В 2016 году на 8% выросло количество критически опасных уязвимостей и на 18% - уязвимостей среднего уровня опасности банковских систем (мобильных банков, онлайн-приложений и систем автоматизированного банкинга). Самыми распространенными являются уязвимости, связанные с недостатками процедур идентификации, аутентификации и авторизации, пишет газета "Коммерсант" со ссылкой на данные исследования компании Positive Technologies, которая специализируется на противодействии киберугрозам.
Самыми уязвимыми оказались автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании.
Такие финансовые приложения, как мобильный банк и онлайн-банк, показали более низкий уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег.Главная проблема - отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничение попыток ввода пароля или ограничение времени жизни пароля).
В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе.
По прогнозам экспертов Positive Technologies, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере.
Эксперты признают, что исследование в целом отражает ситуацию с уязвимостью банковских систем, хотя и не является бесспорным.
"Нет оснований не доверять Positive Technologies, но необходимо понимать: поиск уязвимостей - это вечная тема, одни выявляются, но создаются новые, - отмечает заместитель руководителя компании Zecurion (также специализируется на информбезопасности) Александр Ковалев. - Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать".
Банки в связи с этим призывают не паниковать. "Тот факт, что Positive Technologies выявила уязвимости, не говорит о том, что ими легко воспользоваться - в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков, - пояснил изданию начальник управления информационной безопасности "ОТП-банка" Сергей Чернокозинский. - Если клиент банка соблюдает элементарные правила безопасности - не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу - он достаточно защищен". Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента, добавляет Александр Ковалев.