«Делойт» при поддержке Агентства РК по регулированию и развитию финансового рынка провело интересное исследование.
Эксперты проверили защищенность клиентов 24 казахстанских банков второго уровня от кражи данных, передает Деловой Казахстан.
Исследование проводилось отдельно по нескольким направлениям, среди которых: доступность сайтов, репутация домена, заголовки HTTP, защита трафика, утечки адресов электронной почты, открытые порты, киберсквоттинг, выполнение требований по защите персональных данных, безопасность почтового сервера и мобильного банкинга.
Мы выявили достаточно серьезные недостатки в системах безопасности ряда банков. Многие БВУ пренебрегают базовыми рекомендациями по обеспечению безопасности при настройке своих веб-серверов, а недостаточная осведомленность сотрудников банков в вопросах цифровой безопасности фактически может поставить под угрозу данные как самого банка, так и его клиентов- К тому же многие из этих проблем давние и хорошо известные. Собственно, данным обзором мы хотели обратить внимание профессионального и банковского сообщества на слабость сложившейся в банках парадигмы управления кибербезопасностью. Ведь в данной области нет «маленьких» или «неважных» уязвимостей. Любая из них в итоге может стать причиной утечки конфиденциальных данных или прямого хищения средств, - заявил директор департамента управления рисками компании «Делойт» Владимир Ремыга.
Отчет о киберрисков включает в себя 10 пунктов, по которым эксперты провели испытания. Например, с целью изучения банковских мобильных приложений эксперты сосредоточили усилия на анализе операционной системы Android, поскольку доля пользователей этой платформы, как правило, более существенная. В выборку вошли 19 банков, у которых публично доступно соответствующее мобильное приложение. В ходе тестирования специалисты по кибербезопасности проанализировали применение механизмов SSL Pinning ; раскрытие конфиденциальной информации в автоматически генерируемых скриншотах и проверили защитные механизмы безопасности.
Результаты нашего анализа указывают, что чуть больше четверти (26%) казахстанских банков не применяют SSL pinning, остальные 74% используют этот механизм для защиты передаваемых данных в своих мобильных приложениях. Кроме того, 84% банковских приложений не скрывают конфиденциальную информацию на автоматически генерируемых снимках экрана, и только в 16% случаев используются механизмы защиты. В рамках данного исследования мы проанализировали мобильные приложения банков на предмет наличия защитных механизмов. Полученные результаты свидетельствуют о том, что в 63% рассматриваемых приложений не реализованы упомянутые выше защитные механизмы, тогда как в остальных 37% приложений такие механизмы защиты применяются. Современные мобильных платформы (Android и iOS) имеют богатый набор встроенных механизмов защиты. Однако очень часто разработчики, стремясь выпустить новый релиз или дополнительный функционал как можно скорее, допускают непростительные ошибки с точки зрения защиты приложения и обрабатываемых в нем данных. Это приводит к возникновению уязвимостей, которыми непременно воспользуются киберпреступники, - отмечается в отчете.
По другим показателям авторы исследования также указывают на наличие уязвимостей.
Мы проанализировали данные, полученные по каждому направлению. Все наши наблюдения включены в отчет и сопровождаются кратким описанием и объяснением связанных с ними киберрисков. По каждому направлению представлены соответствующие заключения, в которых содержатся рекомендации по минимизации выявленных рисков, - подчеркнул представитель компании «Делойт».
Детальная информация с результатами исследования была предоставлена Агентству Республики Казахстан по регулированию и развитию финансового рынка. К моменту публикации нашего отчета, Агентством проведена соответствующая работа с банками по устранению выявленных недостатков
С полным отчетом можно ознакомиться по этой ссылке.
Подготовил Альберт Ахметов