Как не допустить атаку на «Клиент-Банк» | Журнал «Главная книга» | № 3 за 2013 г.
БУХГАЛТЕРСКИЕ Новости Статьи Консультации Семинары Конференции
Календари Калькуляторы Формы Справочники Тесты
БУХГАЛТЕРСКИЕ
БУХГАЛТЕРСКИЕ
ПОПУЛЯРНЫЕ НОВОСТИ
Все страховые взносы за декабрь, кроме взносов «на травматизм», платим в ФНС на новые КБК

Крайний срок уплаты взносов за декабрь 2016 года – 16.01.2017. В 2017 году их следует перечислить на следующие КБК: < ... >

Доверенность на получение материалов теперь без печати

Официально опубликован Приказ Минфина, вносящий изменения в Методические указания по бухучету МПЗ. Утвержденные поправки связаны с тем, что использование организациями печати больше не обязательно. < ... >

Практика рассмотрения налоговых споров в 2016 году

Иногда чужой опыт помогает плательщикам отбиться от претензий налоговиков, а иногда наоборот – понять, что в случае судебного спора судьи поддержат именно ИФНС. Поэтому для вас мы сделали подборку самых интересных судебных решений. < ... >

КБК по взносам-2017: опубликована сопоставительная таблица

ФНС напоминает, что с 01.01.2017 администрированием страховых взносов будут заниматься налоговики. В связи с этим, со следующего года при перечислении взносов в бюджет будут использоваться новые КБК. Для удобства плательщиков, подготовлена сопоставительная таблица старых и новых кодов. < ... >

Как начать работу с онлайн-ККТ

Передавать информацию с онлайн-ККТ можно через операторов фискальных данных (ОФД). О том, как организован этот процесс, рассказывает представитель компании, оказывающей такие услуги. < ... >

Чего ждать от нового года...

Каждый приходящий год знаменуется какими-то бухгалерско-налоговыми новшествами. Наступающий 2017 год не стал исключением. Мы расскажем о самых интересных из них. < ... >

6-НДФЛ: как устранить ранее допущенные ошибки и не сделать новых

Если в конце года работодатель обнаружил, что 6-НДФЛ за I квартал был сдан с ошибкой (например, была завышена сумма дохода и, соответственно, налога), сдать уточненные расчеты придется не только за I квартал, но и за все последующие отчетные периоды. < ... >

Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 4 февраля 2013 г.

Содержание журнала № 3 за 2013 г.

ЛЮБЕЗНЫЙ Виктор Владимирович

ЛЮБЕЗНЫЙ Виктор Владимирович

Ведущий разработчик программных продуктов компании «Бухсофт.ру»

С 1998 г. работает в качестве разработчика программных продуктов и консультанта по вопросам заполнения и сдачи отчетности
С 2007 г. сотрудничает с компанией «Бухсофт.ру», разработчик проекта «БухСофт-Онлайн»

Беседовала корреспондент ГК А.В. Хорошавкина

Как не допустить атаку на «Клиент-Банк»

В последнее время участились преступные атаки на дистанционные системы банковского обслуживания. Со счетов пользователей пропадают большие суммы денег. Добиться их возврата от банка пострадавшим не удается. Ведь, по мнению банка, они не соблюдают все меры безопасности, а значит, сами виноваты. Что это за меры? На вопросы читателей отвечает специалист в вопросах безопасности интернет-сервисов.

Виктор Владимирович, безопасно ли пользоваться системами дистанционного банковского обслуживания? Или есть риск, что преступники могут украсть деньги со счета?

В.В. Любезный: Системы дистанционного банковского обслуживания (ДБО) бывают двух типов: «Клиент-Банк» и «интернет-банк». Отличаются они способом входа в систему. Для того чтобы войти в «Клиент-Банк», надо запустить специальную программу, а в «интернет-банк» — зайти на интернет-сайт. Эти системы устроены по-разному, но одинаково небезопасны.

