Мария Андреева
© ComNews
06.07.2017

По данным экспертов Positive Technologies, в 2016 г. доля критически опасных уязвимостей финансовых приложений выросла на 8%, а доля уязвимостей среднего уровня риска - на 18%. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке. Эксперты считают, что основные проблемы, которые стоят перед работой финансовых приложений в России сегодня, это неготовность к современным вызовам в области информационной безопасности.

Как рассказала вчера корреспонденту ComNews аналитик Positive Technologies Ольга Зиненко, в рамках исследования эксперты компании рассмотрели более 20 систем, в число которых вошли мобильные банки. "Банков было больше всего, так как отдельно анализировались приложения под операционные системы iOS и Android, онлайн-банки и автоматизированные банковские системы - АБС", - уточнила Ольга Зиненко. Данный аналитический отчет основан на статистике, собранной экспертами Positive Technologies в 2016 г. в ходе работ по анализу защищенности систем дистанционного банковского обслуживания (ДБО) и АБС.

Согласно исследованию, общее количество уязвимостей в финансовых приложениях в прошлом году снизилось, однако доля критически опасных уязвимостей выросла на 8%, а доля уязвимостей среднего уровня риска - на 18%.

В Positive Technologies отметили, что в каждом из рассмотренных приложений были выявлены недостатки безопасности.

"Наиболее распространены оказались уязвимости, связанные с недостатками механизмов идентификации, аутентификации и авторизации", - подчеркнули в Positive Technologies. При этом в продуктивных системах выявлено почти в два раза больше уязвимостей, чем в системах, находящихся в разработке.

Корреспонденту ComNews сказали в компании, что в 2015 г. всего треть уязвимостей имели высокий уровень риска, но они были распределены равномерно практически по всем исследованным системам, лишь в 10% систем ДБО не было найдено критически опасных уязвимостей. В 2016 г. картина изменилась: 38% выявленных недостатков - критически опасные, однако сосредоточены они в 71% проанализированных систем. А каждое третье приложение содержало уязвимости не выше среднего уровня опасности.

Ольга Зиненко сказала, что в 2016 г. среднее количество уязвимостей, приходящееся на одно финансовое приложение, значительно снизилось по сравнению с 2015 г. - с девяти до шести. "Однако мы видим, что снизилось число уязвимостей низкого уровня риска, устранить которые в большинстве случаев можно с помощью изменений конфигурации, без необходимости внесения правок в код. За счет этого стала заметнее доля уязвимостей среднего и высокого уровней опасности, но это не значит, что самих уязвимостей стало больше", - отметила Ольга Зиненко, добавив, что компании не игнорируют сведения о возможных угрозах, а принимают меры по защите приложений.

Кроме того, как отметили эксперты, финансовые приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем те, которые разработаны банками самостоятельно.

Причем в приложениях, разработанных профессиональными вендорами, 23% выявленных уязвимостей характеризовались высокой степенью риска, и среди них преобладали "Внедрение внешних сущностей XML" и "Нарушение логики работы приложения", а 65% уязвимостей представляли средний уровень опасности. Среди финансовых приложений собственной разработки 39% также содержали критически опасные уязвимости, большую часть из которых составляли ошибки, связанные с недостаточной авторизацией и с реализацией двухфакторной аутентификации.

Эксперты Positive Technologies уточнили, что 71% онлайн-банков имеют недостатки в реализации двухфакторной аутентификации. "33% приложений онлайн-банков содержат уязвимости, позволяющие украсть деньги, а в 27% приложений злоумышленник может получить доступ к сведениям, составляющим банковскую тайну", - поделились с корреспондентом ComNews в пресс-службе компании. Кроме того, 100% онлайн-банков содержали недостатки реализации механизмов защиты.

Что касается мобильных банков, то в Positive Technologies отметили, что в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. "Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе", - добавили в компании.

Как отметил руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин, тренды целевых атак прошлого года показывают, что злоумышленники все активнее используют подобные возможности для атак на финансовый сектор. При этом, как пояснил он, большинства недостатков защиты можно избежать еще на этапе проектирования приложений, если учесть все нюансы, связанные с реализацией механизмов аутентификации и авторизации.

"Значительное количество уязвимостей может быть выявлено на стадии разработки, если придерживаться практик безопасной разработки (SSDLC) и регулярно проводить анализ защищенности приложений. Как показывает практика, наиболее эффективным методом выявления уязвимостей веб-приложения является анализ его исходного кода, в том числе автоматизированными средствами", - рассказал Евгений Гнедин.

