Самыми уязвимыми оказались автоматизированные банковские системы. Хотя они обычно считаются недоступными для внешних злоумышленников, две трети уязвимостей, выявленных в АБС, оказались критически опасными, включая такие, которые позволяют получить доступ к серверу, отмечается в исследовании.
Такие финансовые приложения, как мобильный банк и онлайн-банк, показали более низкий уровень уязвимости. Так, в 36% онлайн-банков исследование выявило слабые места, которые могли создать условия для хищения денег. Главная проблема - отсутствие или существенные недостатки двухфакторной аутентификации (генерация одноразового пароля на стороне клиента, ограничение попыток ввода пароля или ограничение времени жизни пароля).
В случае с мобильными банками критически опасные уязвимости были выявлены в 32% систем. Основные проблемы в них связаны с хранением и передачей информации, что несет риск перехвата или подбора мошенниками данных для доступа. При этом больше рисков на стороне банков: серверные части мобильных банков защищены хуже клиентских, уязвимости высокой степени были найдены в каждой серверной системе.
По прогнозам экспертов Positive Technologies, в 2017 году нас ждет на 30% больше инцидентов с нарушениями информационной безопасности в финансовой сфере.
Эксперты признают, что исследование в целом отражает ситуацию с уязвимостью банковских систем, хотя и не является бесспорным.
"Нет оснований не доверять Positive Technologies, но необходимо понимать: поиск уязвимостей - это вечная тема, одни выявляются, но создаются новые, - отмечает заместитель руководителя компании Zecurion (также специализируется на информбезопасности) Александр Ковалев. - Не все уязвимости критичны и опасны, часть их находится в столь неудобных для хакеров местах, что мошенникам просто неинтересно их использовать".
Банки в связи с этим призывают не паниковать. "Тот факт, что Positive Technologies выявила уязвимости, не говорит о том, что ими легко воспользоваться - в противном случае хакеры давно уже вывели бы средства клиентов из уязвимых банков, - пояснил изданию начальник управления информационной безопасности "ОТП-банка" Сергей Чернокозинский. - Если клиент банка соблюдает элементарные правила безопасности - не ходит по сомнительным сайтам, не устанавливает неясные программы на телефон и имеет хорошую антивирусную программу - он достаточно защищен". Уязвимости в мобильном банке или же онлайн-банке далеко не всегда ведут к хищению средств конкретного клиента, добавляет Александр Ковалев.