Казахстанские банки улучшили киберзащиту
Как отмечено в публикации LS, согласно новому "Обзору кибербезопасности банков Казахстана" Deloitte, казахстанские банки достигли прогресса в обеспечении защищенности своих интернет-ресурсов.
"Другой позитивный момент, на который мы хотим обратить внимание, – это общий уровень безопасности казахстанских банков по сравнению с банками Азербайджана и Узбекистана. В семи областях анализа из 10 банки РК показали лучший или сопоставимый (±2%) результат. На основании этого можно с уверенностью заявить, что Казахстан в данном вопросе является если не лидером, то однозначным фаворитом", – пояснили в аудиторской компании.
В том числе по доступности сайта у банков в Казахстане показатель равен 71% (в Узбекистане – 67%, Азербайджане – 57%), по безопасности HTTP – 60% (53% и 50% соответственно). В то же время выполнение требований по защите персональных данных у фининститутов РК пока хромает – 55% (83% и 58% соответственно).
Фото: Deloitte
"Часть банков недооценивает сопряженные риски и не всегда следует базовым рекомендациям по обеспечению безопасности при настройке своих онлайн-сервисов. В частности, не все банки уделяют достаточно внимания обеспечению безопасности своих мобильных приложений. Как следствие, совокупная доля потенциально уязвимых к угрозам безопасности мобильных приложений увеличилась по сравнению с прошлым годом. Учитывая данный факт, считаем, что именно безопасность банковских клиентов на мобильных устройствах будет являться одним из ключевых вызовов в обозримой перспективе для банковского сектора в Казахстане", – пояснили в Deloitte.
В обзоре отмечается, что часть выявленных недостатков может показаться незначительной. Но в области кибербезопасности нет "несущественных" уязвимостей. Любая из них может привести к выявлению более серьезной проблемы и стать в итоге причиной утечки конфиденциальных данных или привести к прямому хищению средств со счетов клиентов.
В том числе по части доступности сайтов большинство казахстанских банков соответствуют требованиям безопасности. Наибольшее влияние на снижение результата доступности оказал параметр времени отклика сервера.
Репутация 98% доменов тестируемых банков хорошая. Они не использовались для рассылки спама, распространения вирусов и другой подозрительной активности.
Обобщенный результат по HTTP казахстанских банков показал, что в целом в 60% активно используется безопасная конфигурация. Тем не менее для 40% случаев все же рекомендуется воспользоваться советами по их использованию.
В сфере защиты трафика для большинства сайтов банков Казахстана конфигурация SSL/TLS настроена на должном уровне с показателем в 92%. Тем не менее некоторые банки по-прежнему поддерживают устаревшие версии протоколов, что делает их уязвимыми к потенциальным атакам.
В области безопасности почтового сервера наблюдается существенное улучшение показателей по сравнению с прошлогодними результатами. Тем не менее некоторые банки не приняли должные меры по защите.
Также только в 50% случаев банки Казахстана не допустили ни одной утечки. В 25% – до 10 новых утечек, в 25% – до 50 новых утечек.
В компании рекомендовали разработать и поддерживать в актуальном состоянии программу обучения сотрудников в вопросах кибербезопасности.
Только 55% банков соответствуют требованиям по защите персональных данных. Аналитики отмечают, что выполнение данных требований может стать решающим фактором для потенциальных клиентов (особенно, если они из Евросоюза), которые ищут поставщика финансовых услуг в Казахстане.
В сфере мобильного банкинга только 45% приложений названы безопасными.
"Говорить о безопасности приложения для конечного пользователя можно только в том случае, если ответственные разработчики следуют всем рекомендациям безопасной разработки и реализуют все необходимые меры защиты без исключений. Результаты настоящего исследования показали, что общий уровень защищенности приложений для банков Казахстана немного выше по сравнению с аналогичным показателем для банков Азербайджана и существенно выше показателя для Узбекистана", – пояснили в Deloitte.
В свою очередь, согласно "Оценке защищенности веб-сайтов и мобильных приложений коммерческих банков" KPMG, по итогам 2021 года в Топ-5 банков Казахстана попали First Heartland Jusan Bank (83,86%), Altyn Bank (82,29%), Bank RBK (79%), Zaman Bank (78,75%), Bank CenterCredit (78,71%). Средняя оценка Казахстана равна 62,64%. Лидером по уровню защиты назван Jusan Bank.
Фото:KPMG
В документе отмечается, что четыре из 12 банков реализовали SSL-pinning в мобильных приложениях, только один банк реализовал дополнительные меры по безопасности приложений.
Тем временем, согласно результатам анализа защищенности веб-ресурсов банков Казахстана за 2021 год, сделанного Центром анализа и расследования кибератак, в прошедшем году все банки страны улучшили показатели уровня защищенности официального сайта на около 19,6%. В Топ-10 по уровню защищенности вошли Alfa Bank (85%), Bank RBK (83%), Citi Bank (81%), Halyk Bank (81 балл), Freedom Finance Вank (80%), Jusan Вank (79%), Kaspi Вank (78%), Отбасы банк (77%), BCC Bank (75%), KZI Bank (75%).
Средний показатель защищенности их веб-ресурсов составил 70%.
В том числе в категории Software composition по подверженности главной страницы сайта атакам из списка 10 наиболее опасных уязвимостей пять банков показали наилучший результат, среди них Bank RBK, Jusan Bank, Альфа Банк, Citi Вank, Сбер (сейчас Береке).
Лучшие в защите трафика Bank RBK, Jusan Bank, Альфа Банк, Citi Bank, Сбер (сейчас Береке).
Лучшая защита почтовой рассылки у Kaspi Bank, Alfa Bank, Freedom Finance Bank, Jusan Bank, Citi Bank.
В ЦАРКА отметили, что у казахстанских банков растет уровень информационной безопасности. Однако у некоторых из них выявлены серьезные уязвимости, которые нужно исправить в короткие сроки. Среди наиболее распространенных проблем – отсутствие контактов отдела информационной безопасности в случае выявления нарушений в работе сайта. Также часто отсутствует шифрование трафика и принудительного использования безопасной версии подключения. Тем не менее анализ не выявил ресурсов, которые бы представляли опасность для пользователей при их посещении.
"Уязвимости, обнаруженные за время функционирования площадки BugBounty.kz, определили подверженность веб-ресурсов банков раскрытию конфиденциальных данных, что в свою очередь может привести к раскрытию различных типов данных, таких как номера банковских счетов, номера кредитных карт, токены сеанса, домашний адрес, номера телефонов, даты рождения и информация об учетных записях клиентов, такие как имена пользователей и пароли. Это напрямую может привести к репутационным и денежным рискам банка и его клиентской базы", – заключили в ЦАРКА.