Доступ к личным онлайн-банкам сотрудников на ПК организации представляет угрозу сети организации?

Question

[Мухаммад]

Добрый день коллеги!

Мы считаем, что использование личных онлайн банков сотрудниками с компьютеров организации, является потенциальной угрозой для организации.

1. Онлайн-банки - мишень для криминальных структур, следовательно для онлайн-банков существует огромное количество поддельных страниц, которые могут нести в себе в том числе и неизвестные для средств защиты угрозы (новые вирусы, 0-day уязвимости и т.д.)

2. Риски для организации, в случае потери сотрудником своих денег, например открыл фишинговую страницу, сотрудник напишет заявления в банк и полицию, начнётся разбирательство, которое напрямую коснётся организации и ИТ-отдела в частности.

Спасибо!

Answer 1

[cssman]

Как грамотно довести до руководства, что использование личных онлайн банков сотрудниками организации, является потенциальной угрозой для организации?

Например, сеть организации скомпрометирована, вирус перехватывает учётные данные от кабинета и деньги со счёта "пропадают". Или другая причина. Пользователь пишет заявления в банк и полицию... какие риски в данном случае для организации и для сотрудников it-отдела?

В корне неверный подход. Этот момент закрывает трудовой договор, в котором прописано что "использование корпоративной техники и ресурсов только в производственных целях".
А от всего остального защищайтесь предназначенными для этого средствами.

Comments

[Мухаммад]

Этого нет. Я поговорю с директором. Спасибо!

[cssman]

Александр: очень странно, это привычный текст в любом трудовом договоре, где подразумевается работа с ИТ.

И ещё совет, если решили закрывать что-то технически, то пусть это будет стандартный набор (соцсети, развлекательные ресурсы, порно и т.п.), остальное достаточно закрыть организационно. Если организация большая, то стоит написать Политику ИБ и возможно другие документы для сотрудников.

[Мухаммад]

У нас доступ к стандартному набору блокируется. Так же есть контентная фильтрация для некоторых категорий. Спасибо!

Answer 2

[telman8]

Судя по вашим словам, угроза тут ваша халатность к безопасности сети компании.

Comments

[Мухаммад]

Не все инциденты связаны с халатностью сотрудников.

[telman8]

Я хотел сказать что запрет на использование в личные кабинеты онлайн банков это полный бред, нужно вам нужно защищать инфраструктуру компании. Все остальное вас не касается, так как обеспечение безопасности работы с ЛК банка - это ответственность клиента банка.

Answer 3

[other_letter]

Намекните, что таким способом могут оплачивать всякие нелегальности. И блокируйте "ради детей". ;)
(Юмор, есличё)

Вообще как я понял, Вы волнуетесь про сотрудников, которые с рабочих компов лезут в личные инет банки, так что ли? Выше отписавшиеся пишут иначе, но я понимаю вопрос так. Если верно - это не Ваша забота. Частное лицо должно само беспокоиться об этих аспектах, как и написано в куче соглашений.

А так всё смахивает скорее на комплекс вахтёра. Уж извините за прямоту.

Comments

[Мухаммад]

Да личные. Спасибо за прямой ответ :)

[other_letter]

Да не за что. Чего на самом-то деле хотите? Блокировать - вижу. Но это средство. А цель-то какая?

[Мухаммад]

Снизить вероятность проникновения вредоносного программного обеспечения.

[other_letter]

Александр: через какой канал?
Вы полагаете, что на сайтах онлайн-банков будет вредонос?

Раз Вы занимаетесь этой темой - наверняка разбираетесь в моделях рисков. Как полагаете, высок ли риск заразить Вашу ИС через пользователей, которые входят в личный кабинет какого-то банка с работы?

Ну или просто сравните этот риск с риском при чтении какой-нибудь "Ленты"

[Мухаммад]

other_letter: "Лента" и интернет-банкинг в разных "весовых" категориях. Встречный вопрос, как Вы думаете риски увеличатся, если вместо официальной страницы банка, пользователь откроет поддельную страницу? А если несколько пользователей? Я полагаю, что риски увеличатся.

[other_letter]

Александр: Вот сейчас не понял. Какой смысл сравнивать риски официальных и поддельных ресурсов? Ну, допустим, ресурс yandex.ru признан допустимым. И тут пользователь открывает поддельную страницу. Да, риск возрастает, но это не тот же риск. И это его риск, пользователя. Считать, что работодатель виновен в этом можно - у админа есть возможность подменить этим страницы. Но в РФ рисков от стороннего вмешательства работодатель не понесёт.