Ольга Зиненко также добавила, что для защиты данных клиентов онлайн-банков рекомендуется более тщательно подходить к реализации процесса авторизации пользователей и к разграничению доступа к тем или иным функциям и ресурсам в системе ДБО.

Помимо этого, важно регулярно проводить анализ защищенности приложения на всех этапах, от разработки до эксплуатации, и оперативно устранять все выявленные уязвимости. "Как показывает практика, наиболее эффективным методом выявления уязвимостей веб-приложения является анализ его исходного кода, в том числе автоматизированными средствами. А для выявления и блокирования атак на веб-приложения рекомендуется применять специальные продукты - Web Application Firewall", - резюмировала Ольга Зиненко.

В ВТБ24 согласны с выводами данного исследования. "На наш взгляд, внешний подрядчик с надежной репутацией и опытом работы на рынке априори будет обладать большей компетенцией,  в том числе компетенцией по части безопасной разработки", - отметии в банке.

В пресс-службе ВТБ24 рассказали, что в приложениях банка многофакторная аутентификация работает во всех системах ДБО. "При разработке мобильных приложений мы анализируем и пресекаем уязвимости и угрозы в области безопасности. На регулярной основе проводится проверка уязвимости приложений с привлечением внешних специализированных компаний. Также в ВТБ24 внедрена система антифрод, которая выявляет аномальное поведение клиентов в ДБО и останавливает мошеннические операции", - поделились с корреспондентом ComNews в банке, добавив, что в мобильном приложении ВТБ24 не зафиксировано ни одного случая взлома. "Случаи фрода в мобильном банкинге связаны с фишингом (выманиваем у клиента персональных данных путем взлома его мобильного устройства) или социальной инженерией (выманиванием данных и проведением операций по звонку клиенту)", - заключили в банке.

По словам ведущего аналитика отдела развития компании "Доктор Веб" Вячеслава Медведева, встречи с представителями банков и иных финансовых органов показывают, что тема защиты от вредоносных программ банкам не интересна. "Нужно признать, что антивирусная защита не терпит пренебрежения, не может ограничиваться установкой одного только антивируса - или даже двух, в соответствии с требованиями регулятора, - и не может быть формальной", - считает эксперт.

Вячеслав Медведев отметил, что регуляторы выпустили много хороших документов, описывающих список мер, которые нужно предпринимать для защиты от вредоносных программ.

"Но регуляторы не могут - и не должны - расписать требования вплоть до установки галочек в конкретных продуктах. Поэтому выпущенные требования - высокоуровневые, и, значит отчитаться о выполнении можно, не реализовав защиту", - рассказал корреспонденту ComNews представитель "Доктора Веба".

Вячеслав Медведев считает, что основные проблемы, которые стоят пред работой финансовых приложений в России, это неготовность к современным вызовам в области информационной безопасности. "У нас много говорится о необходимости гармонизации стандартов и соответствия международным требованиям. Надо признать, что достаточных для надежной защиты требований в мире сейчас нет. Ситуация изменяется настолько быстро, что новейшие тенденции атак не успевают отражаться в требованиях по мерам защиты", - считает эксперт.

По мнению руководителя направления Kaspersky Fraud Prevention АО "Лаборатория Касперского" Александра Ермаковича, из множества подходов к обеспечению информационной защиты банки выбирают те, которые не оказывают заметного влияния на пользователей.

Так, исследование "Лаборатории Касперского" показало, что 22% представителей финансовых учреждений серьезно обеспокоены слишком долгим процессом разработки приложений из-за необходимости учитывать все аспекты кибербезопасности. При этом мобильный банкинг должен сохранять главные преимущества - оставаться быстрым и удобным способом совершения транзакций. "Согласно нашим данным, чтобы обеспечить безопасность приложений, финансовые учреждения намерены предпринять следующие меры: улучшать защищенность мобильных приложений и сайтов (61%), делать процесс авторизации более сложным (52%), повышать цифровую грамотность пользователей (37%)", - сказал Александр Ермакович.

Кроме того, "Лаборатория Касперского" рекомендует в дополнение к двухфакторной аутентификации и другим мерам безопасности внедрять комплексные решения для проверки личности клиента. "Современные технологии позволяют оценивать возможные риски и отслеживать подозрительные процессы в момент входа пользователя в систему и в течение всей сессии. Таким образом можно не только устранить последствия инцидента, но и предоставить организациям возможность опередить злоумышленников", - заключил Александр Ермакович.