Технически любая такая система состоит из трех компонентов: рабочее место пользователя; сервер банка; каналы связи между пользователями, серверами и информационными системами банка. И каждое из этих звеньев может быть атаковано злоумышленниками. Ведь использование любых компьютерных программ и электронных каналов связи, особенно Интернета, всегда таит в себе риски, связанные с несанкционированным доступом к расчетному счету. Так что риск того, что преступники украдут деньги, реален. Например, подделав электронную цифровую подпись клиента.

Как они это делают? Можно ли от этого как-то защититься?

В.В. Любезный: Электронной цифровой подписью (ЭЦП) руководителя организации или другого уполномоченного лица подписывается в любой системе ДБО каждый запрос в банк: на совершение платежа, на получение выписки по счету.

ЭЦП — это числовая комбинация, и для каждого подписываемого документа она вычисляется компьютерной программой по специальному математическому алгоритму. Создается ЭЦП с помощью закрытого ключа, а проверяется — с помощью открытого ключа. Ключи — это тоже числовые комбинации. Пару ключей — открытый и закрытый — одновременно вырабатывает удостоверяющий центр. В данном случае удостоверяющий центр — сам банк.

Закрытый ключ остается у владельца, а содержание открытого ключа передается банку. Владелец закрытого ключа обязан обеспечить его секретность. Если секретный ключ попадет в руки посторонних лиц (это называется «компрометация ключа»), надо незамедлительно сообщить об этом в банк, чтобы ключ отозвали, то есть признали недействительным.

На чем лучше хранить закрытый ключ? В самом компьютере или на каком-то отдельном носителе?

В.В. Любезный: Хранить ключ на жестком диске не следует. Лучше хранить его на внешнем носителе и подключать его к компьютеру только на время работы с системой. А по окончании работы сразу же отключать. Такие правила хранения ключа обычно диктуют и сами банки. И если вы их нарушите, они упрекнут вас в неосторожности — со всеми вытекающими.

Иногда в качестве дополнительной защиты ключа подписи используется пароль или пин-код. Лучше, если это будут одноразовые пароли или пин-коды, которые банк, например, присылает на ваш мобильный телефон в виде SMS.

Можно ли защитить себя от пропажи средств, если хранить ключ на специальном носителе: Touch Memory, eToken или Rutoken?

В.В. Любезный: Я бы советовал поступать именно так. Специализированные носители для хранения криптографических ключей обычно содержат встроенные средства для подписания и шифрования электронных документов.

Это практически полностью исключает возможность хищения закрытого ключа. Что, конечно, снижает риск пострадать от действий преступников. Но не устраняет его полностью. Злоумышленники могут удаленно войти в ваш компьютер и перехватить нажатия клавиш и работу с мышью в тот момент, когда вы проводите банковские операции. То есть не злоумышленники, а вы сами подпишете цифровой подписью вами же сформированную платежку — только с измененными реквизитами получателя, суммами и т. д.

Каким способом преступники могут на расстоянии залезть в чужой компьютер?

В.В. Любезный: Программы удаленного доступа используют компьютерные специалисты для поддержки своих клиентов. С помощью таких программ администратор может на расстоянии, через Интернет или по локальной сети, видеть экран, работать с клавиатурой и мышью точно так же, как если бы он работал непосредственно за этим компьютером.

Злоумышленники пользуются похожими программами. Но у них есть и дополнительные функции: скрытое наблюдение за пользователем и повременная запись его действий. При этом никаких предупреждений о том, что кто-то посторонний взял управление компьютером или ведет просмотр ваших действий, не будет. С помощью подобной программы злоумышленник может некоторое время наблюдать за работой пользователя. А когда пользователь отойдет от компьютера, провести несанкционированную операцию — подделать ЭЦП или изменить реквизиты на ваших оригинальных платежках. В любом случае деньги будут списаны со счета против вашей воли.

Как такая программа может попасть на компьютер?

В.В. Любезный: Причин заражения только две: программные ошибки и человеческий фактор. А очень часто сочетаются обе эти причины. Например, вам приходит по электронной почте, ICQ, Skype или социальной сети сообщение. Оно может быть и от знакомого абонента, если ему взломали учетную запись. В сообщении стоит ссылка и завлекательный текст, который призывает вас по этой ссылке щелкнуть. Ссылка ведет на зараженный сайт, использующий ошибку в вашем браузере для выполнения на компьютере вредоносной программы.

