Про клиент-банк

mbr — 26.12.2014 Интересный срач у меня тут получился с финансистами.

Из-за того, что у людей низкая техническая грамотность они чуть ли не вручную предлагают ездить платежки отвозить. Страшными вирусами пугать стали. Попытался вразумить. В ответ мне начали рассказывать, что в клиент-банке у юрлиц вообще ничего не нужно подписывать, только кнопочку нажать. В альфа-банке, говорят, только код из СМС ввести.

Надо сказать, что со времен после горького опыта чеченских авизо ни один межбанковский документ без ЭЦП не ходит. Но чтобы альфа-банк от имени клиента подписывал платежки по смс?! Да ладно!

И тут меня осенило. Большинство банков использует говнософт от BSS 90х годов выпуска, написанный еще на дельфи. Для генерации ключей используются ДИСКЕТЫ. Иначе никак. Знаю, что говорю - работал с их казначейским софтом.

У кого сейчас дисковод? Правильно. В итоге в лучшем случае говноадмином криптоконтейнер копируется в реестр (спасибо Крипто-ПРО за такую дыру в безопасности), либо в худшем просто на виртуальный диск. В любом случае, приватный ключ клиент банка доступен в любое время на локальном компьютере.

Дальше веселее. Конторы ну очень любят экономят на админах. Либо нанимают студентов за 3 рубля, либо просят помочь соседского племянника. А так, как соседский племенник живет где-нибудь за уралом, особо не наездишься - ставится teamviewer. Вот он и ваш страшный вирус.

Охуенно, да? Лет 15 назад школьники лишь диалап-интернет воровали. А сейчас запросто могут пару миллионов перевести особо не напрягаясь.

Что делать?
1. Нанять нормального админа.
2. Заставить его отформатировать винт на низком уровне.
3. Купить e-token/ru-token
4. Скопировать ключи туда
5. Оригинал уничтожить
6. Поставить пин.
7. За неубранный токен в сейф - штраф бухгалтеру
8. За сохраненный пин на токене - штраф бухгалтеру
9. За установленный teamviewer на компьютере, где идет работа с клиент-банком - уволить админа и бухгалтера.

Оставить комментарий

Популярные посты:

• Архив