ЦАРКА составил рейтинг сайтов банков Казахстана по уровню веб-безопасности
23.04.2020
Источник:
Информбюро
В тройку лидеров рейтинга вошли сайты Kaspi Bank, Altyn Bank и Bank RBK.
Центр анализа и расследования кибер-атак провёл исследование и составил рейтинг веб-безопасности официальных сайтов банков Казахстана.
В ЦАРКА пришли к выводу, что многие банки пренебрегают даже самыми распространёнными и простыми советами по повышению безопасности своих веб-ресурсов. Достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют на некоторых сайтах, что позволяет злоумышленникам рассчитывать на успешную реализацию атак на эти финансовые организации.
Рейтинг сайтов банков сформировался следующим образом:
Software compositions – обновление программного обеспечения. Риск: если не обновлена система управления контентом CMS или её компоненты, то, с высокой вероятностью, существуют вредоносные программы, которые позволяют эксплуатировать уязвимости старых версий. Из 26 доменов этот пункт успешно прошли только 3 (Народный банк, Национальный банк Пакистана и КЗИ банк).
Website perfomance – оценка скорости загрузки сайта. Риск: низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей.
Утечка информации выявлена у следующих банков:
Network Security – cетевая безопасность. Был проведен анализ портов, которые не используются напрямую самим веб-сервером. Просто наличие открытых портов не является уязвимостью, однако, с точки зрения лучших практик безопасности, веб-сервер не должен иметь открытых портов кроме тех, которые подразумевают работу с веб-сервисами.
Банки с открытыми портами:
В "красной" зоне по этому пункту оказались сайты 11 банков:
GDPR compliance – соответствие общему регламенту защиты персональных данных. Веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные, файлы cookie и как выполняется передача пользовательских данных. Файлы cookie могут хранить множество данных достаточных для идентификации пользователя без его ведома и согласия. У всех сайтов банков выявлены проблемы GDPR.
Центр анализа и расследования кибер-атак провёл исследование и составил рейтинг веб-безопасности официальных сайтов банков Казахстана.
В ЦАРКА пришли к выводу, что многие банки пренебрегают даже самыми распространёнными и простыми советами по повышению безопасности своих веб-ресурсов. Достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют на некоторых сайтах, что позволяет злоумышленникам рассчитывать на успешную реализацию атак на эти финансовые организации.
Рейтинг сайтов банков сформировался следующим образом:
- Kaspi Bank
- Altyn Bank
- Bank RBK
- Citi Bank
- Capital Bank Kazakhstan
- Tengri Bank
- Банк Китая в Казахстане
- Национальный банк Пакистана
- Народный банк Казахстана
- Альфа банк
- Исламский банк Al Hilal
- First Heartland Jusan Bank
- ForteBank
- Шинхан банк Казахстан
- Сбербанк
- АТФ банк
- Евразийский банк
- ЖССБ Казахстана
- Хоум Кредит
- НурБанк
- ВТБ
- Банк Центркредит
- КЗИ банк
- Банк Kassa Nova
- AsiaCredit Bank
- Заман банк
Software compositions – обновление программного обеспечения. Риск: если не обновлена система управления контентом CMS или её компоненты, то, с высокой вероятностью, существуют вредоносные программы, которые позволяют эксплуатировать уязвимости старых версий. Из 26 доменов этот пункт успешно прошли только 3 (Народный банк, Национальный банк Пакистана и КЗИ банк).
Website perfomance – оценка скорости загрузки сайта. Риск: низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей.
- Высокая скорость загрузки у 46% доменов;
- у 46% – средняя;
- у 8% – низкая (Евразийский банк, Банк ЦентрКредит).
- 96% сайтов считаются "чистыми";
- у 4% (домен Банка Kassa Nova) был выявлен Forcepoint ThreatSeeker. Это может означать, что он попал в чёрный список системы как потенциально вредоносный.
- У 23% доменов наблюдается высокая оценка;
- 58% – средняя;
- у 19% – низкая (Сiti Bank, Capital Bank Kazakhstan, ЖССБ Казахстана, Банк Китая в Казахстане, ВТБ).
- Национального банка Пакистана
- Банка Kassa Nova
- AsiaCredit Bank
- КЗИ банка
- Заман банка
- Шинхан банка Казахстана.
Утечка информации выявлена у следующих банков:
- Сбербанк
- Банк ЦентрКредит
- Народный банк Казахстана
- АТФ банк
- КЗИ банк
- Банк Kassa Nova
- Евразийский банк
- AsiaCredit Bank
- ЖССБ Казахстана
- Заман банк
- Хоум Кредит
- НурБанк
- ВТБ
Network Security – cетевая безопасность. Был проведен анализ портов, которые не используются напрямую самим веб-сервером. Просто наличие открытых портов не является уязвимостью, однако, с точки зрения лучших практик безопасности, веб-сервер не должен иметь открытых портов кроме тех, которые подразумевают работу с веб-сервисами.
Банки с открытыми портами:
- Альфа банк
- Сбербанк
- AsiaCredit Bank
- Заман банк
- Хоум Кредит
- Банк Китая в Казахстане
- ForteBank
- First Heartland Jusan Bank
В "красной" зоне по этому пункту оказались сайты 11 банков:
- Исламский банк Al Hilal
- Банк ЦентрКредит
- ВТБ
- Сбербанк
- First Heartland Jusan Bank
- AsiaCredit Bank
- Заман банк
- ForteBank
- НурБанк
- Хоум Кредит
- КЗИ банк
GDPR compliance – соответствие общему регламенту защиты персональных данных. Веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные, файлы cookie и как выполняется передача пользовательских данных. Файлы cookie могут хранить множество данных достаточных для идентификации пользователя без его ведома и согласия. У всех сайтов банков выявлены проблемы GDPR.