[gf100]

Цитата Zabejalo:

С клиент-Банка были отправлены платежки и Банк их принял. »

Что за ПО (банк-клиент)?

Цитата Zabejalo:

часть лог-файла отсутствует. »

Возможно, спёрли ключи при помощи трояна и ходили с другого компьютера.

Цитата Zabejalo:

узнать, кто осуществлял платеж? »

Практически все современные системы банк-клиент позволяют отследить коннекты - ip, ключ, телефон. Запроси в банке.

[Zabejalo]

Программа называется "Ваш банк в вашем офисе" Московского кредитного банка", их родная программа.
Соединение идет по интернету, не по телефону.

[DJ Mogarych]

Zabejalo, позвоните в банк да узнайте, что, когда и почему.
Троян, заточенный под конкретный банк, да ещё умеющий использовать ключи защиты... Крайне маловероятно.
Обычное головотяпство сотрудников.

[Zabejalo]

Звонили, банк просто перевел деньги на указанный счёт и всё. Никакой информации не дает. Отправить платежку мог кто-угодно из сотрудников. Я понимаю, что это косяк безопасности, но....

[DJ Mogarych]

Ну отзовите платёж. Это же возможно?

Если к банк-клиенту имеют доступ все сотрудники, то, соответственно, за банк-клиент никто не отвечает, и спросить не с кого. Это не косяк безопасности, это косяк руководства.

[Zabejalo]

) нет, слишком поздно обнаружилось. деньги ушли на оплату непонятно чего непонятно кому. найдут конечно, концы, но это уже проблема другого отдела, имхо.

[DJ Mogarych]

Получается, что дело не в безопасности передачи данных и не в троянах, а в безобразно поставленном порядке ведения дел.

[gf100]

Глянул их договор:

Цитата:

3.1. ... В дополнение к формируемым в системе архивам подлинников документов, полученных Банком, в соответствии с разделом 5 настоящего Договора в банковском и клиентском модулях ведутся контрольные архивы принятых документов, которые используются при разрешении споров и конфликтных ситуаций, связанных с передачей данных и исполнением поручений Клиента, направленных посредством системы «Ваш Банк в Вашем офисе»...

Так что, спросить-то можно.

Цитата:

4.1. Банк обязан: 4.1.1. Предоставлять Клиенту в пользование необходимые для работы программные средства системы «Ваш Банк в Вашем офисе» и соответствующую документацию. Предоставлять Клиенту в пользование необходимые для работы программные средства системы «Ваш Банк в Вашем офисе» и соответствующую документацию для организации дополнительного рабочего места Клиента. 4.1.2. Обеспечивать Клиента необходимой при эксплуатации системы «Ваш Банк в Вашем офисе» ключевой информацией на информационном носителе.

Т.е. банк сам не устанавливает ПО, а передает дистрибутивы и ключи (копию которых не изготовит только ленивый).

Цитата:

4.3. Клиент обязан: ... 4.3.2. Оборудовать рабочее место Клиента в соответствии с рекомендациями Банка, с которыми Клиент обязан ознакомиться до заключения настоящего Договора. Использовать систему «Ваш Банк в Вашем офисе» только на исправном оборудовании и на корректно работающем базовом программном обеспечении. Оборудовать дополнительное рабочее место Клиента в соответствии с рекомендациями Банка, с которыми Клиент обязан ознакомиться до заключения Договора. Использовать систему «Ваш Банк в Вашем офисе» только на исправном оборудовании и на корректно работающем базовом программном обеспечении. 4.3.3. Не передавать третьим лицам программно-аппаратные средства системы «Ваш Банк в Вашем офисе» и сведения о применяемой системе защиты информации. 4.3.4. Обеспечивать соблюдение порядка учета, хранения и использования информационных носителей с ключевой информацией, исключающего несанкционированный доступ к ней посторонних лиц. 4.3.5. Выполнять требования, предусмотренные эксплуатационной документацией системы «Ваш Банк в Вашем офисе», и следовать рекомендациям Банка по оборудованию рабочего места Клиента. ... 4.3.7. Немедленно уведомлять Банк при возникновении угрозы несанкционированного доступа к компьютерной системе в следующих случаях: – потеря информации, связанной с ключами; – возникновение подозрений в копировании указанной информации; – любые кадровые перестановки, касающиеся уполномоченных лиц.

Это пишется не ради красного словца... Как говорится: "У кого дискета, тот и папа".

Цитата:

5.2. Передающая Сторона обязуется признавать подлинным документ, имеющий электронную подпись, переданный указанной Стороной с использованием ее секретных ключей, при условии положительного результата проверки электронной подписи с помощью соответствующих открытых ключей. 5.3. При получении принимающей Стороной подложного документа с успешно подделанной электронной подписью ответственность по настоящему Договору принимает на себя передающая Сторона, как не обеспечившая сохранность секретных ключей подписи. 5.4. При возникновении у Клиента претензий к Банку в связи с совершением банковских операций, осуществление которых он Банку не поручал: – Клиент должен направить в Банк претензию в письменном виде с указанием реквизитов операции, исполнение которой считает неправомерной. Для разрешения спорной ситуации Клиент должен направить в Банк полномочных представителей и передать дискеты с действовавшими в период совершения операции открытыми ключами подписи и ключами шифрования, а также все имеющиеся у Клиента документы с информацией об указанной операции, включая данные из контрольного архива системы клиентского модуля; – для разрешения спорной ситуации из контрольного архива банковского модуля распечатывается документ, на основании которого выполнена рассматриваемая операция...

Кто виноват и что делать - понятно.

Цитата DJ Mogarych:

Троян, заточенный под конкретный банк, да ещё умеющий использовать ключи защиты... Крайне маловероятно. »

А здесь - не согласен. Банк достаточно большой и соблазн (поживиться за счет недисциплинированных клиентов) велик. Но, все-таки, вероятность ниже, чем

Цитата DJ Mogarych:

Обычное головотяпство сотрудников. »

[El Scorpio]

Цитата Zabejalo:

Отправить платежку мог кто-угодно из сотрудников. »

то есть,*"кто угодно из сотрудников" мог подойти к этому рабочему месту, ввести пароль оператора документооборота и вставить закрытый ключ ЭЦП?
Как хоть закрытый ключ реализован - подключаемая через USB smart-карта или же обычная дискетка, с которой "кто угодно из сотрудников" мог скопировать файлы?