Владислав Скобелев Все статьи автора
13 ноября 2019, 06:32 244

Киберугрозы банкам не помеха. Уровень веб–защиты большинства банков не соответствует базовым требованиям

Фото: Vostock-Photo

Уровень веб–защиты большинства российских кредитных организаций не соответствует базовым требованиям.

Компания Digital Security проверила надежность сайтов 200 российских банков и выявила в большинстве из них уязвимости, помогающие хакерам получить доступ к персональным данным. В 76% случаев сайты генерируют компрометирующие HTTP–заголовки. Обычно с их помощью браузер клиента обменивается с сервером служебной информацией, но в 59% случаев в них встречается имя и версия сервера, а также информация о ПО. В результате злоумышленник может не перебирать методы атаки, а сразу использовать подходящие.

Башни раздора. "МегаФон" планирует продать все свои вышки инфраструктурному оператору

Башни раздора. "МегаФон" планирует продать все свои вышки инфраструктурному оператору

1096
Владислав Скобелев

У 34% банков обнаружены проблемы с настройкой защитных SSL–сертификатов. Около 79% банковских сайтов уязвимы для программы Beast (позволяет перехватить и расшифровать данные с сервера). Ни один из опрошенных на эту тему банков не смог оперативно ответить на запрос "ДП".

По словам исследователей, речь идет о достаточно базовых настройках безопасности, на которые кредитные организации не всегда обращают внимание. При этом с 2015–го, когда проводилось первое такое исследование, методология не изменилась. То есть времени на диагностику и ликвидацию обнаруженных уязвимостей у банков было достаточно.

"Внедрение некоторых настроек неизбежно приведет к необходимости повторно тестировать системы, так как может перестать работать какая–нибудь функция сайта, что способно нанести ущерб бизнесу", — объясняет ситуацию старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.

"Если безопасность не закладывается при проектировании веб–приложения или не является главным приоритетом, на каждой последующей стадии жизненного цикла будет сложнее и дороже диагностировать и исправлять уязвимости", — говорит аналитик инфобезопасности Positive Technologies Екатерина Килюшева.

Вице–президент ГК InfoWatch Рустэм Хайретдинов подчеркивает, что исследование не говорит о безопасности сайтов, "оно лишь констатирует наличие уязвимостей и других обстоятельств, облегчающих атаку".

По его словам, если об уязвимости узнали аналитики, значит, о них знают и банки. "Конечно, стандарты требуют закрывать все найденные уязвимости, но в первую очередь закрываются только несущие реальную угрозу, остальные оставляют на потом", — рассказывает эксперт.

По данным Positive Technologies, ежегодный объем бюджета некоторых банков на обеспечение информационной безопасности составляет 80–150 млн рублей, однако большинство кредитных организаций ограничиваются суммами 20–40 млн рублей.

Свобода выбора. Депутаты предлагают продавать электронику с установленным отечественным ПО

Свобода выбора. Депутаты предлагают продавать электронику с установленным отечественным ПО

320
Владислав Скобелев
Выделите фрагмент с текстом ошибки и нажмите Ctrl+Enter
Новости партнеров
Реклама