Исследование показало пробелы в киберзащите у российских банков

Введите запрос для поиска

Скрыть поиск

Исследование показало пробелы в киберзащите у российских банков

Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности веб-ресурсов: нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. Такой вывод можно сделать из исследования Digital Security, пишут  «Известия». Как рассказали газете в компании, пробелы в защите были обнаружены у всех банков.

Целью исследования стала оценка уровня безопасности публично доступных ресурсов, таких как официальный сайт и системы дистанционного обслуживания для физических и юридических лиц. Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к веб-ресурсам кредитных организаций доступные любому пользователю запросы.

«Аналогичное исследование мы уже проводили в 2015 году. Повторный анализ показал, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в ряде систем. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак», — пояснила «Известиям» старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.

Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков.

«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.

Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц.

В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.

Еще одна выявленная проблема — 76% банков указывают в HTTP-заголовке имя своего сервера, за счет чего злоумышленник может получить информацию о том, какое программное обеспечение использует веб-сервис. Это позволяет сократить время проведения атаки. Злоумышленник, зная версию ПО, может сразу начать искать данные по возможным уязвимостям. При этом, как утверждают авторы исследования, только 10% кредитных организаций используют механизм, который способен снизить риск атак, и лишь 3% настраивают его правильно.

Запрос с просьбой прокомментировать результаты исследования «Известия» отправили почти в 40 банков, из которых ответили только Райффайзенбанк и ВТБ. Суть ответов сводится к тому, что обе организации используют надежные способы шифрования соединений и выполняют все требования ЦБ. Правда, в Райффайзенбанке уточнили, что если речь идет не о карточных данных, то используются и ранние версии протоколов, но это обусловлено тем, что часть клиентов с устаревшим ПО работают только с ними.

Источник: Banki.ru
Тэги:

Читайте также

Группа ВТБ: 40% жителей ПФО регулярно занимаются спортом
По данным совместного опроса ВТБ и банка «Открытие», 40% жителей Приволжского федерального округа (ПФО) регулярно занимаются физкультурой и разными видами спорта
БКС Банк запустил очередной депозит в юанях
С 27 марта текущего года линейка депозитов в китайских юанях БКС Банка пополнилась очередным - уже третьим - вкладом
ВТБ запускает «готовое решение» с защитой капитала
ВТБ начал сбор заявок на участие в размещении трехлетней облигации с привязкой к росту российского фондового рынка
ВТБ отменяет комиссию за платежные стикеры
Оформление и использование платежных стикеров станет бесплатным для всех клиентов ВТБ с 1 апреля
Банки Китая, Турции и ОАЭ задерживают выплаты за российскую нефть на месяцы
Задержки начались с конца декабря, так как банки стали опасаться вторичных санкций со стороны США
Вкладчики торопятся отнести деньги в банки: разъяснены причины
В феврале средства населения в российских банках нетипично выросли — на 1,1 трлн рублей
Новые ИТ-разработки позволят ВТБ «бесшовно» перевести клиентов из банка «Открытие»
Первый зампред правления ВТБ Дмитрий Пьянов рассказал о разработке уникальной технологии
Швейцарские банки закрывают счета гражданам с российским паспортом
Зафиксированы случаи, когда это произошло даже с гражданами Швейцарии из-за наличия второго гражданства
Больше половины россиян допустили исчезновение наличных через 20 лет
ВЦИОМ: более 50% россиян считают, что бумажные купюры исчезнут через 20 лет
Samsung Pay перестанет работать с картами «Мир»
С 3 апреля 2024 года добавление и использование карт «Мир» в Samsung Pay будет недоступно