4 марта, четверг 15:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Безопасность использования банк-клиента (вопрос на примере)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Безопасность использования банк-клиента (вопрос на примере)

    Здравствуйте, имеется вот такая ситуация:

    Есть старый комп, на котором бухгалтерами используется банк-клиент. Работает через IE7, выше не обновляется и итак еле дышит. Новый покупать денег не дают, потому что "итак работает". При этом у банка используется стандартный сертификат Thawte.
    Как я считаю, что должно быть хотя бы что-то одно или комп свежий или на стороне банка сертификат уровня SGC типа таких http://ssl.ru/certificates/sgc/, где есть поддержка старых браузеров для нормального шифрования.

    Внимание вопрос! - Правильно ли я понимаю, что это может закончится очень грустно и необходимо все же донести до руководства вышеизложенную мысль?
    Возможно с помощью этой страницы, а также других про кражу денег со счета.

    Спасибо!

  • #2
    IE7 ни при чём.
    Основное, это обеспечить безопасность рабочего места и регламент работы с ЭЦП:
    1. Антивирус с минимум как ежедневным обновлением
    2. Ограничить доступ в интернет с этой машины сайтом банка либо списком доверенных сайтов, запретить подклчюение к машине извне (заблокировать все порты, кроме необходимых для работы).
    3. Ограничить подключение внешних дисков и других носителей
    4. использовать ключи только с неизвлекаемыми носителями (токены)
    5. Можно до кучи добавить одноразовые сессионные пароли
    6. Подключить SMS-информирование по всем платежам, на любые суммы. В тексте SMS обязательно должны быть указаны реквизиты платежа
    7 Обязать бухгалтера подключать токен только во время подписи документов и сразу же извлекать его
    8. Фильтрация по IP на стороне банка - передать им свои айпишники, с которых будут осуществляться платежи, чтобы подключение возможно было только с них.

    А там хоть издыхает машина, хоть нет. На шустром компе и вирусы шустрее работают

    Комментарий


    • #3
      Вариант конечно правильный только одно НО, сомнительно что бухи используют этот ПК только для банк-клиента. Отсюда все вытекающие последствия. Идеальный вариант купить новый комп.

      Комментарий


      • #4
        Спасибо за полезные советы и за то, что уделили внимание!
        К сожалению, это все относится к нормальным организациям, которые думают о безопасности заранее. А есть например такие, которые на бухгалтерском компе хватают винлок 2 раза за месяц. И только тогда просят купить антивирус заместо просроченного на пару лет
        И я не являюсь штатным работником, а лишь помогаю по факту. По вашим пунктам постараюсь донести рекомендации, но боюсь что запрет флешек, свободный доступ к сайтам(помимо того что режет антивирь) и смс о платежках останутся не услышанными.
        Так же надеюсь удастся уговорить на новый комп, хуже не будет.
        А про SSL спросил, потому что в инструкции по БК, настойчиво рекомендуется использовать свежий браузер, видимо с учетом установленного на стороне банка стандартного сертификата.

        Комментарий


        • #5
          Сообщение от Strider Посмотреть сообщение
          надеюсь удастся уговорить на новый комп, хуже не будет.
          Лучше тоже не будет, если
          Сообщение от Strider Посмотреть сообщение
          на бухгалтерском компе хватают винлок 2 раза за месяц.

          Комментарий


          • #6
            Сообщение от Strider Посмотреть сообщение
            Спасибо за полезные советы и за то, что уделили внимание!

            настойчиво рекомендуется использовать свежий браузер, видимо с учетом установленного на стороне банка стандартного сертификата.
            Это связано скорее не с SSL сертификатом, а с тем что в старых браузерах есть дыры (уязвимости), поэтому банк рекомендует постоянно обновлять ПО.

            Комментарий


            • #7
              Сообщение от Strider Посмотреть сообщение
              При этом у банка используется стандартный сертификат Thawte.
              Как я считаю, что должно быть хотя бы что-то одно или комп свежий или на стороне банка сертификат уровня SGC типа таких http://ssl.ru/certificates/sgc/, где есть поддержка старых браузеров для нормального шифрования.
              Неправильно считаете. Кто вам сказал, что IE7 не держит шифрование больше 40 бит и требует никому не нужный сертификат SGC?

              Вы в настройках для начала проверьте, что у вас (TLS1.0 включите, если выключен, SSL2.0/3.0 отключите) к сайту банка подключитесь и проверьте (нажать правой кнопкой мыши на страничке и выбрать свойства, там будет инфа по алгоритмам).

              Протестировать возможности своего браузера можно здесь: https://www.mikestoolbox.net/

              Комментарий


              • #8
                Сообщение от Strider Посмотреть сообщение
                боюсь что запрет флешек, свободный доступ к сайтам(помимо того что режет антивирь) и смс о платежках останутся не услышанными.
                Найдите в интернете информацию о вирусах, написанных под интернет-банки и размерах краж, вас сразу услышат. Донести до руководства необходимо в виде служебной записки, на которую последует ответ в виде "добро" либо "отказ", в любом случае руководитель увидит степень риска и расходы по минимизации. Его дело, как руководителя, принять эти риски либо минимизировать, а может и вообще придумает застраховать как-то по-иному

                Комментарий


                • #9
                  Ну вот документ есть, дающий базовые рекоменедации: http://www.pivdencombank.com/fileadm.../bezopastn.doc

                  Комментарий

                  Обработка...
                  X