Бывает, что преступники взламывают известный сайт и загружают вредоносную программу на него. При простом посещении этого сайта, опять же с помощью ошибки в браузере, такая программа внедряется в ваш компьютер.

Случается, что для заражения компьютера даже и посещать никакие сайты не надо. Если компьютер способен принимать входящие запросы из Интернета или от соседей по сети, злоумышленники могут атаковать ваш компьютер по сети с использованием ошибок в его сетевых службах.

Все еще, хотя и реже, чем раньше, встречается распространение вредоносных программ через внешние носители, флешки. Если открывать флешку через «Мой компьютер» в Windows XP и более старых версиях Windows, тоже можно, не зная об этом, запустить вредоносную программу. Она может проанализировать, стоит ли на компьютере пользователя система «Клиент-Банк» или «интернет-банк», и сообщить об этом через Интернет своему «хозяину».

А как же антивирусы? Они не дают полной защиты потому, что не успевают за преступниками?

В.В. Любезный: Во вредоносных программах обычно имеются средства периодического обновления и обхода антивирусной защиты. Применение антивирусных программ — не панацея, но это увеличивает вашу безопасность. Если, конечно, вы используете серьезный, не бесплатный, постоянно обновляемый антивирус, желательно отечественного производства. Российские разработчики антивирусов быстрее реагируют на местный «ассортимент» вредоносных программ. От момента попадания вредоносной программы на компьютер до кражи денег проходит некоторое время. За это время информация о вредоносной программе может быть включена в антивирусную базу. И когда компьютер будет в очередной раз проверен свежим антивирусом, программа может его обнаружить. Но может и не успеть... Так что защищайтесь и другими способами.

Вы говорите о программных ошибках, упрощающих жизнь преступникам. Откуда берутся эти ошибки и как от них избавиться?

В.В. Любезный: Программы разрабатывают люди. Поэтому «дыры» неизбежны практически в любой мало-мальски сложной программе. В более новых версиях программы обнаруженные ошибки исправляются, но могут появляться другие.

Поэтому, чтобы снизить риск заражения, надо использовать только лицензионную операционную систему и оперативно ее обновлять. Это же касается браузеров и других программ для работы в Интернете.

Не используйте взломанные программы или программы, полученные из сомнительных источников. Генераторы ключей, патчи (программы, вносящие изменения в файлы других программ с целью их взлома, например, чтобы бесплатно использовать платную программу) и другие программы, используемые для взлома, нередко имеют вредоносные функции.

Обновляйте программы только на официальных сайтах их разработчиков. Осторожно реагируйте на внезапно выскакивающие на экране предложения обновить браузер, антивирус или любую другую программу. Настоятельно рекомендую при малейших сомнениях прекратить использование системы «Клиент-Банк» и обратиться к специалисту.

Наверное, лучше вообще не пользоваться Интернетом на этом компьютере?

В.В. Любезный: В идеале для работы с системами ДБО нужно использовать специально выделенный для этого компьютер, на котором не допускается никакая другая работа. Можно еще изолировать его от внутренней сети.

А если это невозможно?

В.В. Любезный: Тогда хотя бы не используйте компьютер с системами «Клиент-Банк» или «интернет-банк» для поиска информации в Интернете. И не посещайте незнакомые сайты. Либо, если мощность компьютера позволяет, можно организовать на нем виртуальную машину. И любые другие программы (например, браузер, клиенты соцсетей) запускать именно под ней. Ваш системный администратор наверняка справится с этой задачей: это совсем несложно. Программы, запускаемые внутри виртуальной машины, не будут иметь доступа к содержимому компьютера и не смогут похитить с него файлы и другую информацию.

В крайнем случае для посещения сайтов можно создать на компьютере ограниченную учетную запись пользователя, чтобы из-под нее нельзя было получить доступ к секретной информации, в частности к закрытому ключу.

Может быть, имеет смысл создать в настройках браузера, сетевого экрана «белый лист» допустимых для загрузки сайтов?

