Уровень веб–защиты большинства российских кредитных организаций не соответствует базовым требованиям.
Компания Digital Security проверила надежность сайтов 200 российских банков и выявила в большинстве из них уязвимости, помогающие хакерам получить доступ к персональным данным. В 76% случаев сайты генерируют компрометирующие HTTP–заголовки. Обычно с их помощью браузер клиента обменивается с сервером служебной информацией, но в 59% случаев в них встречается имя и версия сервера, а также информация о ПО. В результате злоумышленник может не перебирать методы атаки, а сразу использовать подходящие.
У 34% банков обнаружены проблемы с настройкой защитных SSL–сертификатов. Около 79% банковских сайтов уязвимы для программы Beast (позволяет перехватить и расшифровать данные с сервера). Ни один из опрошенных на эту тему банков не смог оперативно ответить на запрос "ДП".
По словам исследователей, речь идет о достаточно базовых настройках безопасности, на которые кредитные организации не всегда обращают внимание. При этом с 2015–го, когда проводилось первое такое исследование, методология не изменилась. То есть времени на диагностику и ликвидацию обнаруженных уязвимостей у банков было достаточно.
"Внедрение некоторых настроек неизбежно приведет к необходимости повторно тестировать системы, так как может перестать работать какая–нибудь функция сайта, что способно нанести ущерб бизнесу", — объясняет ситуацию старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.
"Если безопасность не закладывается при проектировании веб–приложения или не является главным приоритетом, на каждой последующей стадии жизненного цикла будет сложнее и дороже диагностировать и исправлять уязвимости", — говорит аналитик инфобезопасности Positive Technologies Екатерина Килюшева.
Вице–президент ГК InfoWatch Рустэм Хайретдинов подчеркивает, что исследование не говорит о безопасности сайтов, "оно лишь констатирует наличие уязвимостей и других обстоятельств, облегчающих атаку".
По его словам, если об уязвимости узнали аналитики, значит, о них знают и банки. "Конечно, стандарты требуют закрывать все найденные уязвимости, но в первую очередь закрываются только несущие реальную угрозу, остальные оставляют на потом", — рассказывает эксперт.
По данным Positive Technologies, ежегодный объем бюджета некоторых банков на обеспечение информационной безопасности составляет 80–150 млн рублей, однако большинство кредитных организаций ограничиваются суммами 20–40 млн рублей.