Здравствуйте, имеется вот такая ситуация: Есть старый комп, на котором бухгалтерами используется банк-клиент. Работает через IE7, выше не обновляется и итак еле дышит. Новый покупать денег не дают, потому что "итак работает". При этом у банка используется стандартный сертификат Thawte. Как я считаю, что должно быть хотя бы что-то одно или комп свежий или на стороне банка сертификат уровня SGC типа таких http://ssl.ru/certificates/sgc/, где есть поддержка старых браузеров для нормального шифрования. Внимание вопрос! - Правильно ли я понимаю, что это может закончится очень грустно и необходимо все же донести до руководства вышеизложенную мысль? Возможно с помощью этой страницы, а также других про кражу денег со счета. Спасибо!
IE7 ни при чём. Основное, это обеспечить безопасность рабочего места и регламент работы с ЭЦП: 1. Антивирус с минимум как ежедневным обновлением 2. Ограничить доступ в интернет с этой машины сайтом банка либо списком доверенных сайтов, запретить подклчюение к машине извне (заблокировать все порты, кроме необходимых для работы). 3. Ограничить подключение внешних дисков и других носителей 4. использовать ключи только с неизвлекаемыми носителями (токены) 5. Можно до кучи добавить одноразовые сессионные пароли 6. Подключить SMS-информирование по всем платежам, на любые суммы. В тексте SMS обязательно должны быть указаны реквизиты платежа 7 Обязать бухгалтера подключать токен только во время подписи документов и сразу же извлекать его 8. Фильтрация по IP на стороне банка - передать им свои айпишники, с которых будут осуществляться платежи, чтобы подключение возможно было только с них. А там хоть издыхает машина, хоть нет. На шустром компе и вирусы шустрее работают
Вариант конечно правильный только одно НО, сомнительно что бухи используют этот ПК только для банк-клиента. Отсюда все вытекающие последствия. Идеальный вариант купить новый комп.
Спасибо за полезные советы и за то, что уделили внимание! К сожалению, это все относится к нормальным организациям, которые думают о безопасности заранее. А есть например такие, которые на бухгалтерском компе хватают винлок 2 раза за месяц. И только тогда просят купить антивирус заместо просроченного на пару лет И я не являюсь штатным работником, а лишь помогаю по факту. По вашим пунктам постараюсь донести рекомендации, но боюсь что запрет флешек, свободный доступ к сайтам(помимо того что режет антивирь) и смс о платежках останутся не услышанными. Так же надеюсь удастся уговорить на новый комп, хуже не будет. А про SSL спросил, потому что в инструкции по БК, настойчиво рекомендуется использовать свежий браузер, видимо с учетом установленного на стороне банка стандартного сертификата.
Это связано скорее не с SSL сертификатом, а с тем что в старых браузерах есть дыры (уязвимости), поэтому банк рекомендует постоянно обновлять ПО.
Неправильно считаете. Кто вам сказал, что IE7 не держит шифрование больше 40 бит и требует никому не нужный сертификат SGC? Вы в настройках для начала проверьте, что у вас (TLS1.0 включите, если выключен, SSL2.0/3.0 отключите) к сайту банка подключитесь и проверьте (нажать правой кнопкой мыши на страничке и выбрать свойства, там будет инфа по алгоритмам). Протестировать возможности своего браузера можно здесь: Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !
Найдите в интернете информацию о вирусах, написанных под интернет-банки и размерах краж, вас сразу услышат. Донести до руководства необходимо в виде служебной записки, на которую последует ответ в виде "добро" либо "отказ", в любом случае руководитель увидит степень риска и расходы по минимизации. Его дело, как руководителя, принять эти риски либо минимизировать, а может и вообще придумает застраховать как-то по-иному
Ну вот документ есть, дающий базовые рекоменедации: Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !
