По мнению экспертов Positive Technologies, впору говорить о постепенном росте уровня безопасности онлайн-банкинга и мобильных банков — за 3-летний период отмечено снижение доли сервисов с критически опасными уязвимостями с 90% до 56%. Главная проблема для онлайн-банков в плане безопасности заключается в незащищенности процесса авторизации, во время которого злоумышленники могут заполучить доступ к персональной информации клиента.
Positive Technologies является российской компанией, работающей в области комплексной защиты крупных информсистем от киберугроз. Компанию создали в 2002 году. Ей выдана лицензия Министерства обороны и ФСТЭК на работу в сфере создания средств информзащиты.
В последнее время повысилась защищенность мобильных банковских приложений под Android стали: тут на выявление критических уязвимостей приходится 56% случаев, а год назад их было 75%. Более высок уровень безопасности мобильных приложений для iOS: здесь уязвимости содержит каждый четвертый мобильный банк, в 2016 году был каждый третий. Но, как оценили в Positive Technologies, в 8% приложений содержалась приемлемая степень защищенности.
В прошлом году уязвимости содержали все онлайн-банки, но в 31% случаев уязвимости отсутствовали вообще. А там, где их выявили, на долю критических пришлось 32%.
По мнению старшего эксперта отдела безопасности банковских систем Positive Technologies Ярослава Бабина, в текущем году в финансовых приложениях, построенных на готовых вендорских решениях, содержалось меньше критически опасных уязвимостей, чем в приложениях, самостоятельно разработанных банками. Это только подтверждает нехватку в штатах банков опытных разработчиков, к тому же в банках не организован грамотно выстроенный процесс безопасной разработки. Представителя финорганизаций согласны с этим наблюдением. По словам главы управления информбезопасности ОТП-банка Сергея Чернокозинского, к примеру, по онлайн-банкингу для юрлиц специализируется ряд крупных компаний, обслуживающих множество банков и априори осведомленных о проблемах информбезопасности. И если банк приступает к разработке с нуля, то у него нет такого опыта, и велика вероятность, что он столкнется с проблемами, давно решенными внешними специалистами.
Причем, по словам специалистов Positive Technologies, существуют уязвимости, постоянно сохраняющиеся в ДБО. По словам Ярослава Бабина, главная угроза - это доступ к информации, являющейся банковской тайной клиентов, и личным данным. В нашем случае мы говорим о том, что есть так называемые проблемы авторизации, встретившиеся более чем в половине исследованных онлайн-банков. Как правило, то, что такая уязвимость есть, вовсе не означает, что злоумышленник, не располагая сведениями о логине, пароле и коде подтверждения из SMS получит полный доступ к какой-то отдельной учетной записи в онлайн-банке, но он сможет воспользоваться какой-то частной функцией. Например, просмотром остатка на счете. В итоге будет скомпрометирована личная информация пользователя, которую преступники могут взять на вооружение при последующих атаках.
Как уверены банковские специалисты, «проблему авторизации» можно решить, но на это нужны большие затраты. По словам начальника управления информбезопасности Златкомбанка Александра Виноградова, возникновение таких уязвимостей связано с ошибкой кода. Чтобы этого не было, необходимо подумать о проведении регулярных PIN-тестов (на возможность проникновения), проанализировать код, найти возможные угрозы, а это работа, которая требует серьезных инвестиций в виде силы и средств.
