Банковские системы уязвимы со всех сторон
В каждом третьем онлайн-банке есть уязвимости, которые могут быть использованы для хищения средств, а в каждом третьем мобильном банке можно перехватить данные доступа. Нет надежды и на автоматизированные банковские системы (АБС) — две трети уязвимостей, выявленных в АБС, критически опасны. В банках призывают не паниковать — не каждая уязвимость оборачивается хищением. Впрочем, статистика ЦБ, отражающая рост хищений средств клиентов банков, показывает, что мошенники эффективно используют любые лазейки.
Рост уязвимости банковских систем (мобильных банков, онлайн-приложений и АБС) фиксирует в обнародованном вчера исследовании компания Positive Technologies (специализируется на противодействии киберугрозам). Согласно ему, в 2016 году на 8% выросло количество критически опасных уязвимостей финансовых приложений, и на 18% — уязвимостей среднего уровня опасности. Наиболее распространенными являются уязвимости, связанные с недостаточностью механизмов идентификации, аутентификации и авторизации. Согласно прогнозам экспертов Positive Technologies, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере.
Самыми уязвимыми оказались, как ни странно, автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании.
Такие финансовые приложения, как мобильный банк и онлайн-банк, имеют сопоставимый уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег.
Главная проблема — отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничение попыток ввода пароля или ограничение времени жизни пароля). «В отдельных банках СМС-подтверждение есть лишь при входе в онлайн-банк, трансакции же идут без подтверждения,— отмечает аналитик Positive Technologies Ольга Зиненко.— В ряде случаев в качестве логина для входа в онлайн-банк использовался номер телефона клиента банка, а его дата рождения являлась паролем, чем также могли бы воспользоваться злоумышленники». В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе.
Эльвира Набиуллина, председатель Банка России, 28 мартаМы заинтересованы в том, чтобы возможный взрывной рост технологий не обернулся нарастанием киберугроз и кибермошенничества
Эксперты отмечают, что исследование отражает в целом ситуацию с уязвимостью банковских систем, хотя и не является бесспорным. «Нет оснований не доверять Positive Technologies, но необходимо понимать: поиск уязвимостей — это вечная тема, одни выявляются, но создаются новые,— отмечает заместитель руководителя Zecurion (специализируется на информационной безопасности) Александр Ковалев.— Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать».
В кредитных организациях призывают не паниковать. «Тот факт, что Positive Technologies выявила уязвимости, не говорит о том, что ими легко воспользоваться — в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Если клиент банка соблюдает элементарные правила безопасности — не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу, он достаточно защищен». Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента, добавляет Александр Ковалев.
Пока эксперты предлагают клиентам рассчитывать на везение и на то, что лично их хакеры не тронут, ЦБ фиксирует рост хищений со счетов клиентов. Так, по данным регулятора, всего в 2016 году было совершено почти 240 тыс. хищений средств через системы онлайн-банка и мобильного банка на сумму более 700 млн руб. При этом особенно показателен конец года. Так в четвертом квартале 2016 года зафиксировано 73 тыс. хищений на 206,9 млн руб. против 43 тыс. инцидентов на 139,9 млн руб. за аналогичный период прошлого года.
Вероника Горячева
Банковские системы уязвимы со всех сторон В каждом третьем онлайн-банке есть уязвимости, которые могут быть использованы для хищения средств, а в каждом третьем мобильном банке можно перехватить данные доступа. Нет надежды и на автоматизированные банковские системы (АБС) — две трети уязвимостей, выявленных в АБС, критически опасны. В банках призывают не паниковать — не каждая уязвимость оборачивается хищением. Впрочем, статистика ЦБ, отражающая рост хищений средств клиентов банков, показывает, что мошенники эффективно используют любые лазейки. Рост уязвимости банковских систем (мобильных банков, онлайн-приложений и АБС) фиксирует в обнародованном вчера исследовании компания Positive Technologies (специализируется на противодействии киберугрозам). Согласно ему, в 2016 году на 8% выросло количество критически опасных уязвимостей финансовых приложений, и на 18% — уязвимостей среднего уровня опасности. Наиболее распространенными являются уязвимости, связанные с недостаточностью механизмов идентификации, аутентификации и авторизации. Согласно прогнозам экспертов Positive Technologies, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере. Самыми уязвимыми оказались, как ни странно, автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании. Такие финансовые приложения, как мобильный банк и онлайн-банк, имеют сопоставимый уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег. Главная проблема — отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничение попыток ввода пароля или ограничение времени жизни пароля). «В отдельных банках СМС-подтверждение есть лишь при входе в онлайн-банк, трансакции же идут без подтверждения,— отмечает аналитик Positive Technologies Ольга Зиненко.— В ряде случаев в качестве логина для входа в онлайн-банк использовался номер телефона клиента банка, а его дата рождения являлась паролем, чем также могли бы воспользоваться злоумышленники». В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе. Эльвира Набиуллина, председатель Банка России, 28 мартаМы заинтересованы в том, чтобы возможный взрывной рост технологий не обернулся нарастанием киберугроз и кибермошенничества Эксперты отмечают, что исследование отражает в целом ситуацию с уязвимостью банковских систем, хотя и не является бесспорным. «Нет оснований не доверять Positive Technologies, но необходимо понимать: поиск уязвимостей — это вечная тема, одни выявляются, но создаются новые,— отмечает заместитель руководителя Zecurion (специализируется на информационной безопасности) Александр Ковалев.— Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать». В кредитных организациях призывают не паниковать. «Тот факт, что Positive Technologies выявила уязвимости, не говорит о том, что ими легко воспользоваться — в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Если клиент банка соблюдает элементарные правила безопасности — не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу, он достаточно защищен». Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента, добавляет Александр Ковалев. Пока эксперты предлагают клиентам рассчитывать на везение и на то, что лично их хакеры не тронут, ЦБ фиксирует рост хищений со счетов клиентов. Так, по данным регулятора, всего в 2016 году было совершено почти 240 тыс. хищений средств через системы онлайн-банка и мобильного банка на сумму более 700 млн руб. При этом особенно показателен конец года. Так в четвертом квартале 2016 года зафиксировано 73 тыс. хищений на 206,9 млн руб. против 43 тыс. инцидентов на 139,9 млн руб. за аналогичный период прошлого года. Вероника Горячева