Новая технология защиты данных при работе с системой ДБО (дистанционногобанковского обслуживания) В целях усиления информационной безопасности и применения, современных программно-технических средств ОАО АК «БайкалБанк» внедряет новую технологию защиты данных при работе с системой ДБО. Для чего всё это надо? Остановимся немного на основных моментах, которые представляют опасность при использовании существующей технологии, когда клиент хранит электронно-цифровую подпись на внешних цифровых носителях и заходит на сайт с помощью логина и пароля. Для безопасного использования такой технологии необходимо быть достаточно грамотным пользователем компьютера, понимать важность актуальности антивирусной защиты и отслеживать обновления антивирусных баз, знать что такое firewall и правильно оценивать ситуацию когда это программное обеспечение даёт «тревожные» знаки об атаке или попытке несанкционированного выхода в Интернет. Понимать важность обновлений операционной системы Windows при выявлении уязвимостей и т.п…. К сожалению, в большинстве случаев «рядовые» пользователи, а зачастую и «продвинутые» компьютерные специалисты игнорируют эти важные правила обеспечения информационной безопасности. Что приводит к риску компрометации электронноцифровой подписи и Ваших данных. Существует большое количество программ-шпионов, которые «снимают» и передают «злоумышленнику» всё, что было набрано на клавиатуре, и если Вы не в состоянии выявить действие такой программы то вся Ваша информация под угрозой, включая конечно логин и пароль для доступа на сайт ДБО. Подобные программы так же в состоянии незаметно для Вас копировать необходимые файлы на сторону «злоумышленника». Т.е. при попустительстве в этом вопросе ключевая информация с внешнего носителя будет незаметно для Вас скопирована и передана «злоумышленнику», уже не говоря о случаях, когда электронно-цифровую подпись хранят не на внешних носителях, а на локальном жестком диске. Понимая всю важность этого вопроса ОАО АК «БайкалБанк» принял решение применять принципиально другую схему работы с системой дистанционного-банковского обслуживания, используя при этом современные программно-технические средства усиления информационной безопасности. Рекомендуем Вам взвесить все «ЗА» и «ПРОТИВ» и принять решение о виде технологии защиты данных применяемой в дальнейшем. Основные моменты новой технологии: 1. Электронно-цифровая подпись хранится ТОЛЬКО на аппаратных устройствах eToken Pro JAVA (см. ниже). Хранение ключей на внешних носителя (СD, дискеты, флэш-карты) не допускается. 2. Вход на сайт с ПРАВОМ ПОДПИСИ возможен ТОЛЬКО после корректного ввода сеансового ключа (одноразовый пароль действует только в течение одного сеанса связи ). eToken Pro JAVA eToken PRO (Java) является сертифицированным ФСТЭК программно-техническим средством защиты информации от несанкционированного доступа. Архитектурно реализован как USB карт-ридер с встроенной в него микросхемой (чипом) смарт-карты. Ключ выполнен в виде брелка и напрямую подключается к порту USB, при этом не требует для своей работы каких-либо дополнительных устройств. При подключении к компьютеру устройство не определяется как внешний диск. Ключевую информацию посмотреть или скопировать средствами Windows нет возможности. Сеансовые ключи Сеансовый ключ это одноразовое 6-значное число. Главное его предназначение обезопасить владельца от программ-шпионов «снимающих» логин и пароль для доступа на сайт и от возможности нанести ущерб при удалённом управлении компьютером. Даже если «злоумышленнику» удалось получить полный контроль над компьютером «жертвы» он не сможет подписать платежный документ без корректного ввода сеансового ключа. А ввести его можно, только физически имея в наличии: либо - аппаратный ключ eToken-PASS, либо - карточку сеансовых ключей. При этом подбор и «снятие» пароля не имеет смысла, т.к. ключ одноразовый и не используется в дальнейшем. Аппаратный ключ eToken-PASS. В случае использования ключа eToken-PASS достаточно нажать кнопку ввода и получить на дисплее нужное значение сеансового ключа. Карточка с комплектом на 60 сеансовых ключей. При входе с правом подписи каждый раз используется новый ключ. Плюс у eToken-PASS это возможность генерации неограниченного кол-ва сеансовых ключей. Минус – стоимость. При потере или поломке необходимо будет приобретать новый. А так же, необходимость оградить ключ от случайного нажатия кнопки ввода, т.к. в этом случае произойдет рассинхронизация с сервером Банка. Плюсы карточки сеансовых ключей в стоимости, в случае потери карту можно заблокировать и активировать новую. Так же можно заранее приобрести несколько карточек и активировать каждую следующую по мере необходимости самостоятельно. Минус – ограничение на 60 сеансов с правом подписи. Обращаем Ваше внимание на то, что ограничение идёт именно на ПРАВО ПОДПИСИ, а не на доступ к сайту системы вообще. Для просмотра выписок и подготовки новых документов достаточно нажать кнопку «Отменить» при процедуре запроса сеансового ключа. К примеру, схема работы может выглядеть так. Бухгалтер периодически заходит на сайт, не тратя сеансовые ключи, контролирует выписки, создаёт новые платежные поручения. А руководитель предприятия уже с помощью сеансового ключа подписывает и отправляет ранее подготовленные документы. Заключение Таким образом, применение новой технологии позволяет значительно усилить меры защиты от несанкционированного доступа на сайт. При этом необходимо не забывать, что аппаратный ключ eToken pro (Java) и комплект сеансовых ключей должны храниться в надёжном месте, а в случае утери незамедлительно сообщать в Банк для их блокировки. Стоимость Наименование Комплект (eTokenPro (JAVA) + Карточка сеансовых ключей) Комплект (eTokenPro (JAVA) + eToken PASS) Дополнительная карточка сеансовых ключей (шт.) Цена (руб.) 1000 1600 20 Если Вы решили воспользоваться новым технологическим решением. Вам необходимо заполнить и подписать заявление (Приложение №1), после чего передать его по адресу: ул. Красноармейская 28, 1 этаж, кабинет Загузиной Т.А. По всем техническим вопросам просьба обращаться в службу технической поддержки по телефону (3012) 297-199 Приложение 1. Образец заявления для перевода клиента на новый функционал. Начальнику отдела ведения юридических дел клиентов Николаевой О.В. от ____________________________ ____________________________ Конт.тел.:______________________ ЗАЯВЛЕНИЕ В целях усиления информационной безопасности при работе с системой ДБО, просьба перевести организацию ___________________________ на технологию с использованием программно-технического средства защиты информации eToken PRO (JAVA) и применением сеансовых ключей для права подписи документов на сайте системы. Для ввода сеансовых ключей будем использовать (нужное подчеркнуть): - Карточки сеансовых ключей (60 ключей на карте) - Аппаратный ключ eToken PASS (безлимитный) Укажите желаемую дату, после которой можно начинать перевод _________________ (после перегенерации доступ в систему по старым ключам будет закрыт) Оплату в размере _____________ рублей, просьба снять с расчетного счета организации. ____________ Дата ________________________ /__________________/ М.П. Комплект подготовил: ____________ Дата ________________________ /__________________/ Серийный номер: eToken Pro (JAVA): _______________ eToken PASS: _______________ Комплект получил: ____________ Дата ________________________ /__________________/ М.П.