Answer 4

[gaxetasok]

Если у вас в сети бродит таааааакой вируc, то у вас проблемы посерьезнее, чем личные счета сотрудников, в которые сотрудники ходят 0,0001% процентов своего времени.
Реально - у вас комплекс вахтера.

У вас, видимо все другие проблемы околоИТ-шные в конторе уже решены и заняться нечем???

Comments

[Мухаммад]

Предположу, что это относится к моему изречению про службу поддержки. Не в сети. Вредоносные вложения и ссылки во входящей корреспонденции.

[gaxetasok]

Александр:
Совершенно нет никакой связи с личными кабинетами сотрудников.

[Мухаммад]

gaxetasok: Это было сказано про новые неизвестные средствам защиты угрозы.

[gaxetasok]

Александр: Еще раз: никакой связи с личными кабинетами

[Мухаммад]

Хорошо, скажу для Вас яснее. Если пользователь откроет фишинговую страницу с неизвестными вирусами для средств защиты, Вы прочувствуете связь.

[gaxetasok]

Александр:
ничто не помешает ему открыть эту ссылку даже если у него нет вообще нет никакого личного онлайн банка.

[Мухаммад]

Что предлагаете лично Вы?

[gaxetasok]

Александр:
я предлагаю забить на личные банки.
они не влияют на безопасность. вообще. от слова никак. вообще никак не влияют.

личные он-лайн банки ничем не отличаются от любой другой деятельности на рабочем месте.
годится общий универсальный набор правил: отсутствие админовских прав и пр.

если уж вы маньяк по безопасности - то "стерильная" каждый раз заново инициализируемая среда.
если ваши люди живут под Windows, то это будет Windows Containers, к примеру.

[Мухаммад]

У нас другое мнение на этот счёт.

[gaxetasok]

Александр:
Вы ошибаетесь.
Но если у вас много свободного времени - потратьте несколько своих рабочих дней на проблему, которая возникает раз в 1000 лет при определенном положении планет.

Answer 5

[Anton Denisenko]

Здравствуйте, ходить на работу людям у вас можно или это тоже потенциальная угроза для компании? Если уже в вашей компании был прецедент, то это исключительно ваша халатность, а ничего не понимающих сотрудников.

Comments

[Мухаммад]

Прецеденты отсутствуют, но никто не застрахован.

[Anton Denisenko]

застраховаться от всего не возможно, даже в фсб :)

[Мухаммад]

Но надо пытаться. Лучше перебдеть, как говориться.

Answer 6

[lxfr]

По-моему, закрывать сайты для сотрудников это бред полный.

Comments

[Мухаммад]

Ну не знаю, как у вас, у нас доступ к социальным сетям для сотрудников закрыт.

[lxfr]

Александр: зачем? С какой целью? Если человеку надо, он выйдет со своего телефона в тот же контактик.

[Мухаммад]

И это будет его правом. Так как устройство личное и риски только его.

[lxfr]

Александр: а в чем смысл закрывать социальные сети? Кроме того что мешает скачать свежую оперу и обойти все блокировки.

[Мухаммад]

В основном в экономии канала связи. Представьте, у вас в примерно одно и то же время все начнут смотреть видеоролики своих знакомых, знакомых знакомых... На периферии не всё так радужно с интернетом, как в больших городах. Мы блокируем ютьюбы и подобные сервисы. Анонимайзеры тоже блокируются. Блокируется стороннее программное обеспечение. Разрешён firefox. Т.е. рабочие места сотрудников настроены для оптимального выполнения их служебных обязанностей.

[Оптимус Пьян]

Александр: Мне ютуб для работы иногда нужен, я был бы сильно удивлён. А так я на нём не сижу

[Мухаммад]

Если пользователь делает запрос на доступ к какому-то заблокированному ресурсу, действительно необходимому для работы, то мы его открываем для него.

[lxfr]

Александр: я бы уволился в тот же день, ибо нех%%й

Answer 7

[Пума Тайланд]

Это вообще не ваш интернет банк и не ваши деньги, к тому же все интернет банки нынче через смс переводы делают, так что все уже защищено до вас, какого хрена вас волнуют чужие интернет банки мне вообще не понятно, вы бы еще запретили с кошельками на работу приходить вдруг их украдут.

