Компания «Делойт» совместно с АРРФР провела анализ информационной безопасности веб-ресурсов банков Казахстана, сообщает dknews.kz.
Более 80% анализируемых показателей информационной безопасности банков Казахстана улучшились по сравнению с 2021 годом. В целом были проанализированы 47 публичных веб-ресурсов и мобильных приложений банков региона.
«Если говорить об общей картине, то этого показателя во многом удалось достичь благодаря плодотворной работе АРРФР с банками после публикации нашего прошлогоднего отчета. Но есть некоторые пункты, по которым было ухудшение. Например, на веб-ресурсах 13 банков были открыты внешние порты, которые не являются необходимыми для функционирования веб-сайта. В 2021 году таких банков было всего 9. Также, всего 68% банковских приложений на Android были защищены от подмены SSL сертификата, против 74% банковских приложений в 2021 году»
Владимир Ремыга, директор департамента управления рисками компании «Делойт»
По результатам исследования компании «Делойт» и Агентства Республики Казахстан по регулированию и развитию финансового рынка отмечается, что по некоторым направлениям исследования достигнуты неплохие результаты. Так, достигнут 100% результат по показателю репутации домена у поставщиков услуг оценки сетевой репутации – то есть ни один из доменов банков не попал в черный список. Также был достигнут 93% результат по безопасному шифрованию траффика. 91% почтовых серверов имели безопасную конфигурацию. 98% всех сервисов защищены от уязвимости Log4j.
«Тем не менее остаются области для улучшения. Например, настройки безопасности заголовков HTTP – до 37% веб-сайтов имеют уязвимости в настройке. 63% мобильных приложений банков не прошли проверку на подмену SSL сертификата или не имели защиту от раскрытия конфиденциальной информации в автоматически генерируемых скриншотах»-Владимир Ремыга
Компания «Делойт» в Каспийском регионе и АРРФР проводят глобальные исследования кибербезопасности банков второго уровня Казахстана на ежегодной основе. В этом году, помимо банков РК, в исследование были включены БВУ Азербайджана и Узбекистана. Подход исследования базировался на методике OSINT – сбор и анализ информации, полученной из общедоступных источников, и использование набора открытых инструментов: Google, Barracuda, OpenVAS, Trusted Source, Haveibeenpwned и др. Данные отчета обезличены, названия банков не указываются, приводится только агрегированная информация.
Исследование проводилось по десяти направлениям: доступность веб-сайта, репутация домена, настойки безопасности заголовков HTTP, защита трафика, безопасность почтового сервера, безопасность мобильного приложения, утечки адресов электронной почты, уязвимость логирования Java-программ, открытые порты, выполнение требований по защите персональных данных.
Источник dknews.kz