Вскрыты многочисленные бреши в информационной безопасности Интернет-клиентов российских банков
.
Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.
По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы...
Как выяснили аналитики, большинство уязвимостей, найденных в российских банк-клиентах, приводит к раскрытию персональных данных, банковской тайны, а также нарушению целостности информации о счетах (подделка платежных поручений). Кроме того, множество угроз продолжает оставаться за пределами внимания специалистов ИБ банков и разработчиков ДБО, утверждают в DSecRG.
В ходе исследования специалисты DSecRG протестировали системы следующих производителей: БСС, «R-Style», CompassPlus, «Сигнал КОМ», ЦФТ, «Инист» и «Степ Ап». Выяснилось, что все эти продукты содержали те или иные уязвимости...
Управляющий директор дирекции информационных и платежных технологий «Транскапиталбанка» Валерий Шеин отмечает, что современные отечественные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам. «Эксперты компании Digital Security справедливо считают, что уровень защищенности систем ДБО низкий, но мне кажется, нужно рассматривать и другие звенья этой цепочки», - считает Шеин.
По его мнению, наиболее слабым звеном выступает сам клиент - именно он заражает свой компьютер всеми возможными вирусами, не позаботившись об современной лицензионной антивирусной системе; именно клиент оставляет токен с ключами постоянно подключенным к USB-порту компьютера, в то время как и банк, и производитель систем ДБО рекомендуют подключать токен только на сеанс подписи платежа, или просто хранит ключи электронной подписи на жестком диске компьютера...
http://www.cnews.ru/news/top/index.shtml?2012/01/31/475300
Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.
По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы...
Как выяснили аналитики, большинство уязвимостей, найденных в российских банк-клиентах, приводит к раскрытию персональных данных, банковской тайны, а также нарушению целостности информации о счетах (подделка платежных поручений). Кроме того, множество угроз продолжает оставаться за пределами внимания специалистов ИБ банков и разработчиков ДБО, утверждают в DSecRG.
В ходе исследования специалисты DSecRG протестировали системы следующих производителей: БСС, «R-Style», CompassPlus, «Сигнал КОМ», ЦФТ, «Инист» и «Степ Ап». Выяснилось, что все эти продукты содержали те или иные уязвимости...
Управляющий директор дирекции информационных и платежных технологий «Транскапиталбанка» Валерий Шеин отмечает, что современные отечественные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам. «Эксперты компании Digital Security справедливо считают, что уровень защищенности систем ДБО низкий, но мне кажется, нужно рассматривать и другие звенья этой цепочки», - считает Шеин.
По его мнению, наиболее слабым звеном выступает сам клиент - именно он заражает свой компьютер всеми возможными вирусами, не позаботившись об современной лицензионной антивирусной системе; именно клиент оставляет токен с ключами постоянно подключенным к USB-порту компьютера, в то время как и банк, и производитель систем ДБО рекомендуют подключать токен только на сеанс подписи платежа, или просто хранит ключи электронной подписи на жестком диске компьютера...
http://www.cnews.ru/news/top/index.shtml?2012/01/31/475300