Веб-кабинет ДКУ
Веб-кабинет ДКУ
Открытие специального счета и другие сервисы для операторов финансовых платформ
Открытие специального счета и другие сервисы для операторов финансовых платформ
НРД – оператор информационной системы
НРД – оператор информационной системы

Рекомендуемые меры по защите информации клиентов

26 декабря 2022
Версия для печати

О возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления банковских операций лицами, не обладающими правом их осуществления, и мерах по их снижению

Финансовые операции в современном мире всегда несут за собой некоторые риски несанкционированного доступа к защищаемой информации из-за применения информационных технологий и передачи информации с использованием сети Интернет. Данные риски могут привести к финансовым потерям разных размеров.

Рекомендуемые меры по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого совершались действия в целях осуществления банковской операции

Для того чтобы предотвратить несанкционированный доступ к защищаемой информации следует:

  • Не сообщать посторонним лицам логины и пароли доступа, историю операций, так как они могут быть использованы для получения доступа к вашим активам.
  • Не записывать логин и пароль на бумаге, мониторе или клавиатуре.
  • Не использовать функцию запоминания логина и пароля в браузерах.
  • Не использовать одинаковые логин и пароль для доступа к различным системам.
  • Не пользовать для доступа к Платежной системе НКО АО НРД компьютеры, которые находятся в общедоступных местах.
  • Не открывать ссылки, указанные в сомнительных письмах.
  • Не открывать ссылки и вложения из писем от незнакомых отправителей, так как в них могут быть вирусы, способные украсть ваши данные и секретную информацию.
  • Не использовать в качестве пароля имена, памятные даты, номера телефонов.
  • Использовать только лицензированное программное обеспечение.
  • Регулярно (не реже одного раза в неделю) проводить проверку на наличие новых версий программного обеспечения и обновлять антивирусные базы.
  • Не хранить незашифрованные личные данные на жестком диске, так как эти данные могут быть похищены злоумышленниками и использованы в случае утраты устройства, с использованием которого осуществляется перевод денежных средств.

В случае утраты или кражи устройства необходимо обновить пароли доступа к ресурсам НКО АО НРД.

Рекомендуемые меры по контролю конфигурации устройства, с использованием которого совершаются действия в целях осуществления банковской операции, и своевременному обнаружению воздействия вредоносного кода

С целью недопущения несанкционированного изменения конфигурации компьютеров, предназначенных для работы с Платежной системы НКО АО НРД, необходимо выполнять требования эксплуатационной документации на средства криптографической защиты информации, в том числе:

  1. Исключить доступ к компьютерам посторонних лиц, не имеющих полномочия работы на нем.
  2. Опечатать компьютеры специальными наклейками.
  3. Исключить возможность доступа и установки программного обеспечения посторонними лицами на компьютеры.
  4. Не использовать права администратора при отсутствии необходимости. В повседневной работе использовать учетную запись с минимально необходимым набором прав.

С целью своевременного обнаружения воздействия вредоносного кода:

  1. Постоянно использовать средства антивирусной защиты на компьютерах, используемых для работы с Платежной системой НКО АО НРД.
  2. Установить автоматическое обновление антивирусных программ и их антивирусных баз.
  3. Проводить проверку устанавливаемых программ.
  4. Установить регулярную автоматическую антивирусную проверку.
  5. Проверять все съемные носители информации (USB-Flash, CD/DVD-диски, карты памяти SD и т.п.) до начала их использования.

