Главная Написать письмо Twitter Facebook RSS Новости

Слабая защита интернет-банкинга: насколько прав Центробанк?


23 апреля Центральный банк РФ принял решение обязать банки ужесточить борьбу с киберпреступлениями. Среди причин называются увеличение числа кибератак на системы финансовых организаций и рост финансовых потерь клиентов из-за хакерских программ.

В письме первого зампреда Центробанка Алексея Симановского, выдержки из которого опубликованы на сайте «Известий», отмечается, что банки должны разработать внутренние регламенты борьбы с хакерскими атаками. Результаты мониторинга кибербезопасности кредитной организации рекомендовано оценивать не реже чем раз в квартал.

Исследования, проводимые компанией Positive Technologies, давно свидетельствуют о необходимости подобных мер. Важнейшие IT-системы крупных корпораций, в том числе банков, по-прежнему имеют низкий уровень защищенности. К примеру, для преодоления периметра корпоративной сети в среднем требуется использовать всего три уязвимости, которые несложно выявить на интернет-системах крупнейших компаний. Эксплуатация ошибок разработки и управления уязвимостями более чем в 80% случаев позволяет продемонстрировать получение несанкционированного доступа к ресурсам корпоративной сети.

Внутреннему нарушителю для доступа к критическим ресурсам организации потребуется 7 шагов. На публичных ресурсах, доступных из интернета, в 79% систем использовались словарные пароли, которые легко подобрать. Такие пароли используются как на уровне веб-приложений, так и для доступа к различному сетевому оборудованию и серверам. Обо всем этом свидетельствуют результаты работ по тестированию на проникновение, проведенных специалистами Positive Technologies в 2011 и 2012 годах для крупнейших государственных и коммерческих организаций (в том числе, входящих в рейтинг 400 крупнейших компаний по версии агентства «Эксперт»).

37% систем ДБО не защищены от фрода

Проводя в 2011 и 2012 годах масштабное исследование систем дистанционного банковского обслуживания, эксперты Positive Technologies обнаружили, что 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. Кроме того, в каждой третьей системе возможно было получение доступа к ОС или СУБД сервера, в ряде случаев — полного контроля над ними. Каждая из рассмотренных систем содержит уязвимости среднего уровня риска.

В половине систем ДБО есть критические уязвимости

В 2013 году ситуация существенно не изменилась. Каждая вторая система дистанционного банковского обслуживания, попавшая в отчет «Статистика уязвимостей веб-приложений (2013 г.)», (он будет представлен 21 и 22 мая на международном форуме по практической безопасности Positive Hack Days IV), содержала уязвимости высоко уровня риска. Наиболее распространенными проблемами систем ДБО в 2013 году оказались уязвимости «Межсайтовое выполнение сценариев» и «Идентификация приложений», каждая из которых встречается в 75% рассмотренных систем.

Помимо того, требованиям стандарта PCI DSS, который аккумулирует лучшие практики по защите информации, полностью не соответствовала ни одна из исследованных систем ДБО.

«Информационные системы банков защищены относительно неплохо — но только если сравнивать их с системами в других отраслях. В целом же средний уровень защиты корпоративный сетей все еще достаточно низок. Однако и финансовые риски, и количество атак, и мотивация злоумышленников в случае с атаками на банки гораздо выше, и это заставляет Центробанк реагировать, — отмечает заместитель генерального директора Positive Technologies Сергей Гордейчик. — Могу только приветствовать внедрение обязательных широкомасштабных мероприятий по предотвращению киберпреступлений — если, конечно, этот процесс не выльется в подмену реальной защищенности формальными документами».

Раздел: Информационная безопасность
Дата: 24-04-2014




Имя:

Комментарий:


Код подтверждения:
№8 - 2013


В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
Календарь
01.01.1970



Copyright © 2000-2017 "Центр Компьютерного моделирования "Перспектива" Тел: +7 (926) 011-67-54 E-mail: info@csc.ru
Новости | Интервью | Пресс-релизы | События

Все поля необходимы для заполнения.






Введите e-mail указанный при регистрации.



Для того чтобы иметь доступ к полному тексту статьи необходимо быть зарегистрированным пользователем и авторизоваться.
Для того чтобы иметь возможность просматривать журнал необходимо быть зарегистрированным пользователем и авторизоваться.

Макеты принимаются на компакт-дисках CD-R ,CD-RW, DVD-R, DVD-RW, устройствах, поддерживающих USB. Файлы также могут быть отправлены с помощью электронной почты.

Редакция журнала "Безопасность: информационное обозрение" серьезно относится к художественному оформлению журнала. В случае, если рекламные макеты вызывают замечания с художественной точки зрения, редакцией журнала может быть предложена разработка нового оригинал-макета.

Требования к форматам файлов

Макеты в прочих форматах обсуждаются индивидуально.

Не принимаются оригинал-макеты в форматах Microsoft Word, Excel, Power Point.

Требования к элементам макета издания

Все элементы, печатаемые в край полосы (под обрез) должны иметь "вылет" за край обрезного формата (доливку под обрез) - 5 мм.

Требования к содержанию рекламных материалов:

• Рекламные материалы должны соответствовать требованиям действующего законодательства РФ.
• Реклама должна соответствовать содержанию той страницы сайта, на которую ведет рекламная ссылка, быть достоверной, не вводить потребителя в заблуждение.

Требования к сайту рекламодателя:

• На странице сайта рекламодателя, на которую ведет рекламная ссылка, не должны открываться дополнительные окна (PopUp или PopUnder).
• Страница, на которую ведет рекламная ссылка, должна корректно открываться в браузере и не содержать ошибок скриптов и программ.
• Если страница сайта, на которую ведет рекламная ссылка, при размещении или в ходе рекламной кампании не отвечает или открывается некорректно, размещение будет приостановлено до исправления ошибки.

Иные требования:

• Администрация Securityinfowatch.ru оставляет за собой право отклонить любой рекламный материал без объяснения причин.

Поддерживаемые форматы баннеров

Поддерживаемые форматы JPG, PNG.

Размеры размещаемых баннеров в пикселях 990x90, 728x90, 245x245, 245x50.

Допустимый размер баннера в килобайтах определяется его размером в пикселях:

Рекламный баннер должен иметь видимые границы, т.е. быть обведенным в рамку, не совпадающую с цветом фона (по умолчанию белым).

При необходимости наши специалисты изготовят необходимый Вам баннер. Условия изготовления и расценки обсуждаются индивидуально и зависят от уровня сложности работ.