Интернет-системы многих российских банков содержат критические уязвимости
Системы дистанционного банковского обслуживания (интернет-банкинг), которыми пользуются российские банки, не удовлетворяют требованиям международного стандарта безопасности платежных карт PCI DSS. Причем половина таких систем содержит критические уязвимости. Об этом говорится в отчете российской компании Positive Technologies, исследовавшей уязвимости веб-приложений по итогам 2013 года, сообщила газета “Ведомости”.
В исследовании участвовало восемь сайтов российских банков, входящих в двадцатку крупнейших, которые аналитики называть отказались. В Positive Technologies уточняют, что для оценки был выбран стандарт PCI DSS, поскольку он аккумулирует лучшие практики по защите информации, содержит развернутые технические требования к безопасности веб-приложений и широко применяется в банковской сфере.
Замдиректора Positive Techno-logies Сергей Гордейчик приводит данные компании FICO. Она посчитала, что ущерб от онлайн-мошенничества, связанного с уязвимостями банковских систем, в России в прошлом году составил 1,6 млрд руб. Поэтому, говорится в отчете компании, в 2013 году спрос на анализ защищенности приложений вырос. Но безопасность интернет-систем зависит не только от самого банка, считает руководитель направления отдела банковских систем компании «Информзащита» Алексей Бабенко. Зачастую банки являются заложниками уже используемого программного обеспечения стороннего вендора, заключает он.
Компания Digital Security (DS) занимается анализом защищенности информационных систем. Более чем в 95% случаях при обнаружении уязвимости ей удавалось провести успешную атаку, которая привела бы к краже денежных средств, рассказывает гендиректор DS Илья Медведовский. Он считает, что внешние компании, которым банки заказывают разработку продуктов, не заинтересованы в их безопасности, так как финальная ответственность лежит на банке.