Рекомендации по защите банкоматов в период проведения в Российской Федерации чемпионата мира по футболу – 2018

Аппаратные и физические меры

    1. Смена штатных замков верхнего кабинета.
    2. По возможности установка звуковой сигнализации, оповещающей о незаконной попытке вскрытия верхнего кабинета, а также о попытках сверления и другого сильного физического воздействия на банкоматы. Желательно подключение сигнализации на пульты централизованного оповещения охранной структуры, с которой у кредитной организации заключен договор, для возможности оперативного реагирования.
    3. Размещение банкоматов в хорошо освещенных местах, чтобы устройства попадали в зону видеонаблюдения внешних камер. Не следует ограничиваться исключительно камерами, установленными в самом банкомате, так как они используются в основном для подтверждения операций, проводимых клиентом. Подходящие к банкомату  и отходящие от него люди также должны попадать в зону наблюдения внешних камер.  При этом камеры должны быть малозаметны и недоступны для внешнего воздействия.
    4. Для минимизации рисков установки скимминговых устройств на входные двери помещений, где находятся банкоматы, исключение по возможности использования открывающихся картами замков на дверях (как на входе, так и на выходе).
    5. Уделить особое внимание исполнению рекомендаций Банка России, данных в Приложении к письму Банка России от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов».
    6. Максимальное затруднение доступа к неиспользуемым коммуникационным портам: физически отключите их или используйте защитные заглушки/наклейки.
    7. Использование активного антискиммингового оборудования.
    8. Периодический контроль на наличие повреждений банкомата.
    9.  Периодический контроль на наличие изменения/модификации внешнего вида банкомата: например, посторонние держатели для бумаг, изменение внешнего вида антискиммингового оборудования, появление новых технических устройств, появления выступающих частей в области ПИН-пада; осмотр картоприемника банкомата на предмет наличия в нем посторонних технических устройств (шиммеров).

Программные меры

      1. Конфигурация BIOS
        1. Должна быть защищенной паролем, отличным от пароля по умолчанию и не содержащим легко угадываемых конфигураций (qwerty, password и т.д.). Пароль должен соответствовать максимальному уровню сложности, поддерживаемому BIOS.
        2. Запрещать загрузки с любых внешних носителей. Загрузка должна осуществляться исключительно с единственного жесткого диска, установленного в банкомате.
      2. Конфигурация операционной системы (далее – ОС) банкомата
        1. ОС должна иметь самые последние доступные для нее обновления.
        2. ОС должна иметь сложный пароль учетной записи локального администратора, состоящий из строчных, заглавных букв, цифр и спецсимволов длиной не менее 8 символов. Для генерации паролей можно использовать генератор паролей, позволяющий создавать отвечающие необходимым требованиям и в тоже время простые для запоминания пароли.
        3. Должны быть отключены встроенные гостевые учетные записи.
        4. Должен быть отключен автозапуск (автовоспроизведение) носителей в ОС.
      3. Диспенсер должен использовать защищенный (шифрованный) канал обмена данными с установленным в банкомате системным блоком, исключающий возможность подмены команд или передачи команд сторонним устройством. Некоторые банкоматы требуется перепрошивать или аппаратно модернизировать для включения данного режима – уточните этот момент у производителя банкомата. В случае невозможности включения подобного режима рекомендуется использовать совместимые сторонние средства по контролю целостности информационного обмена между диспенсером и системным блоком. Список совместимых средств защиты вы можете получить у производителя банкомата.
      4. Сетевые соединения банкомата с сервером банка должны:
        1. Использовать VPN-соединение. Если VPN‑соединения нет, то любой сетевой обмен (кроме попыток доступа к VPN-серверу) должен прекращаться. Банкомат не должен использовать незашифрованный трафик.
        2. Использовать макирование при обмене информацией банкомата с хостом.
      5. На банкомате должен использоваться межсетевой экран (как минимум штатный межсетевой экран ОС) с настроенными запрещающими правилами всех входящих соединений.
      6. По возможности должно использоваться совместимое специализированное (для банкоматов) антивирусное программное обеспечение с актуальными базами. Список совместимого антивирусного программного обеспечения необходимо уточнить у производителя.
      7. Следует использовать «белые списки» USB-устройств и программного обеспечения.
      8. Другие меры:
        1. Использование систем мониторинга состояния банкоматов.
        2. Система мониторинга должна быть настроена на оповещение ответственных лиц в случае длительного отсутствия отклика от банкомата, вскрытия или иного нештатного поведения банкомата. Длительность отсутствия отклика (пропадания связи), при котором должно производиться оповещение, устанавливается кредитной организацией самостоятельно.
        3. Использование совместимого программного обеспечения для контроля целостности программных компонентов банкомата. Список совместимого программного обеспечения можно получить у производителя банкомата.
× Закрыть