Norma.uz
Газета НТВ / 2021 год / № 28 / Руководителю на заметку

Контроль и безопасность при дистанционном управлении банковским счетом

 

Обеспечение безопасности
при дистанционном управлении счетом

Онлайн-управление счетом может привести к хищению денег с банковских счетов вашей организации, если злоумышленники получат доступ к USB-ключам и паролям.

Хищение, как правило, совершается:

сотрудниками, имевшими доступ к USB-ключам или паролям, – работающими или уволенными;

ИТ-сотрудниками, имевшими доступ к компьютерам, с которых дистанционно производилось управление расчетными счетами;

ИТ-специалистами, оказывающими услуги по подключению к Интернету, установке и обновлению бухгалтерских и справочных программ, другого программного обеспечения на компьютеры, с которых отправляются электронные платежи;

злоумышленниками путем заражения компьютеров вирусами с последующим их дистанционным использованием или похищением одноразовых паролей.

Во всех этих случаях банк возложит ответственность за убытки на владельца счета, так как именно он обязан соблюдать меры безопасности.

Если работник уволился и не сдал USB-ключ онлайн-доступа к счету, то немедленно:

обратитесь в банк и заблокируйте использование ключа;

смените пароль на вход в систему дистанционного управления счетом;

запретите доступ в любые информационные системы, в которых работал сотрудник.

Для обеспечения безопасности онлайн-управления вашими деньгами соблюдайте следующие правила:

ограничьте доступ к компьютерам, через которые вы работаете со счетом;

установите на вашем компьютере и используйте персональный брандмауэр (firewall) для входа в Интернет. Это позволит предотвратить несанкционированный доступ к информации на вашем компьютере;

контролируйте достоверность адреса Интернет-страницы, через которую идут электронные платежи. Если адрес отличается даже одной буквой, то это – сайт-двойник, созданный для вывода средств с расчетного счета;

проверяйте, чтобы соединение с сервером банка происходило в защищенном режиме SSL (в правом нижнем углу вашего браузера должен быть значок закрытого замочка);

используйте антивирусные программы и своевременно их обновляйте. С помощью вирусов злоумышленники могут получить пароли и ключи и несанкционированно управлять вашим счетом;

не устанавливайте на компьютер, используемый для управления счетом, программы, не связанные с работой бухгалтера;

выходите из учетной записи каждый раз, когда завершаете все операции;

подключите SMS-оповещение на несколько мобильных номеров. При получении сообщения об операции, которую вы не совершали, сразу обратитесь в банк.

Правила пользования паролями и ключами:

используйте для доступа в систему пароли, состоящие из 8 и более символов, периодически меняйте их;

не применяйте функцию автосохранения пароля в браузере, каждый раз вводите его вручную;

не сообщайте никому информацию о ваших паролях или ключах, включая сотрудников банка;

не сохраняйте информацию о паролях на любых носителях, включая компьютер, не отправляйте пароли по электронной почте;

в случае утери или кражи USB-носителя с электронной цифровой подписью (ЭЦП) позвоните в банк и приостановите проведение онлайн-платежей.

Обеспечьте соблюдение мер безопасности при пользовании ЭЦП:

определите и утвердите внутренний порядок учета, хранения и использования ключей ЭЦП. Исключите полностью возможность несанкционированного к ним доступа;

утвердите список лиц, имеющих доступ к ключам;

в помещениях для хранения носителей ключей ЭЦП установите сейфы;

не устанавливайте на компьютер, предназначенный для онлайн-банкинга, программные приложения со встроенным доступом к системным ресурсам. Блокируйте доступ к данным компьютера даже при временном вашем отсутствии;

в случае увольнения сотрудника, имевшего доступ к ключу – носителю ЭЦП, его перевода в другое подразделение (на другую должность) или изменения его функциональных обязанностей смените ключи, к которым он имел доступ;

не допускайте снятие несанкционированных копий с носителя ключей;

не передавайте ключи или их содержимое лицам, не допущенным к ним;

не выводите ключи-пароли на экран монитора компьютера, не распечатывайте их;

не устанавливайте ключи в считывающее устройство (дисковод) на компьютерах, не предусмотренных для системы онлайн-банкинга;

не записывайте на ключи постороннюю информацию.

