Безопасность не авторизуется

Безопасность онлайн-банкинга и мобильных банков постепенно растет — за три года доля таких сервисов, содержащих критически опасные уязвимости, снизилась с 90% до 56%, отмечают эксперты Positive Technologies. Главной проблемой для онлайн-банков с точки зрения безопасности остается незащищенность процесса авторизации, во время которого злоумышленники могут получить доступ к персональным данным клиента.

Доля систем дистанционного банковского обслуживания (ДБО), содержащих опасные уязвимые места, постоянно снижается, свидетельствуют данные исследования Positive Technologies (есть у “Ъ”). Так, в 2015 году 90% онлайн- и мобильных банков содержали критически опасные уязвимости, в 2016 году их количество сократилось до 71%, а по итогам 2017-го — до 56%. Именно критически опасная уязвимость ведет в итоге к хищению средств клиентов банка.

Positive Technologies — российская компания, работающая в области комплексной защиты крупных информационных систем от киберугроз. Создана в 2002 году. Имеет лицензии Министерства обороны и ФСТЭК на деятельность в области создания средств защиты информации.

Мобильные приложения банков под Android стали более защищенными: тут критические уязвимости были выявлены в 56% случаев, тогда как год назад — в 75%. Мобильные приложения для iOS остаются более безопасными: здесь уязвимости были выявлены в каждой четвертом мобильном банке, в 2016 году — в каждом третьем. При этом, по оценке Positive Technologies, 8% приложений содержали приемлемый уровень защищенности.

Год назад уязвимости были выявлены во всех онлайн-банках, в 2017 году в 31% случаев уязвимостей вообще не было. В тех же банках, где были выявлены уязвимости, доля критических составила 32%.

«В этом году финансовые приложения, построенные на готовых вендорских решениях, содержали меньше критически опасных уязвимостей, чем те, что банки разработали самостоятельно. Это говорит о том, что банкам по-прежнему не хватает в штате опытных разработчиков и грамотно выстроенного процесса безопасной разработки»,— считает старший эксперт отдела безопасности банковских систем Positive Technologies Ярослав Бабин. В банках соглашаются с этим наблюдением. «Например, по тому же онлайн-банкингу для юрлиц специализируются несколько крупных компаний, которые обслуживают много банков и знают априори проблемы информационной безопасности,— рассуждает глава управления информбезопасности ОТП-банка Сергей Чернокозинский.— Если же банк начинает разработку с нуля, то он не обладает подобным опытом и может столкнуться с теми проблемами, которые внешние специалисты решили много лет назад».

При этом, отмечают в Positive Technologies, есть уязвимости, которые сохраняются в ДБО из года в год. «Главной угрозой остается доступ к сведениям, составляющим банковскую тайну клиентов, и личной информации,— отмечает Ярослав Бабин.— В данном случае мы говорим о наличии так называемых проблем авторизации, которые встретились более чем у половины исследованных в этом году онлайн-банков». Чаще всего наличие такой уязвимости не означает, что злоумышленник без знания логина, пароля и кода подтверждения из SMS сможет получить полный доступ к конкретной учетной записи в онлайн-банке, но он сможет получить доступ к какой-то частной функции. Например, посмотреть остаток на счете. Результатом может стать компрометация личной информации пользователя, которая может быть использована для последующих атак, резюмировал он.

По мнению банковских специалистов, «проблема авторизации» решаема, но требует больших затрат. Подобные уязвимости возникают из-за ошибки кода, отмечает начальник управления информационной безопасности Златкомбанка Александр Виноградов. Чтобы их избежать, добавляет он, необходимы регулярные PIN-тесты (тесты на возможность проникновения), анализ кода, поиск возможных угроз, то есть «нужна работа, требующая вложения сил и средств».