ЦАРКА: Ни один банк в Казахстане не продемонстрировал максимальный уровень защищённости своих веб-ресурсов
04.08.2021
Источник:
Информбюро
При этом по сравнению с 2020 годом уровень кибербезопасности в казахстанских банках вырос.
Центр анализа и расследования кибератак (ЦАРКА) опубликовал отчёт, в котором отражены результаты анализа веб-безопасности банков Казахстана за 2021 год.
Исследование проводили с использованием системы WebTotem AI, основанной на алгоритме искусственного интеллекта, способного выявлять уязвимости и угрозы в киберпространстве.
ЦАРКА проанализировал веб-ресурсы 25 банков с точки зрения нескольких критериев. Среди них:

Перечень банков, чьи веб-ресурсы проверили / Инфографика ЦАРКА
Согласно результатам исследования, банки продемонстрировали рост уровня кибербезопасности в сравнении с 2020 годом на 19,6%. Отрицательных тенденций не обнаружено. По результатам исследования банки оценили по шкале от 0 до 100, где 100 – наивысшая оценка уровня защищённости веб-ресурса. Самые высокие показатели у Альфа-Банка, Bank RBK и City Bank, самые низкие – у Capital Bank, Заман-Банк и Национального банка Пакистана.

Рейтинг банков второго уровня с точки зрения информационной безопасности web-ресурсов / Инфографика ЦАРКА
В топ-рейтинга банков Казахстана по уровню защищённости веб-ресурсов вышли Альфа-Банк, Citi Bank. Freedom finance Bank, First Heartland Jysan Bank, Bank RBK. Средний уровень безопасности составил 70%. Аутсайдерами по уровню защищённости стали шесть банков. Среди них:

Рейтинг банков Казахстана согласно уровню защищённости веб-ресурсов / Инфографика ЦАРКА
24 банка не реализуют Security.txt (все кроме Альфа-Банка). Security.txt позволяет взаимодействовать внутренней службе информационной безопасности и внешним исследователям, давая указание как и куда направить информацию об уязвимостях или проблемах безопасности веб-ресурса. Также девять из 25 банков подвержены атакам OWASP Top 10. С их помощью злоумышленники могут получить данные пользователей. Наилучший показатель устойчивости к атакам продемонстрировали Альфа-Банк, Citi Bank, "Сбербанк", First Heartland Jysan Bank и Bank RBK.

По мировым стандартам личные данные должны шифроваться при передаче между веб-сервисами. Это обеспечивают надёжную защиту от перехвата логинов и паролей людьми, которые находятся в одной сети. В противном случае злоумышленники могут завладеть данными клиентов, что приведёт к финансовым убыткам. Шесть банковских ресурсов не шифруют передаваемую информацию. Среди них:
ЦАРКА сообщает, что в ходе проверки с помощью программы Bug Bounty выявили 17 уязвимостей с различными уровнями критичности. Они отмечают, что большая часть веб-ресурсов банков подвержены уязвимостям с высоким уровнем критичности. Это определяет низкий уровень информационной безопасности.
Однако в ЦАРКА подчеркнули, что есть тенденции к увеличению уровня кибербезопасности, указали на необходимость решения выявленных проблем в кратчайшие сроки.
Центр анализа и расследования кибератак (ЦАРКА) опубликовал отчёт, в котором отражены результаты анализа веб-безопасности банков Казахстана за 2021 год.
Исследование проводили с использованием системы WebTotem AI, основанной на алгоритме искусственного интеллекта, способного выявлять уязвимости и угрозы в киберпространстве.
ЦАРКА проанализировал веб-ресурсы 25 банков с точки зрения нескольких критериев. Среди них:
- состав и скорость работы программного обеспечения;
- репутация домена;
- безопасность контента и передачи данных;
- шифрование трафика и утечки информации;
- настройки безопасности;
- соответствие стандартам.

Перечень банков, чьи веб-ресурсы проверили / Инфографика ЦАРКА
Согласно результатам исследования, банки продемонстрировали рост уровня кибербезопасности в сравнении с 2020 годом на 19,6%. Отрицательных тенденций не обнаружено. По результатам исследования банки оценили по шкале от 0 до 100, где 100 – наивысшая оценка уровня защищённости веб-ресурса. Самые высокие показатели у Альфа-Банка, Bank RBK и City Bank, самые низкие – у Capital Bank, Заман-Банк и Национального банка Пакистана.

Рейтинг банков второго уровня с точки зрения информационной безопасности web-ресурсов / Инфографика ЦАРКА
В топ-рейтинга банков Казахстана по уровню защищённости веб-ресурсов вышли Альфа-Банк, Citi Bank. Freedom finance Bank, First Heartland Jysan Bank, Bank RBK. Средний уровень безопасности составил 70%. Аутсайдерами по уровню защищённости стали шесть банков. Среди них:
- Bank of China Kazakhstan;
- Шинхан банк Казахстан;
- АТФ банк;
- Заман банк;
- Национальный банк Пакистана;
- Capital Bank Kazakhstan.

Рейтинг банков Казахстана согласно уровню защищённости веб-ресурсов / Инфографика ЦАРКА
24 банка не реализуют Security.txt (все кроме Альфа-Банка). Security.txt позволяет взаимодействовать внутренней службе информационной безопасности и внешним исследователям, давая указание как и куда направить информацию об уязвимостях или проблемах безопасности веб-ресурса. Также девять из 25 банков подвержены атакам OWASP Top 10. С их помощью злоумышленники могут получить данные пользователей. Наилучший показатель устойчивости к атакам продемонстрировали Альфа-Банк, Citi Bank, "Сбербанк", First Heartland Jysan Bank и Bank RBK.

По мировым стандартам личные данные должны шифроваться при передаче между веб-сервисами. Это обеспечивают надёжную защиту от перехвата логинов и паролей людьми, которые находятся в одной сети. В противном случае злоумышленники могут завладеть данными клиентов, что приведёт к финансовым убыткам. Шесть банковских ресурсов не шифруют передаваемую информацию. Среди них:
- Банк Китая в Казахстане;
- ВТБ;
- АТФ Банк;
- Отбасы банк;
- Исламский банк Al Hialal;
- Freedom finance Bank.
- Kaspi Bank;
- Евразийский банк;
- Альфа-Банк;
- КЗИ Банк;
- Хоум Кредит;
- Заман банк;
- НурБанк;
- Народный банк Казахстана;
- Отбасы банк.
ЦАРКА сообщает, что в ходе проверки с помощью программы Bug Bounty выявили 17 уязвимостей с различными уровнями критичности. Они отмечают, что большая часть веб-ресурсов банков подвержены уязвимостям с высоким уровнем критичности. Это определяет низкий уровень информационной безопасности.
Однако в ЦАРКА подчеркнули, что есть тенденции к увеличению уровня кибербезопасности, указали на необходимость решения выявленных проблем в кратчайшие сроки.