Вопросы безопасности пользования "Банк-Клиентом"

[NOMOS-client]

Поводом для написания этого сообщения послужила история, случившаяся не так давно с одним моим знакомым бизнесменом.
Речь идет о системах дистанционного банковского обслуживания, так называемых ДБО «Банк-Клиент». Если Вы – владелец бизнеса или директор предприятия, Вы, как минимум, уже подвергались уговорам банковских работников воспользоваться «очень удобным», «безопасным», «современным» сервисом. А, как максимум, Ваше предприятие уже пользуется подобной услугой, и Вы нарадоваться не можете: вся информация под рукой, лишнего кассира уволили, платежное поручение можно отправить в банк в любое время. Удобства на лицо: не выходя из собственного офиса, иметь возможность получить выписку по счетам, написать письмо в банк, перечислить деньги поставщику или исполнителю. Но, оказалось, что с такой же легкостью Вашими деньгами может воспользоваться и злоумышленник! Совсем безнаказанно и без жертв.
Так было и с моим знакомым, счет у которого был открыт в банке, заметьте, не рядовом, а входящим в число 15-ти крупнейших российских банков по размерам активов, с внушающими доверие связями. Директор Департамента информационных технологий этого банка очень подробно описывал надежность и технологичность используемой в банке системы «Банк-Клиент» в журнале "Банковское обозрение №4 за 2001 год. Казалось бы, безопасность должна быть, что называется, «на должном уровне». Но об этом чуть позже.
Итак, в один, совсем не прекрасный, день Вы обнаруживаете в выписке по счету платеж, который не совершали. Да не просто платеж, а, фактически, расчетный счет предприятия почти обнулен! «Это ошибка», - первая мысль. «Сейчас в банке разберутся и все исправят». Однако, отрезвление приходит достаточно быстро – из банка сообщают, что Вы сами совершили данный платеж. Все последующие поездки в банк, разговоры-переговоры-письма, заканчиваются ничем: Вам объясняют, что «платежное поручение подписано Вашей электронно-цифровой подписью», а на Ваше недоумение и демонстрацию этой самой «флешки с ключом», которая никуда не терялась и никому не передавалась, сообщают, что «видимо, злоумышленники получили доступ из интернета к Вашему компьютеру и скопировали Вашу ЭЦП». Ко всему прочему в договоре на обслуживание ДБО Ваше внимание обращают на пункт, согласно которого банк снимает с себя всякую ответственность. В памяти сразу почему-то всплывают объявления о том, что «за оставленные в одежде ценные вещи гардероб ответственности не несет».
И вот тут то Вы, наконец, задумываетесь над тем, что такое вообще «ЭЦП», как работает «Банк-Клиент», и обнаруживаете, например, достаточно много информации на известном банковском форуме. Если Вы свободно ориентируетесь в размещенных на нем дискуссиях, Вы – недавний выпускник Института криптографии, связи и информатики (ИКСИ), и, очевидно, никогда никаким «Банк-Клиентом» пользоваться не станете. Как образованный человек. В противном случае, Вы просто поймете, что, поддавшись на уговоры банкиров, просто-напросто совершили юридически значимые действия, абсолютно не понимая их сути. И в результате, лишились денег. И никто за это отвечать не будет!
Самые упертые возразят мне: а как же милиция? а как же – обращение в суд?
Для них поясню. Вы напишите заявление в ОБЭП. На этом все и закончится. В ОБЭПе этих заявлений – складывать уже некуда. Вы пойдете в Арбитражный суд. А много ли у нас судей – выпускников ИКСИ? Логично предположить, что ни одного, т.е. рассматривающий Ваше дело судья также ничего не будет понимать в сути вопроса. Единственное, что он сможет понять, это заключение экспертизы, что «платежное поручение корректно подписано ЭЦП, принадлежащей Истцу». И напрасно Вы будете пытаться убедить судью, что «Вашему салону красоты не зачем было покупать реактивный двигатель для СУ-29». Что ж, посмотрите сами, если есть такое желание, арбитражную практику.
Вот для того, чтобы с Вами всего вышеописанного не случилось, я и написал эту заметку.
«Люди, будьте бдительны!». Взвесьте все «удобства» системы дистанционного банковского обслуживания и возможные перспективы потери всех денежных средств со счета предприятия.
Но, если Вы думаете, что «со мной это не случится», то не пытайтесь убедить меня, что Вы – собственник бизнеса или директор предприятия.

Прошу юристов поделиться своим мнением, можно ли добиться от банка возврата неправомерно списанных со счета денежных средств?

[stas®]

Я бы на месте собственников взыскал бы с директора. За отсутствие антивируса.

Неосмотрительность не является основанием для освобождения от ответственности.

[jurbc]

Неосмотрительность не являются основанием для освобождения от ответственности.

