ноября
Подавляющее большинство российских банков не соответствуют даже базовым требованиям к настройке безопасности веб-ресурсов: нынешний уровень их защиты позволяет преступникам рассчитывать на результативные атаки и доступ к персональным данным клиентов. Такой вывод можно сделать из исследования Digital Security, пишут «Известия». Как рассказали газете в компании, пробелы в защите были обнаружены у всех банков.
Целью исследования стала оценка уровня безопасности публично доступных ресурсов, таких как официальный сайт и системы дистанционного обслуживания для физических и юридических лиц. Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к веб-ресурсам кредитных организаций доступные любому пользователю запросы.
«Аналогичное исследование мы уже проводили в 2015 году. Повторный анализ показал, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в ряде систем. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак», — пояснила «Известиям» старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.
Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков.
«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.
Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц.
В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.
Еще одна выявленная проблема — 76% банков указывают в HTTP-заголовке имя своего сервера, за счет чего злоумышленник может получить информацию о том, какое программное обеспечение использует веб-сервис. Это позволяет сократить время проведения атаки. Злоумышленник, зная версию ПО, может сразу начать искать данные по возможным уязвимостям. При этом, как утверждают авторы исследования, только 10% кредитных организаций используют механизм, который способен снизить риск атак, и лишь 3% настраивают его правильно.
Запрос с просьбой прокомментировать результаты исследования «Известия» отправили почти в 40 банков, из которых ответили только Райффайзенбанк и ВТБ. Суть ответов сводится к тому, что обе организации используют надежные способы шифрования соединений и выполняют все требования ЦБ. Правда, в Райффайзенбанке уточнили, что если речь идет не о карточных данных, то используются и ранние версии протоколов, но это обусловлено тем, что часть клиентов с устаревшим ПО работают только с ними.