Интернет-системы больших российских банков содержат уязвимости

Системы дистанционного банковского обслуживания (интернет-банкинг), которыми пользуются российские банки, не удовлетворяют требованиям интернационального эталона сохранности платежных карт PCI DSS. При этом половина таковых систем содержит критические уязвимости. О этом говорится в отчете российской компании Positive Technologies, исследовавшей уязвимости веб-приложений по итогам 2013 г. В исследовании участвовало восемь веб-сайтов российских банков, входящих в двадцатку больших, которые аналитики именовать отказались. Аналитики Positive Technologies уточняют, что для оценки был избран эталон PCI DSS, так как он аккумулирует фаворитные практики по защите инфы, содержит развернутые технические требования к сохранности веб-приложений и обширно применяется в банковской сфере.

Замдиректора Positive Techno-logies Сергей Гордейчик приводит данные компании FICO. Она посчитала, что вред от онлайн-мошенничества, связанного с уязвимостями банковских систем, в России в прошедшем году составил 1,6 миллиардов руб. Потому, говорится в отчете компании, в 2013 г. спрос на анализ защищенности приложений вырос. Но сохранность интернет-систем зависит не только лишь от самого банка, считает управляющий направления отдела банковских систем компании «Информзащита» Алексей Бабенко. Часто банки являются заложниками уже используемого программного обеспечения постороннего вендора, заключает он.

Компания Digital Security (DS) занимается анализом защищенности информационных систем. Наиболее чем в 95% вариантах при обнаружении уязвимости ей удавалось провести успешную атаку, которая привела бы к краже денег, ведает гендиректор DS Илья Медведовский. Он считает, что наружные компании, которым банки заказывают разработку товаров, не заинтересованы в их сохранности, потому что финальная ответственность лежит на банке.

Системы интернет-банкинга ничем не различаются по защищенности от онлайн-продуктов в остальных отраслях, считает старший менеджер KPMG по управлению рисками кибербезопасности Евгений Климов. Потому что эти системы управляют финансовыми потоками, их просто анализируют намного почаще и тщательнее, чем другие, сиим и разъясняется большее количество отысканных уязвимостей, уверен он.

В 2012 г. Альфа-банк обновил систему интернет-банкинга для физических лиц, при разработке которой проводил испытания на проникновение, ведает начальник управления бизнес-поддержки и внедрения электронных товаров Альфа-банка Андрей Ильиных. Все отысканные замечания, которые были обнаружены во время тестирования, были устранены в кратчайшие сроки, говорит он. На данный момент Альфа-банк часто проводит проверки для увеличения сохранности, одна из которых планируется в последнее время. Интернет-система «ВТБ 24» соответствует требованиям PCI DSS, убеждает управляющий группы развития мобильного банка и партнерских отношений «ВТБ 24» Денис Збрицкий. «ВТБ 24» также часто проводит мероприятия по выявлению и устранению уязвимостей в собственных системах, добавил он. Представители Сбербанка, Райффайзенбанка, «Русского стандарта» на запрос «Ведомостей» не ответили.

Активность Центробанка по регулированию банковской сохранности обязана провоцировать развитие безопасного интернет-банкинга, считает Бабенко. Он припоминает, что в летнюю пору 2014 г. регулятор выпустил советы в области стандартизации по обеспечению информационной сохранности на стадиях жизненного цикла автоматизированных банковских систем. Медведовский надеется, что эти требования к сохранности банковских платежных приложений сумеют в корне поменять ситуацию на рынке.