, письмо должно быть обязательно от этого самого юзера, и на самом деле это неудобно, в случае чего надо будет поднимать всю цепочку писем до самого первого ключа.
                                                  2. Сюда же комент от юристов, по {какой-то инструкции} клиентов с высоким риском, а интернет-банк это высокий риск, надо перепроверять не реже чем раз в год, т.е. он должен раз в год появляться в банке, у него надо проверять ДУЛ и т.п. (случаи были).

                                                  Комментарий


                                                  • #26
                                                    Сообщение от ost Посмотреть сообщение
                                                    А вот "письмо по ДБО типа "прошу активировать ЭП с идентификатором таким-то"", как-то стрёмно.
                                                    А платёжку принимать по тому же каналу с той же защитой и указывать в договоре на ДБО фразу типа "стороны признают юридическую силу всех документов" не стрёмно?

                                                    Сообщение от ost Посмотреть сообщение
                                                    Хотелось бы узнать как в банках организовано получение подписи клиента на бумаге с открытым ключом.
                                                    Так вариантов в жизни ровно два - либо клиент сам приносит либо по почте присылает. Ведь электронным каналом он воспользоваться уже не может, согласно наших вводных.

                                                    Сообщение от ost Посмотреть сообщение
                                                    2. Сюда же комент от юристов, по {какой-то инструкции} клиентов с высоким риском, а интернет-банк это высокий риск, надо перепроверять не реже чем раз в год, т.е. он должен раз в год появляться в банке, у него надо проверять ДУЛ и т.п. (случаи были).
                                                    Либо юристы плохие, либо Вы неправильно их поняли. Это тот самый 115-ФЗ в редакции 134-ФЗ. И не являться и ДУЛ проверять, а проводить обновление анкеты клиенты согласно тех ПВК, которые разработаны у вас в банке.
                                                    С уважением, Антон

                                                    Комментарий


                                                    • #27
                                                      А дальше?
                                                      На этой бумаге должна стоять подпись клиента и, возможно, печать (я правильно понимаю?), вот эту подпись он ставит в вашем присутствии?

                                                      Да, когда приезжает в Банк

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Антон Дёмин Посмотреть сообщение
                                                        А платёжку принимать по тому же каналу с той же защитой и указывать в договоре на ДБО фразу типа "стороны признают юридическую силу всех документов" не стрёмно?
                                                        Это разные вещи, платёжки и удостоверяющий документ.
                                                        Вот смотрите, когда человеку надо поменять паспорт он должен явиться лично, и заявления по электронке в этом случае не принимают, а паспорт в ответ по почте не отправляют.
                                                        Можно, конечно, сертификат выдавать бессрочный или сроком действия лет 10-15...


                                                        Сообщение от Антон Дёмин Посмотреть сообщение
                                                        Это тот самый 115-ФЗ в редакции 134-ФЗ. И не являться и ДУЛ проверять, а проводить обновление анкеты клиенты согласно тех ПВК, которые разработаны у вас в банке.
                                                        Оно самое, да надо проводить обновление анкеты и наши настаивают, чтобы при этом документы ген.дира и главбуха проверяли.

                                                        Сообщение от Антон Дёмин Посмотреть сообщение
                                                        Так вариантов в жизни ровно два - либо клиент сам приносит либо по почте присылает.
                                                        Я бы сказал по другому, он либо 1) подписывает прямо в банке то, что ему на месте из ДБО распечатали (кто-нибудь так делает? сомневаюсь), либо 2) приносит уже подписанный и проштампованный документ (в этом случае надо в его бумаге всё-всё досконально глазами проверять и желательно, чтобы проверяли в четыре глаза, и мне интересно как в других банках этот контроль устроен).

                                                        Комментарий


                                                        • #29
                                                          Сообщение от integro7 Посмотреть сообщение
                                                          Да, когда приезжает в Банк
                                                          Уважаю. У нас бизнес не удалось пробить на такое.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от ost Посмотреть сообщение
                                                            Вот смотрите, когда человеку надо поменять паспорт
                                                            Некорректная аналогия. Мы с Вами говорим не про ДУЛ, а про АСП. Вот ЭТО - действительно разные вещи.
                                                            Сообщение от ost Посмотреть сообщение
                                                            Можно, конечно, сертификат выдавать бессрочный или сроком действия лет 10-15...
                                                            Нельзя.
                                                            Сообщение от ost Посмотреть сообщение
                                                            надо проводить обновление анкеты и наши настаивают, чтобы при этом документы ген.дира и главбуха проверяли
                                                            Если эта хотелка внесена в ПВК - то пусть проверяют. Если нет - то хотелка юристов останется хотелкой юристов. Потому что есть КОПиОП.
                                                            Сообщение от ost Посмотреть сообщение
                                                            Я бы сказал по другому
                                                            Полностью с Вами согласен. Мои наблюдения аналогичны Вашим.
                                                            Тем не менее вопрос поднят ОЧЕНЬ хороший и своевременный. Надо думать.
                                                            А та схема работы, которую я описАл выше - реально используется на практике.
                                                            Сообщение от ost Посмотреть сообщение
                                                            У нас бизнес не удалось пробить на такое.
                                                            Разное количество клиентов на ДБО, всего-то. Клиенту это реально неудобно. И если для кэптивного банка с 100 клиентами это возможно, то для банка с 500 клиентами это уже нереально (понятно, что цифры я утрирую). Не будем забывать, что в фразе ДБО ключевым является буква Д - "дистанционное".
                                                            С уважением, Антон

                                                            Комментарий

                                                            Обработка...
                                                            X