Нур-Султан

+11

Алматы

+10

SSE 3609.86

FTSE 100 7228.07

Dow Jones 35677.03

KASE 3 736,59

Brent 86.4

WTI 85.21

Золото 24 566.17

PTC 1 910.66

USD 426.32

RUB 6.04

EUR 496.24

CNY 66.74

Мобильные приложения большинства банков Казахстана не безопасны - исследование

7 сентября, 17:5511692

«Делойт» при поддержке Агентства РК по регулированию и развитию финансового рынка провело интересное исследование.

Эксперты проверили защищенность клиентов 24 казахстанских банков второго уровня от кражи данных, передает Деловой Казахстан.

Исследование проводилось отдельно по нескольким направлениям, среди которых: доступность сайтов, репутация домена, заголовки HTTP, защита трафика, утечки адресов электронной почты, открытые порты, киберсквоттинг, выполнение требований по защите персональных данных, безопасность почтового сервера и мобильного банкинга.

Мы выявили достаточно серьезные недостатки в системах безопасности ряда банков. Многие БВУ пренебрегают базовыми рекомендациями по обеспечению безопасности при настройке своих веб-серверов, а недостаточная осведомленность сотрудников банков в вопросах цифровой безопасности фактически может поставить под угрозу данные как самого банка, так и его клиентов- К тому же многие из этих проблем давние и хорошо известные. Собственно, данным обзором мы хотели обратить внимание профессионального и банковского сообщества на слабость сложившейся в банках парадигмы управления кибербезопасностью. Ведь в данной области нет «маленьких» или «неважных» уязвимостей. Любая из них в итоге может стать причиной утечки конфиденциальных данных или прямого хищения средств, - заявил директор департамента управления рисками компании «Делойт» Владимир Ремыга. 

Отчет о киберрисков включает в себя 10 пунктов, по которым эксперты провели испытания. Например, с целью изучения банковских мобильных приложений эксперты сосредоточили усилия на анализе операционной системы Android, поскольку доля пользователей этой платформы, как правило, более существенная. В выборку вошли 19 банков, у которых публично доступно соответствующее мобильное приложение. В ходе тестирования специалисты по кибербезопасности проанализировали применение механизмов SSL Pinning ; раскрытие конфиденциальной информации в автоматически генерируемых скриншотах и проверили защитные механизмы безопасности.

Результаты нашего анализа указывают, что чуть больше четверти (26%) казахстанских банков не применяют SSL pinning, остальные 74% используют этот механизм для защиты передаваемых данных в своих мобильных приложениях. Кроме того, 84% банковских приложений не скрывают конфиденциальную информацию на автоматически генерируемых снимках экрана, и только в 16% случаев используются механизмы защиты. В рамках данного исследования мы проанализировали мобильные приложения банков на предмет наличия защитных механизмов. Полученные результаты свидетельствуют о том, что в 63% рассматриваемых приложений не реализованы упомянутые выше защитные механизмы, тогда как в остальных 37% приложений такие механизмы защиты применяются. Современные мобильных платформы (Android и iOS) имеют богатый набор встроенных механизмов защиты. Однако очень часто разработчики, стремясь выпустить новый релиз или дополнительный функционал как можно скорее, допускают непростительные ошибки с точки зрения защиты приложения и обрабатываемых в нем данных. Это приводит к возникновению уязвимостей, которыми непременно воспользуются киберпреступники, - отмечается в отчете.

По другим показателям авторы исследования также указывают на наличие уязвимостей.

Мы проанализировали данные, полученные по каждому направлению. Все наши наблюдения включены в отчет и сопровождаются кратким описанием и объяснением связанных с ними киберрисков. По каждому направлению представлены соответствующие заключения, в которых содержатся рекомендации по минимизации выявленных рисков, - подчеркнул представитель компании «Делойт».

Детальная информация с результатами исследования была предоставлена Агентству Республики Казахстан по регулированию и развитию финансового рынка. К моменту публикации нашего отчета, Агентством проведена соответствующая работа с банками по устранению выявленных недостатков

С полным отчетом можно ознакомиться по этой ссылке.

 

Подготовил Альберт Ахметов

2006 - 2021 © Ваша почта. 16+