Исследовательский центр компании Digital Security опубликовал отчет о результатах исследований защищенности банк-клиентов ведущих российских производителей за период с 2009 по 2011 год. Основной вывод из трехлетнего исследования подавляющего большинства имеющихся на российском рынке систем ДБО заключается в том, что, несмотря на чрезвычайную критичность программного обеспечения данного класса, общий уровень защищенности систем ДБО, по оценкам исследователей, находится на крайне низком уровне. Банк-клиенты содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы.

Так, в совокупности с отсутствием защитных механизмов и наличием уже далеко не новых уязвимостей, в системах ДБО актуальны атаки, приводящие к подделке злоумышленником платежных поручений с корректной ЭЦП пользователя. Атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор пинкодов с вредоносного сайта и подпись любых данных.

«Опыт нашей работы показал печальный факт: критичность ПО не влияет на уровень его защищенности. Разработчики уделяют внимание безопасности кода, только когда их продукт начинают массово взламывать. Пример такого отношения — то, что сейчас происходит с ПО АСУ ТП. Точно такая же ситуация — и с банковским ПО», — отметил руководитель департамента аудита ИБ Digital Security Алексей Синцов.

«Аудит защищенности банк-клиентов является одной из наших основных специализаций. Поэтому дежавю — вот первое, что приходит нам в голову для наиболее точной характеристики результатов проведенного исследования. Мы как будто перенеслись на 10—15 лет назад в «славные» 90-е годы, когда о безопасности бизнес-приложений, к которым относятся системы ДБО, не задумывался практически никто. Разработчики систем ДБО по-прежнему допускают те же ошибки, не заметив, что мир безопасности, как и мир киберпреступности, за последнее десятилетие сделал огромный шаг вперед», — сказал директор Digital Security Илья Медведовский.

С результатами исследования можно ознакомиться по следующей ссылке.

telegram-icon
Подписывайтесь на Телеграм бот Банки.ру!
@banki_ru_bot
Подписаться
Источник: Banki.ru