Брешь в защите
Большинство банков в России не могут похвалиться даже выполнением базовых требований, которые предъявляются к настройкам безопасности веб-ресурсов кредитных организаций.
В настоящее время их защита находится на таком уровне, что преступники могут вполне результативно проводить атаки, получая доступ к личной клиентской информации. К такому выводу специалисты компании DigitalSecurity, пишут «Известия».
Они проанализировали уровень безопасности открытых источников, таких как официальный портал и сервис дистанционного обслуживания для физлиц и юрлиц. Исследованием были охвачены 200 ведущих финучреждений страны. Для выявления уязвимостей, эксперты отправляли запросы к веб-ресурсам кредитных из разряда тех, что может сделать каждый пользователь.
По словам старшего аналитика отдела аудита защищенности DigitalSecurity Любови Антоновой, такое же исследование компания проводила четыре года назад. И тогда, и сейчас можно констатировать, что проблемы с безопасностью все так же актуальны, и уязвимости, о которых было известно, так никуда и не делись. Все это оставляет хакерам широкое поле для зловредной деятельности, отметила специалист. При этом она добавила, что наличие небезопасных настроек веб-ресурсов еще больше упрощает киберпреступникам реализацию их планов.
Если у хакера получается взломать банковскую систему безопасности, он может получить в свое распоряжение персональные данные клиентов, которые, в свою очередь, рискуют стать целью для мошенников, пояснила Любовь Антонова.
Летом в ходе Международного финансового конгресса представители ЦБ РФ заявили, что финучреждения по-прежнему остаются самым пристальным объектом внимания у кибервзломщиков. Именно через банки утекает 25% информации конфиденциального характера.
Самой уязвимой, как следует из отчета исследователей, оказалась программа «по прозвищу Зверь», то есть BEAST. Ее слабину показали 79% изученных аналитиками российских банков. Кстати, исследование захватило и два десятка зарубежных кредитных организаций. Так вот там этот показатель даже хуже: в Японии он составил 90%, в КНР – 84% и в Бразилии — 82%.
Ответственность за шифрование соединения лежит на протоколах, которые на сегодняшний день чаще всего используются для обеспечения защиты. Для того, чтобы у пользователя была возможность посещения нужного сайта без перехода на мошеннический ресурс, сервер должен иметь цифровой сертификат, который подтвердит подлинность домена и собственника портала, указано в отчете Digital Security.
Но есть проблема – банки нередко используют устаревшие протоколы. Как выяснилось, лишь в 6% финучреждениях применяют последнюю версию протокола для официального сайта и ДБО юридических лиц, еще 5% используют ее для ДБО физлиц. В Китае, к примеру, данный показатель находится на уровне 63% и 44% соответственно.
Исследователи обнаружили и около 3% доменов, о которых забыли. Это страницы, что выполняют роль тестовых при проверке работоспособности ресурса и ее отладке. Девелоперы зачастую беспечно относятся к их безопасности, бывает, что и оставляют в публичном доступе по завершении работ. При этом с помощью таких уязвимых страниц хакеры могут подобраться к рабочим ресурсам компании и негативно повлиять на их функционирование, отмечают эксперты.
Была выявлена и другая проблема — 76% банков прописывают в HTTP-заголовке название собственного сервера, так у злоумышленника появляется возможность доступа к информации о том, какое ПО используется веб-сервисом, что позволяет взломщику провести атаку в более короткий срок. Данные о версии ПО подсказывают киберпреступнику, где он может поискать сведения о возможных уязвимостях. При этом авторы исследования утверждают, что всего 10% банков пользуются механизмом, способным понизить риск атак, и только 3% проводят его корректную настройку.
И тут у России тоже далеко не пальма первенства. В тех же Японии, КНР и Бразилии этот показатель составляет 100%, Великобритания имеет показатель в 95%, Ирландия — в 92%, Испании — в 90%, Италия — в 87%, Канада и Франция — в 80%, Португалия — в 79%.
«Известия» направили запросы почти в 40 кредитных организаций с просьбой дать комментарий по результатам исследования. Ответы пришли лишь из Райффайзенбанка и ВТБ. Их суть заключается в том, что обе структуры пользуются надежными способами шифрования соединений и следуют всем требованиям ЦБ. При этом в Райффайзенбанке отметили, что могут применяться и более ранние версии протоколов, если дело касается не карточных данных. Однако, это обуславливается тем, что у части клиентов с устаревшим ПО есть возможность работать только с ними.