Исследование Positive Technologies показало, что только треть систем ДБО не имеет критических брешей.
Компания Positive Technologies подготовила отчет за 2017 год, посвященный анализу безопасности систем дистанционного банковского обслуживания (ДБО). В исследовании рассмотрены уязвимости онлайн-сервисов и мобильных приложений для iOS и Android. Помимо актуальных угроз в отчете представлена динамика состояния защиты онлайн-банков за последние несколько лет. Полный текст документа можно запросить на сайте Positive Technologies (требуется авторизация).
Несмотря на существование множества рисков, эксперты отметили наличие позитивного тренда: если в 2015 году Positive Technologies обнаружила критические уязвимости в 90% ДБО, то в 2016 году этот показатель снизился до 71%, а в 2017 — до 56%. Аналитик компании Ольга Зиненко прокомментировала ситуацию так: «2017 год подарил надежду, что финансовые приложения когда-нибудь станут безопасными».
Оптимизм экспертов подтверждает рост числа безопасных банковских программ: в 2016 году исследователям удалось обнаружить всего один онлайн-сервис, избавленный от серьезных рисков, а в 2017 критических угроз не нашли уже в трети проанализированных приложений. Однако разработчикам есть над чем работать: 44% уязвимостей позволяют скомпрометировать банковские данные клиентов, а 13% — выполнить производный код на сервере ДБО. Кроме того, за счет появления множества второстепенных брешей их общее количество по сравнению с 2016 годом не изменилось.
В 2017 году 94% онлайн-банков не могли гарантировать безопасность личных данных клиентов, 75% были уязвимы для межсайтового выполнения сценариев и 69% недостаточно защищены от возможного перехвата конфиденциальной информации. Более 60% дистанционных сервисов позволяют проникшему в систему взломщику получать несоответствующие статусу пользователя права (т. н. недостаточная авторизация).
Как следует из отчета Positive Technologies, мобильные приложения защищены лучше браузерных интерфейсов, причем программы для iOS содержат в два раза меньше рисков, чем для Android (25% против 56%). Самой распространенной проблемой банковских приложений для смартфонов стала слабая аутентификация. Уязвимости позволяли перехватить, расшифровать или подобрать данные для входа в систему.
Исследование показало, что в области дистанционного обслуживания большинство банков (68%) по-прежнему использует самостоятельно разработанные решения. Оставшаяся часть приложений построена на готовых платформах. Однако баланс заметно изменился в сфере защиты: в 2017 году «коробочные» ДБО стали в два раза безопаснее, в то время как собственные разработки банков остались на прежнем уровне. Эксперты связывают это с нехваткой квалифицированных IT-специалистов.
Банкам рекомендуется внимательнее следить за составлением ТЗ для программистов, проектированием структуры приложения и другими ранними этапами разработки. Анализировать код необходимо и при конструировании ДБО на базе готовых платформ, поскольку уязвимости часто возникают в процессе настройки и внедрения.