Не оставляйте ключ ЭЦП подключенным к компьютеру, если в этом нет необходимости. Отключайте и извлекайте его из компьютера, если не используете для работы.

Исключите возможность несанкционированного использования ваших USB-ключей. Для этого:

не храните записанные пароли, ключи ЭЦП в легкодоступных местах; 

определите и утвердите список лиц, имеющих доступ к работе ­с ключами ЭЦП;

назначьте ответственного за безопасность и возложите на него разработку инструкций для пользователей и контроль за соблюдением требований по безопасности.


Контроль за платежами
при дистанционном управлении счетом

Доступ в систему онлайн-платежей предоставляйте:

лицам, указанным в карточке образцов подписей;

сотрудникам, которые будут работать с системой без права проведения платежей.

У вас может быть несколько сотрудников, уполномоченных заверять электронные платежки и иные документы первой и второй подписью, из числа лиц, указанных в карточке образцов подписей.

При передаче электронного документа в банк заверяйте его обеими подписями.

Документ должен быть завизирован:

обладателем первой подписи – директором;

обладателем второй подписи – главным бухгалтером.

Если в организации нет главного бухгалтера и в карточке образцов подписей имеется только первая подпись, то документ заверяет директор.

 

СИТУАЦИЯ. Бухгалтер использует ключ ЭЦП директора

Банк выдал организации только один электронный ключ с ЭЦП. Оформлен он на директора, но использует его бухгалтер.

Каковы риски в этом случае?

Даже если бухгалтер оформлен официально, привлечь его к ответственности в случае хищения будет сложно. Он подписывает платежки не своей электронной подписью, для контролирующих органов отправленные платежи сделаны директором. Отвечать будет тот, кто документы подписывает. И уже во вторую очередь тот, кто готовит платежку к отправлению. Поэтому подписывать платежки должны те лица, на которых оформлена электронная подпись. Передавать ее нельзя.

 

Чтобы исключить ситуации, когда сотрудник с правом доступа к банковскому счету имеет возможность единолично переводить средства, рекомендуем использовать 2-уровневую схему подписей.

Разделите права пользователей в системе электронных платежей следующим образом:

 

 

Чтобы обеспечить большую безопасность, используйте также систему разделения прав – отдельно по каждому счету, по доступным типам документов, максимальной сумме одного документа или по максимальной сумме документов за день.

 

СИТУАЦИЯ. Организация хочет уменьшить риски при большом количестве операций

Организация каждый день совершает большое количество платежей.

Как минимизировать риски хищения с помощью разделения прав?

Запросите в обслуживающем банке 2 USB-ключа для авторизации платежей:

1) для руководителя организации. Он как обладатель первой подписи на платежных документах будет использовать генератор одноразовых паролей. Без его подтверждения ни один платеж не пройдет;

2) для главного бухгалтера. Он будет подписывать электронные платежные документы как обладатель второй подписи.

Если у вас один ключ, то платежные поручения должен подписывать только директор. Бухгалтер при этом получает право доступа к счету для подготовки документов, распечатки выписки и т. п. Платежи подготавливаются к оплате бухгалтером, но уходят на исполнение в банк только после утверждения руководителем.

Чтобы руководитель мог лично контролировать платежи, подключите к его мобильному телефону SMS-информер или мобильное приложение интернет-банкинга. Это позволит ему в режиме реального времени следить за текущим состоянием расчетных счетов, а также быть в курсе всех платежей и поступлений.

 

Шавкат РАСУЛЕВ,

заместитель директора департамента ЦБ,

Мавлон МАРИПАТОВ,

начальник управления Народного банка.

Прочитано: 642 раз(а)

Если Вы заметили ошибку, выделите фрагмент текста, содержащий ошибку, и нажмите Ctrl+Enter.
Сайт разработан в ООО «NORMA», зарегистрирован в Узбекском агентстве по печати и информации 01.06.2018г.
Регистрационное свидетельство № 0406.
Адрес: Узбекистан, 100105, г. Ташкент, Мирабадский р-н, ул. Таллимаржон, 1/1.
Тел. (998 78) 150-11-72. Call-центр:1172. E-mail: admin@norma.uz
Копирование материалов сайта без согласования с администрацией ресурса запрещено.
© ООО «NORMA», 2007-2020 г. Все права защищены.
18+   Яндекс.Метрика