Ложные (фальсифицированные) ресурсы и программное обеспечение, имитирующие программный интерфейс Платежной системы и сайта НКО АО НРД

Доменные имена фальсифицированных веб-сайтов и их стили оформления могут имитировать сайты НКО АО НРД и содержать ложные реквизиты и контактную информацию. Вступление в какие-либо деловые отношения с лицами, представляющими ложную компанию, и использование ложных реквизитов рискованно и может привести к нежелательным последствиям. Ввод логина и пароля на таком сайте приводит к получению этих данных злоумышленниками, т.е. разглашению аутентификационных данных. Помните, что сайты, визуально напоминающие сайт НКО АО НРД, создаются специально для незаконного получения информации. В случае обнаружения фальсифицированного сайта, копирующего дизайн официального сайта, пожалуйста, незамедлительно сообщите об этом по контактным телефонам НКО АО НРД (+7 495 234-48-27, +7 495 956-09-34). Работу с НКО АО НРД нужно осуществлять только с сайта https://nsd.ru. Обращайте внимание, что в адресной строке браузера присутствует именно этот адрес, остерегайтесь похожих названий. Не вводите аутентификационные данные на любых других сайтах. Рекомендуется для входа на сайт https://nsd.ru набирать в адресной строке адрес сайта вручную.

При подключении к странице веб-сайта НКО АО НРД, на которой необходимо ввести конфиденциальные сведения, надо убедиться, что:

  1. Открылась именно нужная страница и что адрес, отображаемый в браузере, правильный. Если URL-адрес состоит из случайного набора букв и чисел или выглядит подозрительно, следует прекратить сеанс.
  2. Сеанс происходит в защищенном режиме (SSL): если соединение безопасное, то URL страницы будет начинаться с букв «https», а в адресной строке или строке состояния браузера будет отображаться небольшой значок замка. Щелкнув по значку замка, можно увидеть информацию о сертификате подлинности, который был выдан данному сайту. Сертификат должен быть действующим и быть выданным сайту *.nsd.ru. Если его статус отличен от «This certificate is OK» /«Этот сертификат действителен» и выдан другому сайту, следует закрыть сайт и обратиться в НКО АО НРД.

Предупреждение о фишинговых письмах

Через электронную почту очень часто осуществляются фишинговые атаки и применяются методы социальной инженерии.

Фишинг — вид интернет-мошенничества, целью которого является получение конфиденциальных данных пользователей. Это достигается путем проведения массовых рассылок электронных писем от имени известных организаций, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей.

Мошенники через фишинговые письма часто рассылают файлы, содержащие вирусы или шифровальщики, а также обманным путем получают логины и пароли пользователей, данные пользователей, не предназначенные широкому кругу лиц.

Целью мошенников является побудить человека выполнить какие-либо действия, которые выгодны злоумышленнику и которые, как правило, приводят к:

  • утечке информации, логинов/паролей;
  • выполнению на компьютере любых злонамеренных действий, вплоть до предоставления мошенникам удаленного управления;
  • проникновению вирусов-шифровальщиков и иного вредоносного ПО, что может привести к неработоспособности ИТ-систем, недоступности информации;
  • непосредственно операциям по выводу денег.

Поэтому необходимо критично относиться к электронным письмам, полученным от неизвестных отправителей, и не открывать вложения и ссылки из таких писем.

Основными признаками фишингового письма являются:

  • письмо пришло с незнакомого или видоизмененного адреса;
  • в письме всегда присутствует либо срочность, либо иные признаки, побуждающие к немедленному ответу или действию;
  • наличие ссылок и вложенных файлов (особенно от незнакомых отправителей), которые получатель не ожидает;
  • ссылка, ведущая на ресурс, отличный от написанного (если навести на нее курсор в почтовом клиенте, высвечивается другой адрес);
  • ошибки, опечатки, проблемы с грамматикой;
  • побуждение ввести логин и пароль.

При получении письма, подпадающего под указанные признаки, не следует открывать ссылки и файлы из него. О таких письмах следует уведомлять ответственного за информационную безопасность в вашей компании. Также, если вы заметите что-то подозрительное во входящем письме, не открывайте его, если же так получилось, что вы скомпрометировали свои данные для авторизации, первым делом смените свои пароли.

Департамент информационной безопасности НКО АО НРД рекомендует повышать осведомленность работников в части информационной безопасности с целью минимизации рисков информационной безопасности.

Задайте вопрос
— Поля обязательные для заполнения
 
Обратная связь
— Поля обязательные для заполнения
 
Отправьте заявку, и наши специалисты свяжутся с вами в ближайшее время
— Поля обязательные для заполнения