Интернет-системы крупных российских банков содержат уязвимости

Системы дистанционного банковского обслуживания (интернет-банкинг), которыми пользуются российские банки, не удовлетворяют требованиям международного стандарта безопасности платежных карт PCI DSS. Причем половина таких систем содержит критические уязвимости. Об этом говорится в отчете российской компании Positive Technologies, исследовавшей уязвимости веб-приложений по итогам 2013 г. В исследовании участвовало восемь сайтов российских банков, входящих в двадцатку крупнейших, которые аналитики называть отказались. Аналитики Positive Technologies уточняют, что для оценки был выбран стандарт PCI DSS, поскольку он аккумулирует лучшие практики по защите информации, содержит развернутые технические требования к безопасности веб-приложений и широко применяется в банковской сфере.

Замдиректора Positive Techno-logies Сергей Гордейчик приводит данные компании FICO. Она посчитала, что ущерб от онлайн-мошенничества, связанного с уязвимостями банковских систем, в России в прошлом году составил 1,6 млрд руб. Поэтому, говорится в отчете компании, в 2013 г. спрос на анализ защищенности приложений вырос. Но безопасность интернет-систем зависит не только от самого банка, считает руководитель направления отдела банковских систем компании «Информзащита» Алексей Бабенко. Зачастую банки являются заложниками уже используемого программного обеспечения стороннего вендора, заключает он.

В 2012 г. Альфа-банк обновил систему интернет-банкинга для физических лиц, при разработке которой проводил тесты на проникновение, рассказывает начальник управления бизнес-поддержки и внедрения электронных продуктов Альфа-банка Андрей Ильиных. Все найденные замечания, которые были обнаружены во время тестирования, были устранены в кратчайшие сроки, говорит он. Сейчас Альфа-банк регулярно проводит проверки для повышения безопасности, одна из которых планируется в ближайшее время. Интернет-система «ВТБ 24» соответствует требованиям PCI DSS, уверяет руководитель группы развития мобильного банка и партнерских отношений «ВТБ 24» Денис Збрицкий. «ВТБ 24» также регулярно проводит мероприятия по выявлению и устранению уязвимостей в своих системах, добавил он. Представители Сбербанка, Райффайзенбанка, «Русского стандарта» на запрос «Ведомостей» не ответили.

Компания Digital Security (DS) занимается анализом защищенности информационных систем. Более чем в 95% случаях при обнаружении уязвимости ей удавалось провести успешную атаку, которая привела бы к краже денежных средств, рассказывает гендиректор DS Илья Медведовский. Он считает, что внешние компании, которым банки заказывают разработку продуктов, не заинтересованы в их безопасности, так как финальная ответственность лежит на банке.

Системы интернет-банкинга ничем не отличаются по защищенности от онлайн-продуктов в других отраслях, считает старший менеджер KPMG по управлению рисками кибербезопасности Евгений Климов. Так как эти системы управляют финансовыми потоками, их просто анализируют намного чаще и тщательнее, чем остальные, этим и объясняется большее количество найденных уязвимостей, уверен он.

Активность Центробанка по регулированию банковской безопасности должна стимулировать развитие безопасного интернет-банкинга, считает Бабенко. Он напоминает, что летом 2014 г. регулятор выпустил рекомендации в области стандартизации по обеспечению информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем. Медведовский надеется, что эти требования к безопасности банковских платежных приложений смогут в корне изменить ситуацию на рынке.