[imaginifer]

Поддерживаю автора предыдущего поста. Кроме того, будучи специалистом в области системного администрирования, в дополнение отмечу, что банк не напрасно возлагает ответственность за компрометацию ключей ЭЦП в следствие их ненадлежащего хранения конечным пользователем в виду того, что сам банк де-факто не может нести ответственность за пренебрежение клиентом средствами электронной безопасности прежде всего по той причине, что одной установкой антивирусного продукта здесь не отделаться.

Теперь по делу. Проведите собственное расследование по данному факту. Для начала рекомендую обратиться к Вашему провайдеру интернет-услуг с запросом о выписке исходящих соединений по ip адресам. Таким образом сможете ответить для себя на много вопросов. А дальше всё будет зависеть от технической составляющей вопроса, т.е. инфраструктуры Вашей сети, методов аутентификации, самого ДБО "Клиент-Банк", метода хранения ключей ЭЦП и пр.

Удачи.

[NOMOS-client]

Спасибо за Ваше внимание к теме.

Вообщем, дело обстояло так.
"Банк-Клиент" - широко распространенный BBS.
ЭЦП - на флешке, единственная, т.к. право подписи - только у одного человека - Гендиректора. Гендиректор - он же совладелец, версия о его умысле не рассматривается.
Комп использовался стационарный (не ноутбук), один и тот же, в одном и том же месте, физического доступа к нему иным сотрудникам фирмы не было. На компе стояли лицензионные, обновляемые ХР и Касперский Интернет Секьюрити. Учетная запись использовалась без прав администратора.
Так что, есть основания полагать, что, может быть и недостаточно всего этого оказалось, но явно, что бОльшая часть пользователей, увы, даже этого не соблюдает. Банки же всячески убеждают в безопасности: "главное флешку никому не давать и не терять". И в упомянутой мной статье Директор Департамента информационных технологий НОМОСа так прямо и говорит, что "клиент может пользоваться системой хоть из интернет-кафе"!!! Это же явная ложь! Флешки с ЭЦП клиентам выдаются...прямо в оперзале. Это сейчас, после произошедшего, на все это обратили внимание. Банки же заинтересованы в том, чтобы клиенты использовали "Банк-Клиент" и недостаточно информируют клиентов о возможных рисках. Мой рассказ именно и призван обратить внимание всех на то, что уровень этих рисков - недопустимо высок и банки не гарантируют сохранности денег при использовании ДБО "Банк-Клиент"!

Что касается адресов.
НОМОС предоставил логи, из них видно: дата, время, IP, произведенные действия. На какие вопросы нам это поможет ответить? Так в наглую IT-шники НОМОСа и заявили: "вот, посмотрите, как у Вас украли ЭЦП, а потом деньги. И мы за это ответственности не несем".

Я хочу узнать, это только в НОМОСе такой беспредел или в других банках тоже самое?

[imaginifer]

Как правило практика показывает, что разрешением подобных ситуаций занимаются обе стороны. Если в Вашем случае банк не проявляет подобной инициативы, то такое обстоятельство по меньшей мере странно.

Что показали логи банка? А именно использованный при подключении на момент спиания денежных средств ip ваш? Если сторонний, то пробовали установить принадлежность ip?

[NOMOS-client]

Увы, НОМОС сразу сказал, что это не их проблема. На наши неоднократные письменные просьбы разобраться в произошедшем мы не получили никаких ответов.
Что касается ip.
Наш компьютер подключался к интернету не с фиксированного ip.
Но, вот по логам того дня видно, как мы закончили работу с системой ДБО (был один ip). Почти сразу некто вошел в систему с иным ip - проверил криптопрофили, сформировал выписку, посмотрел остатки, сделал платежку и направил ее на исполнение. Позже, вечером еще кто-то зашел от нашего имени в "Банк-Клиент" и проверил статус исполнения этого платежного поручения.
По ip мы пробовали узнать, вроде получилось, что первый ip - из адресного пространства МТС, а второй - Скартел.

[imaginifer]

Прошу учитывать, что в случае, если маршрутизатор Вашей сети получает динамический ip, то со стороны банка Вы всё равно подключаетесь с одного и того же адреса, внешнего адреса сети Вашего провайдера или сети, в состав которой входит подсеть провайдера. Таким образом все подключения с использованием "не основного" адреса можно считать нелегитимными.

Полагаю навряд ли "МТС" и "Скартел" с готовностью предоставят Вам интересующую Вас информацию. Если мне не изменяет память (простите, я занимаюсь гражданским правом, поэтому могу ошибаться), в подобных случах такие запросы удовлетворяются компаниями сотовыми операторами лишь на основании возбуждения уголовного дела.

Уголовное дело по факту хищения уже возбудили?