Безопасное рабочее место для клиент-банка: защита рабочего места бухгалтера и ключей
Как защитить рабочее место бухгалтера для работы с клиент-банками: характерные угрозы (банковские трояны, кража ключей, подмена платежей), целесообразность выделенного отдельного ноутбука, который включают только на период работы с банками, и требования к хранению и использованию ключей электронной подписи. Организационные и технические меры без больших вложений.
Клиент-банк — прямой путь к деньгам организации, поэтому рабочее место бухгалтера и ключи электронной подписи для банка требуют особой защиты. Разберём характерные угрозы, стоит ли выделять отдельный ноутбук только под банки и как правильно хранить и использовать ключи.
Чем рискует рабочее место бухгалтера
- Банковские трояны и кейлоггеры. Вредоносное ПО крадёт пароли и способно подменить реквизиты платежа прямо в момент отправки.
- Кража или копирование ключа ЭПЭлектронная подпись — Информация в электронной форме, присоединённая к документу и подтверждающая подписанта (63-ФЗ).. Если закрытый ключ доступен на диске компьютера, его могут скопировать и подписывать платежи от имени организации.
- Фишинг. Поддельные письма от банка или ФНС, ссылки на фальшивые страницы входа.
- Широкая поверхность атаки. Когда на одном компьютере и клиент-банк, и почта, и браузер, и мессенджеры — заражение через любой канал ставит под удар платежи.
Отдельный ноутбук только под банки — целесообразно?
Да, выделенное рабочее место — одна из самых эффективных мер. Идея — изолировать работу с клиент-банком от повседневных задач:
- Отдельное устройство только для банков. Компьютер (или как минимум отдельная учётная запись либо изолированная виртуальная машина), на котором нет почты, соцсетей и постороннего ПО — только клиент-банк и сайт банка.
- Включать только на период работы. Держать устройство выключенным вне времени платежей разумно: меньше времени онлайн — меньше окно для заражения и удалённой атаки. Это оправданная практика, особенно при существенных оборотах.
- Требования к устройству. Минимум установленного ПО, актуальные обновления и антивирус, шифрование диска, блокировка экрана, отдельная сеть или ограничение доступа; не использовать это устройство для веб-сёрфинга и почты.
Отдельный ноутбук стоит недорого и окупается снижением риска хищения средств. Для микробизнеса минимальный вариант — отдельная учётная запись только под банк и строгие правила работы с ключом.
Хранение и использование ключей ЭП для банков
- Ключ — на защищённом носителе. Храните закрытый ключ на отдельном токене (смарт-карте), который поддерживает хранение ключа без возможности экспорта (неизвлекаемый ключ), а не в виде файла на диске компьютера.
- Подключать только на время подписания. Не оставляйте токен постоянно в USB-порту: подключайте на время работы и извлекайте сразу после.
- Конфиденциальность ключа. Закон обязывает обеспечивать конфиденциальность ключа электронной подписи, не допускать его использования без согласия владельца и не использовать ключ при признаках компрометации (статья 10 63-ФЗ): токен и ПИН-код не передают другим лицам, ключ не копируют. Руководителю не следует передавать свою УКЭПУсиленная квалифицированная электронная подпись — Наиболее защищённый вид электронной подписи; равнозначна собственноручной без дополнительных условий. сотрудникам — см. статью «Руководитель не должен передавать свою ЭП».
- Учёт и хранение. Токены и ключевые носители хранят в запираемом месте (сейфе). Если в организации эксплуатируются СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ., их учёт и хранение ведут по режиму эксплуатации СКЗИ и Инструкции ФАПСИ №152; при этом сам токен в зависимости от модели может быть ключевым носителем или аппаратным средством ЭП, а не обязательно СКЗИ.
- При компрометации. При утере токена или подозрении на доступ посторонних немедленно прекратите использование ключа, уведомьте удостоверяющий центр, банк и ответственного (по закону — не позднее одного рабочего дня) и подайте в удостоверяющий центр заявление о прекращении действия сертификата (статьи 10 и 14 63-ФЗ).
Дополнительные меры
- подтверждение платежей вторым фактором (SMS, push, одноразовый код) и лимиты в банке;
- проверка новых реквизитов и крупных платежей по второму каналу (звонок контрагенту);
- разграничение ролей: кто готовит платёж и кто его подписывает;
- защищённый канал связи, если этого требует банк (в отдельных случаях — сертифицированный ГОСТ VPN).
Базовые меры защиты рабочего места — в статье об угрозах для малого бизнеса; почему нельзя полагаться на личный неконтролируемый компьютер — в статье о рисках личного ПК.
Главное
Рабочее место для клиент-банка — критичная точка: его компрометация ведёт к прямому хищению средств. Выделенное устройство только под банки, включаемое на период работы и не используемое для почты и веба, существенно снижает риск и стоит недорого. Ключи электронной подписи хранят на отдельном токене без возможности экспорта ключа, подключают только на время подписания, не передают и не копируют (статья 10 63-ФЗ), хранят в запираемом месте (при эксплуатации СКЗИ — по Инструкции ФАПСИ №152), а при компрометации немедленно прекращают использование и подают в удостоверяющий центр заявление о прекращении действия сертификата (не позднее одного рабочего дня, статьи 10 и 14 63-ФЗ). Дополнительно — подтверждение платежей вторым фактором, проверка реквизитов по второму каналу и разграничение ролей.