Целью исследования стала оценка уровня безопасности публично доступных ресурсов, таких как официальный сайт и дистанционное обслуживание (ДБО) для физических и юридических лиц. Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к веб-ресурсам кредитных организаций доступные любому пользователю запросы.
— Аналогичное исследование мы уже проводили в 2015 году. Повторный анализ показал, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют в ряде систем. Это позволяет злоумышленникам рассчитывать на успешную реализацию атак, — пояснила «Известиям» старший аналитик отдела аудита защищенности Digital Security Любовь Антонова.
Небезопасные настройки веб-ресурсов значительно облегчают хакерам работу, уточнила она.
— Если они взламывают систему безопасности банка, то могут получить доступ к персональным данным клиентов, для которых возрастает риск стать жертвами мошенников, — рассказала Любовь Антонова.
По информации, которая была представлена Центробанком на летнем Международном финансовом конгрессе, кредитные организации остаются важнейшим объектом внимания киберпреступников. Именно через них происходит четверть утечек конфиденциальной информации.
Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков. Это, кстати, не самый высокий результат. Тестирование, которое затронуло также 20 крупных зарубежных банков, выявило, что в Японии, Китае и Бразилии этот показатель выше — 90%, 84% и 82% соответственно.
«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.
Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц. Для примера — в Китае этот показатель составляет 63% и 44% соответственно.
В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.
Еще одна выявленная проблема — 76% банков указывают в HTTP-заголовке имя своего сервера, за счет чего злоумышленник может получить информацию о том, какое программное обеспечение использует веб-сервис. Это позволяет сократить время проведения атаки. Злоумышленник, зная версию ПО, может сразу начать искать данные по возможным уязвимостям. При этом, утверждают авторы исследования, только 10% кредитных организаций используют механизм, который способен снизить риск атак, и лишь 3% настраивают его правильно.
И здесь Россия далеко не на первом месте — есть страны, где дела с этой проблемой еще хуже. Так, в Японии, Китае и Бразилии этот показатель достигает 100%, в Великобритании — 95%, в Ирландии — 92%, в Испании — 90%, в Италии — 87%, в Канаде и Франции — 80%, а в Португалии — 79%.
Запрос с просьбой прокомментировать результаты исследования «Известия» отправили почти в 40 банков, из которых ответили только Райффайзенбанк и ВТБ. Суть ответов сводится к тому, что обе организации используют надежные способы шифрования соединений и выполняют все требования ЦБ. Правда, в Райффайзенбанке уточнили, что если речь идет не о карточных данных, то используются и ранние версии протоколов, но это обусловлено тем, что часть клиентов с устаревшим ПО работают только с ними.
— Банки умеют расставлять приоритеты по информбезопасности и в первую очередь обычно занимаются тем, что ЦБ будет проверять в ходе надзорной деятельности. Если финансовые организации не страдают от какой-либо уязвимости, то они поставят ее на последнее место в списке своих задач, — считает эксперт по информационной безопасности Cisco Алексей Лукацкий.
По его словам, исследователи часто изучают малоиспользуемые на практике или устаревшие атаки, а мошенники сегодня проявляют гибкость и у них есть более простые способы похитить деньги у банков или их клиентов.
— Если одну уязвимость закрыли, они находят новые способы. Например, привлекают сотрудников банков, активнее задействуют фишинговые схемы и т.д, — уточнил он.
Ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов обратил внимание на то, что сейчас специалисты наблюдают аналогичные атаки и на мобильные приложения, где под удар ставятся данные, передаваемые с телефона в банк.
На прошлой неделе глава Центробанка Эльвира Набиуллина, выступая в Совете Федерации, декларировала ужесточение контроля над деятельностью банков в плане обеспечения информбезопасности. По ее словам, с начала года регулятор завершил 109 проверок финансовых организаций на предмет киберустойчивости, в ходе которых было выявлено более 730 нарушений и практически 80% из них так или иначе связаны с недостаточной защитой информации внутри банка.
— Банки сами должны усиливать защиту. Мы хотим, чтобы они понимали, что киберустойчивость — это не просто поставить на компьютер антивирусную программу. Нужно вписать требования киберустойчивости ко всем бизнес-процессам. Именно это критически важно для следующего динамичного развития технологий, — подчеркнула председатель Центробанка.
Пресс-служба ЦБ не ответила на вопрос «Известий», будут ли применяться к банкам дополнительные методы стимулирования или речь шла о мерах, которые заложены в стратегии по кибербезопасности 2019–2020 годов, опубликованной в сентябре. Как рассказал на недавнем банковском форуме в Сочи первый замглавы департамента информационной безопасности ЦБ Артем Сычев, все банки будут поделены на четыре группы по уровню надежности, и вошедшие в самую слабую будут вынуждены создавать дополнительные резервы. А это будет не только давить на капитал таких кредитных организаций, но и означать повышение взноса в систему страхования вкладов.
Подобный подход позволит положить конец практике, когда средства на информбезопасность выделяются по остаточному принципу, поскольку от ее обеспечения в итоге будет зависеть и сумма, которая будет изыматься для покрытия рисков, полагает Алексей Лукацкий.
Анна Каледина, Вадим Арапов