28 августа 2014
Интернет-системы крупных российских банков содержат уязвимости
Системы дистанционного банковского обслуживания (интернет-банкинг), которыми пользуются российские банки, не удовлетворяют требованиям международного стандарта безопасности платежных карт PCI DSS. Причем половина таких систем содержит критические уязвимости. Об этом говорится в отчете российской компании Positive Technologies, исследовавшей уязвимости веб-приложений по итогам 2013 г. В исследовании участвовало восемь сайтов российских банков, входящих в двадцатку крупнейших, которые аналитики называть отказались. Аналитики Positive Technologies уточняют, что для оценки был выбран стандарт PCI DSS, поскольку он аккумулирует лучшие практики по защите информации, содержит развернутые технические требования к безопасности веб-приложений и широко применяется в банковской сфере.
Замдиректора Positive Techno-logies Сергей Гордейчик приводит данные компании FICO. Она посчитала, что ущерб от онлайн-мошенничества, связанного с уязвимостями банковских систем, в России в прошлом году составил 1,6 млрд руб. Поэтому, говорится в отчете компании, в 2013 г. спрос на анализ защищенности приложений вырос. Но безопасность интернет-систем зависит не только от самого банка, считает руководитель направления отдела банковских систем компании «Информзащита» Алексей Бабенко. Зачастую банки являются заложниками уже используемого программного обеспечения стороннего вендора, заключает он.
Компания Digital Security (DS) занимается анализом защищенности информационных систем. Более чем в 95% случаях при обнаружении уязвимости ей удавалось провести успешную атаку, которая привела бы к краже денежных средств, рассказывает гендиректор DS Илья Медведовский. Он считает, что внешние компании, которым банки заказывают разработку продуктов, не заинтересованы в их безопасности, так как финальная ответственность лежит на банке.
Системы интернет-банкинга ничем не отличаются по защищенности от онлайн-продуктов в других отраслях, считает старший менеджер KPMG по управлению рисками кибербезопасности Евгений Климов. Так как эти системы управляют финансовыми потоками, их просто анализируют намного чаще и тщательнее, чем остальные, этим и объясняется большее количество найденных уязвимостей, уверен он.
В 2012 г. Альфа-банк обновил систему интернет-банкинга для физических лиц, при разработке которой проводил тесты на проникновение, рассказывает начальник управления бизнес-поддержки и внедрения электронных продуктов Альфа-банка Андрей Ильиных. Все найденные замечания, которые были обнаружены во время тестирования, были устранены в кратчайшие сроки, говорит он. Сейчас Альфа-банк регулярно проводит проверки для повышения безопасности, одна из которых планируется в ближайшее время. Интернет-система «ВТБ 24» соответствует требованиям PCI DSS, уверяет руководитель группы развития мобильного банка и партнерских отношений «ВТБ 24» Денис Збрицкий. «ВТБ 24» также регулярно проводит мероприятия по выявлению и устранению уязвимостей в своих системах, добавил он. Представители , Райффайзенбанка, «Русского стандарта» на запрос «Ведомостей» не ответили.
Активность Центробанка по регулированию банковской безопасности должна стимулировать развитие безопасного интернет-банкинга, считает Бабенко. Он напоминает, что летом 2014 г. регулятор выпустил рекомендации в области стандартизации по обеспечению информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем. Медведовский надеется, что эти требования к безопасности банковских платежных приложений смогут в корне изменить ситуацию на рынке.