Comments

[Мухаммад]

Устройства организации не для решения личных проблем, не так ли? Если придёт сотрудник со своей личной игрой, вы дадите ему её установить и играть? А так, согласен с Вами полностью.. всё перечисленное Вами - их.

[gaxetasok]

Александр:

Я вас уверяю - социальные сети жрут у вас на порядки больше времени, чем он-лайн банки сотрудиков.
Нет. В тысячи раз.
Даже законодатели хотят их запретить в рабочее время.
Тот самый закон "в социальные сети по паспорту" включает еще и пункт запрета пользоваться социальными сетями в рабочее время.

Это ж что блин за сотрудники такие, что по полдня проводят в своем онлайн банкинге? У вас огранизация подпольных миллиардеров что ли? Раз в полгода кто нибудь зайдет на 5 минут - и только.

Я вот на сайте тусуюсь по охоте и рыбалке. Хобби у меня такое.
Вся активность там - в рабочее время, в рабочие дни.

Как праздники или выходные или вечер - так всех как смело.

У нас один пенсионер есть - так он даже прикалывается:
Это когда же вы говорит работаете? Я то понятно - на пенсии.
А вы то - активность на сайте посвященном исключительно хобби - исключительно в рабочее время.

[Мухаммад]

gaxetasok: К социальным сетям нет доступа с компьютеров организации, но никто не запрещает пользоваться личными устройствами.

[gaxetasok]

Александр: проблемой является потеря рабочего времени. просто огромная потеря на социальные сети.
и чем при этом пользуются сотрудники - неважно.
главное потери времени.

[Мухаммад]

Если сотрудник не выполняет свои обязанности, пусть с этим разбирается кадровая служба. Для меня главное безопасность ИС.

Answer 8

[Rsa97]

Если у вас весь софт закрыт лицензиями, то, IMHO, рисков никаких. Может, в свете последних веяний, стоит ещё иметь список сотрудников, использующих интернет в организации.
Ну придут, побеседуют с сотрудниками, запросят какие-нибудь логи, в чём опасность то?

Comments

[Мухаммад]

SyavaSyava Предполагаю, что здесь речь идёт об использовании в организации взломанного ПО с потенциально вшитым вредоносным.

Rsa97 в свете последних веяний
Делали такой документ для вышестоящей организации.

[Rsa97]

SyavaSyava: А вы таки считаете, что вирус можно поймать исключительно на фишинге онлайн-банков?

[Rsa97]

Александр: Скорее об обнаружении нелицензионного ПО в ходе расследования.

[Rsa97]

SyavaSyava: Наличие лицензии на сотрудника IT-отдела повлияет не во время работы, а во время расследования.
Для работы абсолютно неважно, где сотрудник поймает вирус или шифровальщика - на фишинге онлайн-банка или открыв письмо с заголовком "Акт сверки".

[Rsa97]

SyavaSyava: Перефразирую.
Наличие лицензии [на программное обеспечение] повлияет на сотрудника IT-отдела не во время работы, а во время расследования.

[Rsa97]

SyavaSyava: А как вам другая ситуация - у сотрудника через фишинговый сайт увели логин/пароль, сняли крупную сумму, к вам пришёл следователь с экспертом и заодно обнаружили отсутствие лицензий на софт?
Что касается вирусов, троянов, локеров и т.п., то почему вы хотите закрыть только онлайн-банкинг? Закрывайте весь интернет, и электронную почту заодно. Можно ещё залить клеем все USB-разъёмы. А главное - не включать компьютер! Никогда!

[Мухаммад]

SyavaSyava:

Я установил последнюю версию Windows 10 и активировал её пиратским активатором, скачанного с проверенного миллионами пользователей ресурса,

Если у вас сохранился архив проприетарного программного обеспечения с "кряками" с "тех" времён, то попробуйте проверить его современным антивирусом. Возможно вы будете удивлены.

[Мухаммад]

Rsa97:

Что касается вирусов, троянов, локеров и т.п., то почему вы хотите закрыть только онлайн-банкинг? Закрывайте весь интернет, и электронную почту заодно

1. Онлайн-банкинг в нашем понимании потенциальная угроза, так как много фишинговых страниц для него.
2. Электронная почта доступна только корпоративная, личная заблокирована на ПК организации. Личные устройства для личного, ищите почту там.

