Серьёзные проблемы в системах безопасности ряда банков выявлены в Казахстане, передает LS.
Согласно анализу* компании "Делойт" в Казахстане совместно с АРРФР, не все банки страны уделяют внимание кибербезопасности.
В том числе в вопросе защиты мобильных приложений 26% отечественных фининститутов не применяют SSL-pinnig (обеспечивает безопасность соединения, – прим. LS), 74% используют этот механизм.
В компании отметили, что ряд вредоносных программ могут собирать скриношты фоновых приложений и передать злоумышленнику.
Вместе с тем 84% банковских приложений не скрывают конфиденциальную информацию на автоматически генерируемых снимках экрана, только 16% имеют механизмы защиты.
"Учитывая тот факт, что банковские приложения предназначены для обработки конфиденциальной финансовой информации, разработчикам рекомендуется позаботиться о сохранности как содержащейся в них информации, так и о безопасности самих приложений. Этого можно добиться за счёт применения полного перечня защитных механизмов, направленных на снижение рисков реализации злонамеренных действий на мобильном устройстве", – отметили в компании.
В случае обнаружения нарушений приложение не должно запускаться либо его функционал должен быть существенно ограничен.
Однако из анализа "Делойт" следует, что в 63% приложений не реализованы такие защитные механизмы. Хотя современные мобильные платформы (Android и iOS) имеют богатый набор встроенных механизмов защиты, очень часто разработчики, стремясь выпустить новый релиз или дополнительный функционал как можно скорее, допускают ошибки с точки зрения защиты приложения и обрабатываемых в нём данных. Это приводит к возникновению уязвимостей, которыми непременно воспользуются киберпреступники.
"Результаты нашего поверхностного исследования мобильных приложений казахстанских банков указывают на то, что вопросам защиты и безопасности уделяется недостаточно внимания. Такое положение дел может впоследствии открыть прямой путь к организации целенаправленных кибератак как на отдельных клиентов, так и на банки в целом", – пояснили в "Делойт" в Казахстане.
Вместе с тем 65% веб-сайтов казахстанских банков не соответствуют требованиям Общего положения о защите персональных данных Евросоюза (GDPR). Это является препятствием для привлечения потенциальных клиентов из Союза.
В исследовании уточняется, что в части доступности сайтов только 9% банков получили оценку "хорошо" от Google PageSpeed. В 73% случаев сайты нуждаются в улучшении, а 18% плохие. Обнадеживает то, что в Казахстане практически отсутствуют домены со слабой или отрицательной репутацией. Это означает, что домены не использовались для рассылки спама, распространения вирусов или осуществления другой подозрительной деятельности либо, по крайней мере, они не попали в центр внимания на глобальном уровне и, следовательно, не подвергались оценке.
Однако большинство казахстанских банков рассматривают заголовки HTTP как незначительный фактор. Это означает, что связанные с ними риски безопасности не компенсируются.
Помимо этого, 50% сайтов по-прежнему поддерживают уязвимые версии TLS**.
"Внедрение протокола TLS имеет жизненно важное значение для обеспечения безопасности банков и их клиентов в интернетпространстве. Однако неправильно настроенные веб-серверы могут подвергать данные угрозе вместо того, чтобы защищать их. Наш анализ показал, что на сайтах большинства казахстанских банков настройки SSL/TLS выполнены должным образом. Тем не менее некоторые банки по-прежнему поддерживают устаревшие версии протоколов, что делает их уязвимыми к потенциальным атакам", – уточнили в компании.
В вопросе фишинга 36% банков не продемонстрировали новых утечек, 27% имели – до 5% новых утечек данных в почтовой рассылке, 27% – до 50% утечек, 9% – до 100% новых утечек.
"Мы выявили достаточно серьёзные недостатки в системах безопасности ряда банков. Многие пренебрегают базовыми рекомендациями по обеспечению безопасности при настройке своих веб-серверов, а недостаточная осведомленность сотрудников в вопросах цифровой безопасности фактически может поставить под угрозу данные как самого банка, так и его клиентов. К тому же многие из этих проблем давние и хорошо известные. В данной области нет "маленьких" или "неважных" уязвимостей. Любая из них в итоге может стать причиной утечки конфиденциальных данных или прямого хищения средств. Мы предоставили детальную информацию в АРРФР. Оно в свою очередь провело с банками работу по устранению выявленных недостатков", – отметил директор департамента управления рисками "Делойт" Владимир Ремыга.
*Было проанализировано 24 казахстанских банка.
*Протокол Transport Layer Security (TLS) предоставляет зашифрованную связь для обеспечения безопасности и конфиденциальности информации. Версия TLS 1.0 применяется с 1999 года и является эволюцией старого протокола шифрования SSL. Существует также более современный протокол TLS 1.2, который появился в августе 2008 года, и самый последний TLS 1.3, вышедший в августе 2018 года.