В.В. Любезный: Конечно, ограничение круга посещаемых сайтов уменьшает риск заражения через ошибку в браузере. Но ведь и доверенный сайт создавали и поддерживают живые люди, а значит, его тоже могут взломать. Хакеры особенно любят сайты с высокой посещаемостью: поисковые системы, социальные сети общего назначения, развлекательные сайты, сайты знакомств. Но не обделяют вниманием и бухгалтерские сайты, отлично понимая, что эти сайты часто посещаются с компьютеров, оснащенных системами «Клиент-Банк».

Целесообразно ли выделить компьютер с системой «Клиент-Банк» в отдельную подсеть, невидимую для остальных пользователей локальной сети?

В.В. Любезный: Да, можно таким образом перенастроить корпоративную сеть. Однако сейчас практически любой серьезный антивирус содержит встроенный брандмауэр, настройками которого можно добиться того же эффекта: закрыть порты для входящих соединений, в том числе из локальной сети. Только надо периодически проверять, как работает эта защита.

Встроенный брандмауэр обычно есть и в программе «Клиент-Банк». Попросите вашего администратора включить максимально возможные опции защиты. В инструкции к программе «Клиент-Банк» обычно вполне доходчиво описано, какие именно установки следует сделать, это несложно выполнить даже без посторонней помощи.

Насколько эффективно и технически возможно полное отключение функций удаленного доступа?

В.В. Любезный: Думаю, это не очень повлияет на вашу безопасность, а лишь помешает администратору или сотруднику службы поддержки выполнять свои обязанности. У вредоносных программ — собственные способы сканирования и записи действий пользователя, и никакими настройками системы их не выключить. Блокировка посторонних соединений не мешает вредоносной программе записать собранную информацию, например, в файл, а по окончании блокировки передать запись злоумышленнику. Кроме того, система «Клиент-Банк» часто и так блокирует на время работы программы любые иные соединения с компьютером, так что лучше озаботиться ограничением трафика.

А если программно ограничить трафик «компьютер — сеть» (прописать в настройках только несколько допустимых IP-адресов для обмена трафиком: сайты банка, антивирусной программы и т. д.)? Или проводить соединение по коммутируемому доступу (не через Интернет)?

В.В. Любезный: Работа на выделенной технике по выделенному каналу (не через Интернет) практикуется во многих очень крупных и серьезных системах, где требуется обеспечить безопасность данных. Так что это очень хороший вариант. Работа через общий канал связи не дает такого уровня безопасности. Но ограничение трафика «компьютер — сеть» конкретными точками, конечно, серьезно затруднит злоумышленнику работу.

Банки часто рекомендуют согласовать с ними допустимые IP-адреса (или MAC-адреса) для отправки платежек через «Клиент-Банк». А если клиент пренебрегает таким советом и теряет деньги, суды нередко указывают на это: вы могли ограничить доступ (управлять счетом только с вашего компьютера), но не сделали это.
Гарантирует ли такая мера полную защиту?

В.В. Любезный: Не каждый провайдер может выдать каждому своему клиенту постоянный (статический) IP-адрес. А MAC-адрес компьютера, с которого происходит отправка сообщений в банк, некоторые программы «Клиент-Банк» в транспортный контейнер с платежкой и не включают. Но если у вас и банка есть возможность ограничить круг IP- и MAC-адресов, то используйте ее. Полной защиты это не гарантирует. Но вы сильно снизите риск хищения: банк просто не примет к исполнению платежки, отправленные со сторонних компьютеров.

В сочетании с ограничением трафика «клиентский компьютер — сеть» результат, думаю, будет очень хорошим. И это будет полностью соответствовать требованиям и рекомендациям банка. То есть вы таким образом примете максимально возможные меры предосторожности.

А как вы оцениваете установку на компьютере Linux-системы?

В.В. Любезный: На мой взгляд, всех проблем это не решит. Вредоносных программ под Linux немного, но это, прежде всего, потому, что популярность таких систем не очень велика. А «дырки» в защите тоже есть.

Получается, полной гарантии от взлома и воровства быть не может?

В.В. Любезный: Нет, но сочетание нескольких защитных мер все же сведет риск к минимуму. А главное — надо обеспечить непрерывный контроль за состоянием своего расчетного счета и операциями по нему. Любую несанкционированную операцию, даже «безобидный» запрос выписки, следует рассматривать как компрометацию ключа — немедленно сообщайте об этом в банк.