[Rsa97]

1. Онлайн-банкинг в нашем понимании потенциальная угроза, так как много фишинговых страниц для него.

По данным 2016 фишинг онлайн-банкинга стоял на втором месте после интернет-магазинов, и примерно такой же объём фишинга приходился на глобальные интернет-порталы. Так почему не закрыть заодно Google.com и Yandex.ru?

2. Электронная почта доступна только корпоративная, личная заблокирована на ПК организации.

Пришло письмо с заголовком "Акт сверки", внутри xlsx-документ. Достойно ли оно того, чтобы попасть к бухгалтеру организации или будет заблокировано ещё на входе? А есть ли у бухгалтера право включить макросы в документе?

[Мухаммад]

Rsa97: По вашему, надо надеяться, что средства безопасности справятся со всеми угрозами, а блокировки для непрофессионалов? :)

Интернет-магазины у нас блокируются. Сервисы гугла блокируются в связи с распоряжением вышестоящей организации. Блокируются некоторые сервисы от яндекса (музыка, видео).

Пришло письмо

Часть писем анализируется в автоматическом режиме. В нашем случае, подозрительная корреспонденция не дойдёт до адресата, пока не будет проанализирована специалистом. Это порядка 30-50 писем в день, на данный момент. По итогам анализа, выявленные подозрительные письма отправляются на анализ в службу поддержки для включения в антивирусные базы.

Право включить макросы у бухов есть, так как они работают с такими документами.

[Rsa97]

Александр: Не знаю, у меня на 120 компьютеров без особых блокировок за 10 лет всего одно заражение шифровальщиком, и то было через почту, а не фишинг. Да и восстановили всё из бэкапов за пару часов.

[Мухаммад]

И Вы полагаете, что если у вас так было, то другой сценарий не возможен? У меня вообще никогда заражений не было.

[Rsa97]

Александр: Нет, просто привожу пример. Опросил сейчас коллег-аутсорсеров, их абоненты тоже работают без каких-либо блокировок. И также, все заражения, что они припомнили у двух десятков абонентов за семь лет работы - через почту.
И ещё вопрос, как вы собираетесь блокировать фишинговые сайты? Можно заблокировать telebank.ru, но фишинговый то может называться, например telebank.com.ru.

[Мухаммад]

Контентная фильтрация + решения от вендоров.

Answer 9

[Dmitry]

Уголовного или административного преследования сотрудников ит отдела не будет. НО, это только в том случае, если вы не приложили к этому делу руку, и не были пойманы. Максимум - вас уволят, за недобросовестное выполнение должностных обязанностей. Это касается, даже если вы работаете в банке, даже если в вашей должностной инструкции прописана уголовная ответственность за халатность. Преследовать за халатность могут только в случае, если кто-то пострадал физически.

Есть комплекс мер, которые способны пресечь 99% угроз. А именно, запрет запуска на рабочей станции скриптов и программ не из списка доверенных + антивирусная программа.

з.ы. Сам факт халатности, так же придется доказывать. Что сделать очень сложно, если происшествие не регулируется должностной инструкцией.

Comments

[Мухаммад]

Спасибо!

Answer 10

[Мухаммад]

Лицензионная чистота. Ресурсы блокируются. Меры соблюдаются. Написанное выше, я привёл в качестве примера. Как по мне, онлайн-банкинг в организации надо блокировать, так как его использование потенциально может привести к проблемам. Пользователи, как правило, не способны отличить легальная страница банкинга или поддельная и кто знает, что там он наоткрывает и назапускает. Если вы считаете, что уязвимостей в ПО нет, то вы заблуждаетесь. Антивирус... Я практически каждый день работаю со службой поддержки и уверяю вас, новых угроз (вирусов, веб-ресурсов), о которых не знает антивирус, появляется много.

>>> Ну придут, побеседуют с сотрудниками, запросят какие-нибудь логи, в чём опасность то?

Возникнет доп. нагрузка на IT-отдел из-за разбирательства. Не известно на какое время затянется разбирательство и к чему оно приведёт. Возможно потребует каких-то фин. затрат. Это риски.

telman8 я совершенно не понял Вашу мысль.

Comments

[Мухаммад]

Я уже разобрался. Спасибо!