Только 3% банков получили высшую оценку по обеспечению безопасности своих сайтов и реализации SSL-шифрования.
Подавляющее большинство крупных финансовых организаций из рейтинга S&P Global уязвимы к хакерским атакам. К такому выводу пришли специалисты ImmuniWeb по итогам исследования, в ходе которого были изучены 100 сайтов крупных банков, 2336 поддоменов, 102 приложения интернет-банкинга, 55 мобильных банковских приложений и 298 API мобильных банковских приложений.
Эксперты проводили анализ по ряду критериев, включая меры по обеспечению безопасности, соответствие требованиям Общего регламента по защите данных ЕС (GDPR), соответствие стандартам (PCI DSS), использование устаревшего и уязвимого программного обеспечения, реализацию шифрования SSL/TLS и пр.
В результате только три банка из ста получили высшую оценку по обеспечению безопасности своих сайтов и реализации SSL-шифрования. На сайтах 31% банков были обнаружены уязвимости или некорректная конфигурация, а 5% сайтов содержали эксплуатируемые известные уязвимости, а на 13% ресурсов отсутствовало шифрование или имелись эксплуатируемые уязвимости. При этом только на 4% сайтов не было обнаружено никаких проблем.
По данным специалистов, 40% приложений для интернет-банкинга подвержены уязвимостям или содержат проблемы, связанные с некорректной конфигурацией, 7% содержали известные уязвимости, а в 2% приложений отсутствовало шифрование. Безопасными оказались только 15% приложений.
Что касается соответствия стандартам PCI DSS, хорошие результаты показали 62% сайтов и 58% приложений интернет-банкинга, а 38% сайтов и 49% приложений не прошли проверку. В категории соответствия нормам GDPR ситуация значительно хуже – требования регламента соблюдают только 39% сайтов и 17% приложений интернет-банкинга.
Кроме этого исследование показало, что 29% сайтов содержат по меньшей мере одну известную и неисправленную уязвимость средней или высокой степени опасности. В числе наиболее распространенных уязвимостей оказались XSS-уязвимости, а также проблемы, связанные с риском раскрытия данных и некорректными настройками.
55% изученных мобильных банковских приложений содержали уязвимости, раскрывающие конфиденциальные банковские данные, 100% решений – как минимум одну незначительную уязвимость, 92% - по меньшей мере одну уязвимость средней опасности, а 20% приложений были подвержены хотя бы одной серьезной уязвимости.
(1).jpg)