Если банк предлагает контроль за расходными операциями по счету путем SMS-оповещения, отказываться от этой услуги не стоит. При этом желательно занести в список контактов своего телефона, на который будут приходить SMS, номер телефона банковской службы поддержки. Тогда вы сможете быстро позвонить в банк и приостановить выполнение спорной операции. И другие операции с этим телефоном не совершайте — никаких MMS, электронной почты и т. д. Поверьте, это весьма небольшая плата за снижение риска хищения.

Другие статьи журнала «ГЛАВНАЯ КНИГА» на тему «Документооборот»:

2016 г.

  1. Документооборот, № 24
  2. Восстанавливаем утраченные документы, № 20
  3. Бухгалтерские документы: составляем, заполняем, подписываем, № 20
  4. В электронную подпись желательно включить отметку о времени, № 15
  5. ФНС может принимать электронные документы только утвержденных форматов, № 13
  6. Исправляем бухгалтерскую первичку, № 10
  7. Электронный документ — не просто созданный на компьютере, № 5
  8. Оформляем приказ о возложении обязанностей главбуха на директора, № 4
  9. Передаем учет аутсорсеру, № 3

2015 г.

  1. Кто ответит за электронную подпись?, № 21
  2. Электронные документы: нужна ли их распечатка?, № 18
  3. Как упрощенцу подтвердить оплату расходов наличными предпринимателю, № 18
  4. Нужна ли печать на судебной доверенности, № 15
  5. Выполнение работ по «давальческому» договору, № 15
  6. ООО решило сменить название: пошаговая инструкция, № 13
  7. Подписываем документ: что, где и как, № 11
  8. Отказ от круглой печати: стоит ли спешить?, № 10
  9. Хочу все знать: расчеты с подотчетными лицами, № 8
  10. Сокращаем документооборот на складе, № 8
  11. Рукописи не горят бесплатно... Учитываем расходы на уничтожение документов, № 8
  12. Счет не получен вовремя: будет ли просрочка оплаты, № 7

2014 г.

  1. Усы, лапы, хвост — вот мои документы!, № 22
  2. Собираем досье на контрагента, № 18
  3. Можно ли «подписать» первичку только по факсу?, № 18
  4. Мастер-класс юриста: договор оказания услуг, № 17
  5. Бухгалтерское прочтение договора поставки, № 10
  6. Мастер-класс: проверяем договор аренды помещения, № 7
  7. Обмен опытом: документооборот по давальческим материалам в строительстве, № 5
  8. Кто, кроме директора, может подписать акт об оказании услуг, № 4
  9. Первичка: как сохранить и... выбросить, № 2

2013 г.

  1. Гибридный счет-фактура: несекретная разработка ФНС, № 22
  2. Запрос в Минфин: азбука эффективного общения, № 22
  3. Заполняем без ошибок платежки на перечисление налогов и взносов, № 20
  4. Как защитить персональные данные работников и клиентов, № 19
  5. Как уничтожить первичку после истечения срока ее хранения, № 15
  6. Приемка и списание материалов: оформляем документы, № 12
  7. Электронный документооборот с контрагентами: с чего начать, № 10
  8. Печать фирмы: изготавливаем, используем, утилизируем, № 9
  9. Печать — постоянная спутница фирмы?, № 9
  10. Разрабатываем удобный регистр по НДФЛ, № 8
  11. Обнаружили недостачу: составляем претензию контрагенту, № 8
  12. Когда пригодятся скриншоты, № 6
  13. Идеальный акт об оказании услуг для налогового инспектора, № 6
  14. Документооборот: выстраиваем «под бухгалтерию», № 5
  15. Договор поставки: читаем по слогам, № 5
  16. Унифицированные формы первички необязательны, а что с БСО?, № 4
  17. Как не допустить атаку на «Клиент-Банк», № 3

2012 г.

