Internet to dzisiaj podstawowe medium komunikacji, poszukiwania wiedzy, zakupów i operacji bankowych. Jednak nieumiejętne korzystanie z niego może drogo kosztować. Cyberprzestępcy czekają na nasz błąd i na pewno nie zawahają się go wykorzystać, takie ataki narażone są coraz częściej przedsiębiorstwa.

Fot. negativespace.co

W branży IT od lat trwa wyścig hakerów z firmami przygotowującymi różnego rodzaju zabezpieczenia. Należy jednak pamiętać, że najsłabszym ogniwem i przyczyną powodzenia zdecydowanej większości ataków informatycznych jest człowiek – użytkownik internetu, który nie był wystarczająco ostrożny i nieświadomie otworzył przestępcom „drzwi” do służbowego komputera. Dlatego poza stosowaniem technologicznych rozwiązań zabezpieczających firmową sieć przed atakami, bardzo ważne jest również wdrażanie odpowiednich procedur bezpieczeństwa i edukowanie pracowników.

Od strony technologicznej ryzyko związane z zagrożeniami informatycznymi w każdej firmie może zostać dość szybko i skutecznie zminimalizowane poprzez wdrożenie poniższych rozwiązań.

Aktualny program antywirusowy

Większość firmowych komputerów jest dzisiaj zabezpieczona programami antywirusowymi, niestety nie zawsze są one aktualizowane, a nieaktualna baza definicji wirusów powoduje, że zabezpieczenie po prostu nie działa. Z tego względu bardzo ważne jest przeprowadzanie aktualizacji na bieżąco i cykliczne skanowanie komputera oraz sprawdzanie każdego pliku zapisywanego na dysku twardym. Pracownicy firmy nie powinni mieć możliwości wyłączania programu antywirusowego.

Firewall

Zapora sieciowa to kolejne skuteczne narzędzie zabezpieczające przed zagrożeniami z internetu. Firewall to albo sprzęt komputerowy wraz z oprogramowaniem albo samo oprogramowanie blokujące niepowołany dostęp do sieci komputerowej, komputera lub serwera.

Zabezpieczenie przed spamem

Zainstaluj program chroniący przed niechcianą pocztą (spam) i próbami wyłudzeń (phishing). Po zainstalowaniu program antyspamowy będzie filtrował całą korespondencję elektroniczną firmy, wykorzystując tzw. czarne listy adresów i domen używanych przez spamerów. Można tez ustalić własne reguły i blokować konkretnych nadawców.

Dedykowana stacja robocza

Dobrą praktyką jest wydzielenie do obsługi krytycznych aplikacji w firmie, w tym także do bankowości elektronicznej, specjalnej stacji roboczej, do której dostęp mają tylko osoby upoważnione i która nie jest używana w codziennej, standardowej pracy. Jeszcze większy poziom bezpieczeństwa uzyskasz, używając systemu w trybie LiveCD lub niszowego systemu operacyjnego typu Linux, dla którego z reguły nie jest tworzone złośliwe oprogramowanie.

Najlepsze systemy bankowości elektronicznej oferują klientom wiele możliwości dodatkowego zabezpieczenia przed atakami cyberprzestępców. Sprawdź możliwości systemu oferowanego przez twój bank i już dziś zwiększ swoje bezpieczeństwo, bez wdrażania dodatkowych rozwiązań technologicznych, a wykorzystując funkcje systemu bankowości elektronicznej.

Wielopodpis

Zasadą powinno być to, że do autoryzacji każdego przelewu zlecanego za pośrednictwem bankowości elektronicznej wymagany jest więcej niż jednen podpis. Tworzenie schematów podpisywania operacji, czyli stosowanie tzw. wielopodpisu, pozwala lepiej zabezpieczyć autoryzację operacji. Dobrym rozwiązaniem jest też dostosowanie liczby podpisów do kwoty realizowanej operacji, tj. wprowadzenie zasady: im wyższa kwota operacji, tym więcej podpisów wymaganych do jej autoryzowania.

Logowanie ze wskazanych adresów IP

Możesz wprowadzić ograniczenie adresów IP, z których można mieć dostęp do danych firmy. Wtedy logowanie będzie możliwe wyłącznie ze wskazanych adresów IP sieci komputerowych, czyli np. tylko z siedziby firmy.

Ograniczenie czasu dostępu

Dzięki ograniczeniu czasu dostępu do serwisu możesz określić, w jakie dni i w jakich godzinach użytkownicy mogą się do niego zalogować. Funkcja ta pozwala zdefiniować, kiedy dostęp do serwisu będzie zablokowany, np. po godzinach pracy lub w dni wolne.

Blokada modyfikacji operacji z pliku

Włącz blokowanie edycji plików z operacjami zaimportowanych do systemu bankowości elektronicznej. Twój serwis nie pozwoli wtedy na jakiekolwiek zmiany w operacjach utworzonych przez import z pliku, usuwanie operacji, kopiowanie i przenoszenie operacji do innych paczek oraz ręczne dodawanie nowych operacji do paczki.

