Bezpieczeństwo - NatWest Markets

______________________________________________
Bezpieczeństwo
Badania nad oszustwami internetowymi zwracają uwagę na coraz bardziej wyrafinowane i świetnie zorganizowane
działania oszustów. Gangi trudniące się tym procederem, wzięły na cel bezpośrednio klientów bankowości
elektronicznej w celu popełnienia oszustw i nadal obserwowany jest znaczny wzrost prób, które łączą ataki na
systemy elektroniczne klienta, wraz z metodami socjotechnicznymi (phishing i vishing), w celu przechwycenia
wszelkich loginów i kodów autoryzacji płatności. Przy ciagłym wzroście roli portali społecznościowych, odgrywających
coraz większą rolę w Ŝyciu codziennym, znacznie łatwiejsze jest wykorzystanie informacji tam dostępnych,
pozwalających na obniŜenie poziomu bezpieczeństwa systemów. Ostatnie wiadomości dotyczące bezpieczeństwa,
podkreślają luki i ułomności w systemach chroniących hasła (Heart Bleed), które mogą być wykorzystane jako
podstawa do ewentualnych ataków phishing i vishing. Pomimo tego, Ŝe moŜemy potwierdzić, Ŝe system Access
Online jest bezpieczny i powyŜsze informacje nie mają wpływu na jego bezpieczeństwo, to informacja ta ma na celu
zwrócenie Państwa uwagi na nasze najlepsze rady dotyczące tegoŜ bezpieczeństwa. Zachęcamy do poświęcenia
niezbędnej uwagi do zapoznania się z niniejszymi informacjami i zachowania najwyŜszej ostroŜności, w odniesieniu
do wszelkich systemów bankowości elektronicznej w czasie ich uŜywania.
Zapamiętaj!
• Przedstawiciele Banku nigdy i pod Ŝadnym pozorem nie proszą podczas rozmowy telefonicznej o podanie kodu PIN,
hasła lub jakichkolwiek kodów z urządzenia Digipass.
• Nie naleŜy udostępniać urządzenia Digipass i kodu PIN lub innych danych dotyczacych logowania innym nawet
zaufanym członkom zespołu.
• Zawsze przechowywuj hasła, kody PIN, urządzenie Digipass i wszelkie inne szczegóły finansowe lub szczególnie
waŜne w bezpiecznym miejscu. Informacje te, nie powinny być zapisane lub udostępniane, a wszelkie hasła powinny
być regularnie zmieniane.
• Kod odpowiedzi logowania Digipass (Appli 2) ma długość 6 znaków, kod odpowiedzi autoryzacji (Appli 3) składa
się z 8 znaków o które nigdy nie zostaną Państwo poproszeni podczas logowania. Appli3 jest uŜywany tylko jako
część procesu autoryzacji.
• Zawsze naleŜy sprawdzić abonenta dzwoniącego z Banku. Jeśli niespodziewanie dzwoniący identyfikuje się np. jako
wsparcie techniczne, technik IT, który kontaktuje się w sprawie ostatnich raportów dotyczących luk i problemów z
hasłami, naleŜy go zweryfikować, pytając o pełne dane dzwoniącego, w tym ich imię i nazwisko, firmę, adres e-mail i
numer telefonu. Oszuści umiejętnie badają i wybierają swoje cele fachowo za pomocą drobnych szczegółów jako
część calego oszustwa.
• Zweryfikuj, Ŝe Ŝądania lub prośby są prawdziwe – czy normalnie kontaktowano by się w ten sposób? Jeśli masz
wątpliwość, zadzwoń do osoby kontaktowej w Banku lub bezpośrednio do opiekuna ds. relacji. Jeśli będziesz
poinformowany, Ŝe na przykład, Twój opiekun jest aktualnie niedostępny, naleŜy zawiesić rozmowę z podejrzanego
źródła, dopóki nie sprawdzisz lub zweryfikujesz wystarczająco rozmówcy. Zalecamy równieŜ uŜyć innego numeru
telefonu, aby trzymać podejrzaną linię „otwartą”, dodatkowo konfigurując fałszywy numer telefoniczny, w celu
zabezpieczenia się przed kolejnym oszustwem.
• Bądź czujny, jeśli Ŝadanie wydaje się podejrzane lub jeśli czujesz się niekomforowo podczas rozmowy telefonicznej.
