Правила пользования
Курс ЦБ на 29.03 USD 448.15 up -1.43
EUR 483.46 up -3.48
RUB 4.86 up 0
29 марта Пятница, 09:56
восход заход
05:04 21:50 01:58 12:30

«Исследование показало пробелы в киберзащите у российских банков»

Дата: 11.11.19 в 11:37
Мобильная версия Шрифт
Банки зачастую пользуются устаревшими протоколами для шифрования соединения.

Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности веб-ресурсов: нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. Такой вывод можно сделать из исследования Digital Security, пишут «Известия». Как рассказали газете в компании, пробелы в защите были обнаружены у всех банков.

Целью исследования стала оценка уровня безопасности публично доступных ресурсов, таких как официальный сайт и системы дистанционного обслуживания для физических и юридических лиц. Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к веб-ресурсам кредитных организаций доступные любому пользователю запросы.

«Аналогичное исследование мы уже проводили в 2015 году. Повторный анализ показал, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в ряде систем. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак», — пояснила «Известиям» старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.

Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков.

«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.

Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц.

В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.

Еще одна выявленная проблема — 76% банков указывают в HTTP-заголовке имя своего сервера, за счет чего злоумышленник может получить информацию о том, какое программное обеспечение использует веб-сервис. Это позволяет сократить время проведения атаки. Злоумышленник, зная версию ПО, может сразу начать искать данные по возможным уязвимостям. При этом, как утверждают авторы исследования, только 10% кредитных организаций используют механизм, который способен снизить риск атак, и лишь 3% настраивают его правильно.

Запрос с просьбой прокомментировать результаты исследования «Известия» отправили почти в 40 банков, из которых ответили только Райффайзенбанк и ВТБ. Суть ответов сводится к тому, что обе организации используют надежные способы шифрования соединений и выполняют все требования ЦБ. Правда, в Райффайзенбанке уточнили, что если речь идет не о карточных данных, то используются и ранние версии протоколов, но это обусловлено тем, что часть клиентов с устаревшим ПО работают только с ними.

Оценить:
Просмотров: 403


Комментариев: 0
О компании О проекте Источники новостей Предложить ленту Реклама на сайте Реклама в газете Контакты Наши партнеры
Портал ivest.kz - база частных объявлений газеты «Информ Вест», справочник предприятий городов Казахстана и России, новости, недвижимость, электронные версии ряда изданий, сборник кулинарных рецептов. Все замечания и предложения принимаются на info@ivest.kz.
Использование данного веб-портала подразумевает ваше согласие с Правилами пользования.
© 2000-2024 «Информ Вест»
Top.Mail.Ru
×