Банковские системы уязвимы со всех сторон

6 июля. FINMARKET.RU - Уязвимость банковских систем (мобильных банков, онлайн-приложений и АБС) растет. Об этом свидетельствуют данные исследования компания Positive Technologies (специализируется на противодействии киберугрозам), пишет "Коммерсант". Согласно исследованию, в 2016 году на 8% выросло количество критически опасных уязвимостей финансовых приложений, и на 18% - уязвимостей среднего уровня опасности. Наиболее распространенными являются уязвимости, связанные с недостаточностью механизмов идентификации, аутентификации и авторизации. Согласно прогнозам экспертов Positive Technologies, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере.

Самыми уязвимыми оказались автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании.

Такие финансовые приложения, как мобильный банк и онлайн-банк, имеют сопоставимый уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег.

Главная проблема - отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничение попыток ввода пароля или ограничение времени жизни пароля).

В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе.

Эксперты отмечают, что исследование отражает в целом ситуацию с уязвимостью банковских систем, хотя и не является бесспорным. "Нет оснований не доверять Positive Technologies, но необходимо понимать: поиск уязвимостей - это вечная тема, одни выявляются, но создаются новые,- отмечает заместитель руководителя Zecurion (специализируется на информбезопасности) Александр Ковалев.- Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать".

В кредитных организациях призывают не паниковать. "Тот факт, что Positive Technologies выявила уязвимости, не говорит о том, что ими легко воспользоваться - в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков, - отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский. - Если клиент банка соблюдает элементарные правила безопасности - не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу, он достаточно защищен". Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента, добавляет А.Ковалев.