Weryfikacja sumy kontrolnej

To dodatkowe zabezpieczenie, które pozwala sprawdzić, czy importowany plik z operacjami jest identyczny z tym, który został wygenerowany przez system finansowo-księgowy twojej firmy. Jeśli w pliku importowanym wprowadzano jakiekolwiek modyfikacje, włączone zabezpieczenie wykryje to i nie pozwoli na import.

Parametryzacja uprawnień użytkowników przez bank

Na specjalny wniosek bank może przejąć administrowanie twoimi uprawnieniami i parametryzacją systemu bankowości elektronicznej. Po wybraniu tej opcji wszystkie zmiany w systemie uprawnień, m.in. w zakresie dostępu do rachunków, akceptacji operacji i zasad ich autoryzacji, możesz wprowadzić wyłącznie na sformalizowanym dokumencie podpisanym przez osoby upoważnione do reprezentowania firmy.

• Żadne zabezpieczenia techniczne nie zapewnią firmie bezpieczeństwa informatycznego, jeśli nie będą dbali o nie jej pracownicy. Dlatego każde przedsiębiorstwo powinno zadbać o stałe podnoszenie świadomości ryzyka wynikającego z pracy w internecie wśród swoich pracowników, wdrażać odpowiednie procedury i weryfikować ich stosowanie.

  Każda procedura mająca na celu zapewnienie bezpiecznego korzystania z bankowości elektronicznej powinna obejmować poniższe zasady.
  
  

Przestrzegaj zasad bezpiecznego logowania

Do systemu bankowości internetowej loguj się wyłącznie ze sprawdzonych i znanych ci komputerów, które są odpowiednio zabezpieczone.

Zanim zalogujesz się do bankowego serwisu internetowego, upewnij się, czy połączenie jest szyfrowane, a przeglądarka nie zgłasza błędu certyfikatu.

Zgłoś nietypowe działanie systemu

Jeżeli podczas logowania do bankowości elektronicznej otrzymasz nietypowe komunikaty lub prośby o podanie kodów autoryzacyjnych, danych osobowych lub innych poufnych informacji, natychmiast zgłoś to do banku.

Weryfikuj numery rachunków kontrahentów

Przed zatwierdzeniem operacji zawsze sprawdzaj numer rachunku odbiorcy, na którego konto zlecasz przelew. Komputer zainfekowany wirusem może umożliwić hakerom podmianę numeru rachunku bankowego skopiowanego przez ciebie do schowka systemowego przed wklejeniem go do szablonu przelewu (funkcja kopiuj–wklej). Niestety istnieje także złośliwe oprogramowanie, które zmienia numer rachunku w pamięci operacyjnej komputera – choć numer konta zmieni się, możesz tego nie zauważyć.

Potwierdzaj zmianę numeru rachunku kontrahenta

Zawsze, gdy w formie pisemnej, e-mailem lub telefonicznie otrzymasz informacje o zmianie numeru rachunku kontrahenta, zweryfikuj ją i potwierdź bezpośrednio u niego.

Nigdy nie otwieraj wiadomości i załączników od nieznanego adresata

Do infekowania komputerów wirusami hakerzy wykorzystują wiadomości e-mail. Trafiają one do przypadkowych odbiorców, a także do wybranych grup adresatów, np. klientów banków. Tytuł i treść e-maila czy załączników mogą skłonić cię do otwarcia np. załączonego pliku o nazwie przypominającej nazwę faktury VAT. To zamierzone, gdy tylko go otworzysz, twój komputer może zostać automatycznie zainfekowany. Często wtedy może pojawiać się komunikat o rzekomym błędzie i uszkodzeniu pliku.

Nie korzystaj z linków w e-mailach

Nigdy nie otwieraj strony logowania do bankowości elektronicznej z linków z e-maili. Logując się do serwisu, zawsze samodzielnie wpisuj adres bezpośrednio w przeglądarce internetowej.

Nie udostępniaj danych do logowania

Nigdy i pod żadnym pozorem nie udostępniaj osobom trzecim swojego hasła i numeru klienta. Nie podawaj ich również na jakichkolwiek nieszyfrowanych stronach.

Pamiętaj, że w trakcie rozmowy telefonicznej pracownik banku nie prosi o podawanie kodów autoryzacyjnych, chyba ze kontakt następuje z twojej inicjatywy.

Pamiętaj, że pracownicy banku zawsze kontaktują się z numerów jawnych i na początku rozmowy podają swoje imię i nazwisko oraz nazwę banku. W razie jakichkolwiek wątpliwości rozłącz się i zweryfikuj, czy telefon był wykonany rzeczywiście przez pracownika banku.

Mariusz Dąbrowski
Ekspert PKO Banku Polskiego

Wybrane z Bankowiki: SSL

• Klienci PKO Banku Polskiego mają do wyboru kilka narzędzi do autoryzacji swoich transakcji. Coraz częściej korzystają z kodów SMS przesyłanych na wskazany nr telefonu, stosują również losowo wybrane hasła ze zdrapki lub token. Wszystkie te narzędzia zapewniają pełne bezpieczeństwo operacji bankowych. Trzeba jedynie pamiętać o podstawowych zasadach ich użytkowania. Więcej na ten temat w artykule Autoryzacja operacja bankowych.
  
  

Czytaj także:

10 przykazań bezpiecznego korzystania z bankowości internetowej