Большинство кредитных организаций не соответствуют требованиям к настройке безопасности
08:45
Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности
Более того, как рассказали «Известиям» в компании, 76% российских банков указывают в
Целью исследования стала оценка уровня безопасности публично доступных ресурсов, таких как официальный сайт и дистанционное обслуживание (ДБО) для физических и юридических лиц. Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к
— Аналогичное исследование мы уже проводили в 2015 году. Повторный анализ показал, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в ряде систем. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак, — пояснила «Известиям» старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.
Небезопасные настройки
Если они взламывают систему безопасности банка, то могут получить доступ к персональным данным клиентов, для которых возрастает риск стать жертвами мошенников.Любовь Антонова
По информации, которая была представлена Центробанком на летнем Международном финансовом конгрессе, кредитные организации остаются важнейшим объектом внимания киберпреступников. Именно через них происходит четверть утечек конфиденциальной информации.
Неласковый зверь
Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков. Это, кстати, не самый высокий результат.
Тестирование, которое затронуло также 20 крупных зарубежных банков, выявило, что в Японии, Китае и Бразилии этот показатель выше — 90%, 84% и 82% соответственно.
«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.
Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц. Для примера — в Китае этот показатель составляет 63% и 44% соответственно.
В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.
Еще одна выявленная проблема — 76% банков указывают в
При этом, утверждают авторы исследования, только 10% кредитных организаций используют механизм, который способен снизить риск атак, и лишь 3% настраивают его правильно.
И здесь Россия далеко не на первом месте — есть страны, где дела с этой проблемой еще хуже. Так, в Японии, Китае и Бразилии этот показатель достигает 100%, в Великобритании — 95%, в Ирландии — 92%, в Испании — 90%, в Италии — 87%, в Канаде и Франции — 80%, а в Португалии — 79%.
Не на первом месте
Запрос с просьбой прокомментировать результаты исследования «Известия» отправили почти в 40 банков, из которых ответили только Райффайзенбанк и ВТБ. Суть ответов сводится к тому, что обе организации используют надежные способы шифрования соединений и выполняют все требования ЦБ. Правда, в Райффайзенбанке уточнили, что если речь идет не о карточных данных, то используются и ранние версии протоколов, но это обусловлено тем, что часть клиентов с устаревшим ПО работают только с ними.
— Банки умеют расставлять приоритеты по информбезопасности и в первую очередь обычно занимаются тем, что ЦБ будет проверять в ходе надзорной деятельности, — считает эксперт по информационной безопасности Cisco Алексей Лукацкий.
Если финансовые организации не страдают откакой-либо уязвимости, то они поставят ее на последнее место в списке своих задач.
По его словам, исследователи часто изучают малоиспользуемые на практике или устаревшие атаки, а мошенники сегодня проявляют гибкость и у них есть более простые способы похитить деньги у банков или их клиентов.
— Если одну уязвимость закрыли, они находят новые способы. Например, привлекают сотрудников банков, активнее задействуют фишинговые схемы и т.д, — уточнил он.
Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов обратил внимание на то, что сейчас специалисты наблюдают аналогичные атаки и на мобильные приложения, где под удар ставятся данные, передаваемые с телефона в банк.
За безопасность ответят
На прошлой неделе глава Центробанка Эльвира Набиуллина, выступая в Совете Федерации, декларировала ужесточение контроля над деятельностью банков в плане обеспечения информбезопасности. По ее словам, с начала года регулятор завершил 109 проверок финансовых организаций на предмет киберустойчивости, в ходе которых было выявлено более 730 нарушений и практически 80% из них так или иначе связаны с недостаточной защитой информации внутри банка.
— Банки сами должны усиливать защиту.
Мы хотим, чтобы они понимали, что киберустойчивость — это не просто поставить на компьютер антивирусную программу.
Нужно вписать требования киберустойчивости ко всем
Подобный подход позволит положить конец практике, когда средства на информбезопасность выделяются по остаточному принципу, поскольку от ее обеспечения в итоге будет зависеть и сумма, которая будет изыматься для покрытия рисков, полагает Алексей Лукацкий.