Эксперты вскрыли многочисленные бреши в информационной безопасности российских банков
Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.
По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы (см. полный текст исследования)
При разработке банковского ПО не используются современные технологии, при этом процессы разработки безопасного кода и архитектуры отсутствуют, отмечают аналитики. По их данным, число уязвимостей достаточно высоко и стабильно сохраняется на протяжении трех лет по всему рынку. При этом некоторые из них настолько просты и легко эксплуатируемы, что угроза очень высока. Так, например, одна система отдавала полный номер банковской карты (PAN) при неудачной попытке аутентификации по существующему логину.
Специалисты Digital Security Research Group пришли к выводу о том, что на сегодняшний день уровень зрелости современных отечественных систем ДБО с точки зрения ИБ отстает от аналогичных продуктов западного производства. «Хотя можно найти и сходства: чем менее популярно ПО на открытом рынке и более узко специализировано, тем меньше разработчики уделяют внимание ИБ, вне зависимости от критичности продукта», — заключили в DSecRG.
Источник: http://www.cnews.ru/news/top/index.shtml?2012/01/31/475300