  1. «Инвентаризационная» подборка, № 24
  2. Условия гражданско-правовых договоров и их налоговые последствия, № 24
  3. Положение об охране труда: ваш помощник в учете трат на комфорт, № 24
  4. Упрощенка: списываем в расходы проданные товары, № 24
  5. Первичка: унифицированная и не очень, № 23
  6. Выдаем справку о зарплате для расчета пособий в нестандартных ситуациях, № 22
  7. Подотчет и наличные расходы, № 21
  8. Какие подотчетные документы не вызовут претензий налоговиков, № 20
  9. Учимся писать записки: докладные, служебные, объяснительные, № 20
  10. Почему при поставке иногда недостаточно счета на оплату и нужен договор, № 19
  11. Может ли первичка с дефектом подтверждать расходы и вычеты НДС, № 19
  12. У кого остаются оригиналы документов при уступке долга: у старого или у нового кредитора, № 19
  13. Правильно оформляем первичку и не только, № 16
  14. Вся правда о доверенности, № 14
  15. Направляем претензию контрагенту, задержавшему поставку или оплату, № 14
  16. Документируем брак основного средства и его возврат поставщику, № 14
  17. «Просроченный» директор: как работать бухгалтеру?, № 13
  18. Нужны ли покупателю для налогового учета ТН и ТТН при договоре транспортной экспедиции, № 10
  19. Готовая инструкция для подотчетника, № 9
  20. Справки и документы с места работы: кому, когда, какие, № 2
  21. Как заверить копию документа «надлежащим» образом, № 1

2011 г.

  1. Список важных предновогодних дел, № 24
  2. Оформляем документы для защиты личных данных работников, № 24
  3. Учетная политика: проверь себя, № 23
  4. Моделируем учетную политику для мини-фирмы, № 23
  5. На что бухгалтеру обратить внимание в договоре купли-продажи, № 22
  6. Договор транспортной экспедиции: как избежать проблем с НДС, № 21
  7. Нюансы заполнения новой транспортной накладной, № 20
  8. Учитываем приобретенные ТМЦ под другим наименованием, № 19
  9. Путевой лист делаем «путёвым», № 19
  10. Доверенность, вернись!, № 17
  11. Как подписаться электронной подписью, № 17
  12. Когда нужен акт по форме № КМ-3, № 17
  13. Когда можно использовать дополнительные печати, № 16
  14. Ох уж этот подотчет..., № 11
  15. Когда, кому и зачем нужна ТТН, № 6
  16. Директор путает счет компании с собственным карманом, № 5
  17. Что можно, а что нельзя подписывать факсимиле, № 4
ИНДЕКСЫ
в России Индекс
потребительских цен

Используется
для индексации зарплаты

0.44%
ноябрь 2016 г.
0
Минимальный
размер оплаты труда

Используется для
регулирования зарплаты

7 500

Примечание

История

ОПРОС
С 2017 года страховые взносы переданы на администрирование в ФНС. Что вам больше всего мешает в работе?
Неразбериха с кодами КБК по взносам в начале 2017 года
Необходимость изучать новые правила расчета взносов
Необходимость сдавать отчетность по новым формам
Ничего не мешает – работаем в штатном порядке

ЕЖЕДНЕВНАЯ
НОВОСТНАЯ
РАССЫЛКА
БУХГАЛТЕРСКИЙ КАЛЕНДАРЬ

«ГЛАВНАЯ КНИГА»
РЕКОМЕНДУЕТ
Подписка на ГК_2017К_ПЛЮС_на 3 дня бесплатно_1
БЛИЖАЙШИЕ БУХГАЛТЕРСКИЕ МЕРОПРИЯТИЯ
20.01.2017 г.

Бизнес-практикум: «Новшества законодательства для бухгалтера-2017: что год, пришедший нам, готовит?»,г.Москва, Международный центр делового развития «АЭФ-КОНСАЛТ»

24.01.2017 г.

Блиц-семинар: «Новые декларация по прибыли и НДС в 2017 году: как заполнить и отчитаться без ошибок»,г.Москва, Международный центр делового развития «АЭФ-КОНСАЛТ»

25.01.2017 г.

Бизнес-практикум: «Годовой отчет за 2016 год: какие ключевые вопросы важно учесть при его подготовке»,г.Москва, Международный центр делового развития «АЭФ-КОНСАЛТ»