В казахстанских банках нашли проблемы с кибербезопасностью

Серьёзные проблемы в системах безопасности ряда банков выявлены в Казахстане, передает LS.

Согласно анализу* компании "Делойт" в Казахстане совместно с АРРФР, не все банки страны уделяют внимание кибербезопасности.

В том числе в вопросе защиты мобильных приложений 26% отечественных фининститутов не применяют SSL-pinnig (обеспечивает безопасность соединения, – прим. LS), 74% используют этот механизм.

В компании отметили, что ряд вредоносных программ могут собирать скриношты фоновых приложений и передать злоумышленнику.

Вместе с тем 84% банковских приложений не скрывают конфиденциальную информацию на автоматически генерируемых снимках экрана, только 16% имеют механизмы защиты.

"Учитывая тот факт, что банковские приложения предназначены для обработки конфиденциальной финансовой информации, разработчикам рекомендуется позаботиться о сохранности как содержащейся в них информации, так и о безопасности самих приложений. Этого можно добиться за счёт применения полного перечня защитных механизмов, направленных на снижение рисков реализации злонамеренных действий на мобильном устройстве", – отметили в компании.

В случае обнаружения нарушений приложение не должно запускаться либо его функционал должен быть существенно ограничен.

Однако из анализа "Делойт" следует, что в 63% приложений не реализованы такие защитные механизмы. Хотя современные мобильные платформы (Android и iOS) имеют богатый набор встроенных механизмов защиты, очень часто разработчики, стремясь выпустить новый релиз или дополнительный функционал как можно скорее, допускают ошибки с точки зрения защиты приложения и обрабатываемых в нём данных. Это приводит к возникновению уязвимостей, которыми непременно воспользуются киберпреступники.

"Результаты нашего поверхностного исследования мобильных приложений казахстанских банков указывают на то, что вопросам защиты и безопасности уделяется недостаточно внимания. Такое положение дел может впоследствии открыть прямой путь к организации целенаправленных кибератак как на отдельных клиентов, так и на банки в целом", – пояснили в "Делойт" в Казахстане.

Вместе с тем 65% веб-сайтов казахстанских банков не соответствуют требованиям Общего положения о защите персональных данных Евросоюза (GDPR). Это является препятствием для привлечения потенциальных клиентов из Союза.

В исследовании уточняется, что в части доступности сайтов только 9% банков получили оценку "хорошо" от Google PageSpeed. В 73% случаев сайты нуждаются в улучшении, а 18% плохие. Обнадеживает то, что в Казахстане практически отсутствуют домены со слабой или отрицательной репутацией. Это означает, что домены не использовались для рассылки спама, распространения вирусов или осуществления другой подозрительной деятельности либо, по крайней мере, они не попали в центр внимания на глобальном уровне и, следовательно, не подвергались оценке.

Однако большинство казахстанских банков рассматривают заголовки HTTP как незначительный фактор. Это означает, что связанные с ними риски безопасности не компенсируются.

Помимо этого, 50% сайтов по-прежнему поддерживают уязвимые версии TLS**.

"Внедрение протокола TLS имеет жизненно важное значение для обеспечения безопасности банков и их клиентов в интернетпространстве. Однако неправильно настроенные веб-серверы могут подвергать данные угрозе вместо того, чтобы защищать их. Наш анализ показал, что на сайтах большинства казахстанских банков настройки SSL/TLS выполнены должным образом. Тем не менее некоторые банки по-прежнему поддерживают устаревшие версии протоколов, что делает их уязвимыми к потенциальным атакам", – уточнили в компании.

В вопросе фишинга 36% банков не продемонстрировали новых утечек, 27% имели – до 5% новых утечек данных в почтовой рассылке, 27% – до 50% утечек, 9% – до 100% новых утечек.

"Мы выявили достаточно серьёзные недостатки в системах безопасности ряда банков. Многие пренебрегают базовыми рекомендациями по обеспечению безопасности при настройке своих веб-серверов, а недостаточная осведомленность сотрудников в вопросах цифровой безопасности фактически может поставить под угрозу данные как самого банка, так и его клиентов. К тому же многие из этих проблем давние и хорошо известные. В данной области нет "маленьких" или "неважных" уязвимостей. Любая из них в итоге может стать причиной утечки конфиденциальных данных или прямого хищения средств. Мы предоставили детальную информацию в АРРФР. Оно в свою очередь провело с банками работу по устранению выявленных недостатков", – отметил директор департамента управления рисками "Делойт" Владимир Ремыга.

*Было проанализировано 24 казахстанских банка.

*Протокол Transport Layer Security (TLS) предоставляет зашифрованную связь для обеспечения безопасности и конфиденциальности информации. Версия TLS 1.0 применяется с 1999 года и является эволюцией старого протокола шифрования SSL. Существует также более современный протокол TLS 1.2, который появился в августе 2008 года, и самый последний TLS 1.3, вышедший в августе 2018 года.

Похожее

ЗАЧЕМ МЫ ДЕЛАЕМ Эксперт KZ

Нам хочется жить в стране, где люди увлечены своим делом, ставят цели и добиваются их, мыслят творчески и видят стакан, который наполовину полон, а не наполовину пуст. Они получают удовольствие от жизни, но не проживают ее зря. Своей работой они меняют мир к лучшему и точно знают, что невозможное возможно. Мы хотим, чтобы русские стали самой активной, предприимчивой, довольной жизнью и успешной нацией в мире. Мы поддерживаем их на этом пути: вдохновляем удачными примерами, предостерегаем от ошибок, подсказываем новые дороги и помогаем брать следующую ступень в развитии.

КОМАНДА Эксперт KZ:



Руководитель:
Ералы Тугжанов


Редакционный коллектив.
Журналист: Талғат Ерғалиев
Журналист: Бақытжан Сағынтаев


Корреспондент: Баниямин Файзулин
Модератор: Талғат Ерғалиев
Корректор: Бақытжан Сағынтаев
Transportation oil скотный двор статистика Антикора хищения средств единый социальный фонд внебюджетная система утеря кормильца Арлан Торпедо лицензирование учебные заведения Пономарев Сергей видеокамера умелец сварщик эндаумент фонд ил озеро Карасу Сайран энергетика басқармасы вейп Белград единое время Министерство просвещение декларирование доходов товары из Китая Буденовское Ливневки врезались в столб общественные пространства скверы Итоговый турнир ATP Морские обитатели Қуанамын Огни Байтерека бонистика нумизматика данные МВД Голополосова день национальной валюты имидж обеспеченность детей казахстанские родители Перизат Кайрат поножовщина премьер-министр Греции Мемориальная Доска транспортное средство Ильхам Әлиев распродажи сталь департамент эффективности Правительство США наследний принц эмир Кувейта зимний период TSARKA уровень бюджета медикоменты

Эксперт KZ – независимое издание новостного формата об общественных тенденциях и политике

Мы фокусируемся на контексте актуальных событий и рассказываем об общественных вызовах, свободах и границах безопасности, о людях, которые отстаивают базовые права и меняют представление о том, как может быть устроен мир. Эксперт KZ основали в 2011  году в Москве  журналисты Катерина Сергацковская и Роман Степанкович. Изначально издание рассказывало на нарушениях прав человека в России и консервативных тенденциях в обществе. Сегодня Эксперт KZ больше известен глубокими репортажами, расследованиями, документальными видеопроектами, комиксами и концептуальным подходом к сторителлингу.

Дайджест новостей
On Top