Unikaj ujawniania wszelkich informacji, które mogą być wykorzystywane przez oszustów, w tym nazwisk innych
członków organizacji. Sprawdź ze swoim przełoŜonym, usuń wiadomość e-mail lub zapisz numer, aby zadzwonić na
ten numer zwrotnie. Lepiej zweryfikować rozmówcę niŜ ujawnić podejrzanym osobom poufne informacje przez
pomyłkę, które to mogą być potencjalnie wykorzystane w oszustwie obejmującym Ciebie lub innych członków
organizacji.
• Podwójna autoryzacja jest zalecanym standardem dla klientów Access Online. To zwiększa bezpieczeństwo i
zapewnia, Ŝe przynajmniej dwie osoby są niezbędne do wysłania płatności.
• Bądź podejrzliwy wobec wszelkich niespodziewanych lub niechcianych wiadomości e-mail (spam), nawet jeśli
wydają się pochodzić z zaufanego źródła. Usuń je bez ich otwierania. Zwracaj szczególną uwagę na e-maile
wysyłane z kont internetowych (np. Hotmail , Yahoo , itp.).
• Nie naleŜy logować się do Access Online, korzystając z linków zapisanych w
internetowej.
"ulubionych" w przeglądarce
• Zawsze naleŜy logować się do Access Online wpisując http://www.rbsm.com/access do okna adresu i zwracać
uwagę na wszelkie błędy w adresach internetowych (tzw. Literówki).
• Przy wprowadzaniu wraŜliwych danych na stronach internetowych, naleŜy upewnić się, Ŝe połączenie jest
bezpieczne, oznacza to przedrostek "https" oraz ikona zamkniętej kłódki lub symbol klucza. Wiarygodność moŜna
sprawdzić, klikając dwukrotnie na wyświetlany symbol.
• Zachowaj szczególną ostroŜność, gdy na ekranie logowania do Access Online, pojawi się informacja Ŝe strona jest
niedostępna lub prowadzone są prace konserwacyjne, szczególnie jeśli jest to powiązane z rzekomym telefonem z
Banku, w którym wymagane są Państwa dane logowania lub kody Digipass.
• Korzystaj z aktualnego oprogramowania antywirusowego i regularne skanuj systemy komputerowe.
• Utrzymuj systemy operacyjne i przeglądarki internetowe na bieŜąco z najnowszymi poprawkami bezpieczeństwa
oraz regularnie aktualizuj inne kluczowe oprogramowanie, które współpracuje z internetem, takie jak odtwarzacze
multimedialne, Adobe i aplikację Java .
• Jeśli masz jakiekolwiek wątpliwości, zgłoś je natychmiast do Twojego opiekuna w Banku.
Stosowanie najlepszych praktyk
Pomimo, Ŝe chcemy utrzymać Państwa na bieŜąco z najnowszymi trendami oraz najnowszymi urządzeniami
multimedialnymi, pragniemy równieŜ zwrócić uwagę na stosowanie najlepszych praktyk w odniesieniu do środowiska
Access Online. Ta rada przekłada się na ustawienia, które proponujemy zastosować w module administracyjnym.
Gdzie stosowane są tylko domyślne ustawienia, ustalone podczas konfiguracji dostępu do Access Online,
zdecydowanie zalecamy, aby podjąć niezbędne kroki w celu wykorzystania wszelkich dostępnych zabezpieczeń. W
szczególności:
• Zastosowanie Dual Control jako minimum. Dual Control wymaga zaangaŜowania minimum dwóch osób w
inicjowanie i autoryzację zmian w module administracji Access Online.
• Rozdzielenie administracji, wprowadzania płatności i ról dotyczących autoryzacji płatności. Aby to zrobić, naleŜy
utworzyć listę uŜytkowników, określić ich role, schematy wykonywanych płatności oraz innych funkcji które są
niezbędne i których potrzebują.
• Przeglądanie schematów autoryzacji, w celu zapewnienia stosowania ograniczeń w odniesieniu do rachunków,
typów płatności, grup beneficjentów, limitów transakcji i przez określenie sekwencji autoryzacji (workflow) w
przypadku płatności gdzie kwota płatności jest znacząca.
• Ustanowienie ograniczeń przelewów do nieznanych beneficjentów, poprzez zapewnienie dodatkowej kontroli
beneficjentów.
Radzimy, aby zarezerwować sobie czas na zaprojektowanie i wprowadzenie zabezpieczeń określonych jako
najlepsze stosowane praktyki oraz utworzenie procesów lokalnych i procedur rozwiązywania incydentów
związanych z naduŜyciami finansowymi. To gwarantuje, Ŝe będą Państwo przygotowani do szybkiego reagowania na
wszelkie podejrzane incydenty.