Центр анализа и расследования кибератак оценили уровень защиты веб-ресурсов официальных сайтов банков Казахстана и на основе исследования составили рейтинг.
Разработанная и применяемая методика оценки учитывает лучшие мировые практики, рекомендации признанных разработчиков ПО и профессиональных сообществ, а также наиболее часто применяемые стандарты. Оценка защищенности выполнялась без вмешательств в работу организаций, анализ осуществлялся путем сбора публично доступной информации, сообщает ЦАРКА.
Согласно проведенному анализу за период с января 2020 года по май 2021 года все банки второго уровня, вошедшие в периметр анализа, показали рост показателей уровня защищенности официального веб-ресурса банка. Средний рост уровня безопасности составил 19.6%.
В первую пятерку по уровню безопасности вошли Альфа-Банк, Citi Bank, Freedom finance Bank, First Heartland Jysan Bank, Bank RBK.
Указанные веб-ресурсы были оценены по десяти критериям, среди которых настройки безопасности, соответствие стандартам, репутация домена, безопасность передачи данных и др.
Риск утечки данных выявили сразу у девяти банков: Kaspi Bank, Евразийский банк, Альфа-Банк, КЗИ Банк, Хоум Кредит, Заман банк, НурБанк, Народный банк Казахстана, Отбасы банк.
Аутсайдерами рейтинга стали Bank of China Kazakhstan, Шинхан Банк Казахстан, АТФ Банк, Заман Банк, Национальный Банк Пакистана и Capital Bank Kazakhstan.
Согласно анализу в период с декабря 2020 года по июнь 2021 года на вебресурсах банков второго уровня Республики Казахстан было обнаружено 17 уязвимостей с различными уровнями критичности. Среди наиболее распространённой проблемы для веб-ресурсов, ЦАРКА выделяет отсутствие security.txt, который позволят пользователям на прямую обращаться в отдел ИБ банка в случае выявления нарушений в работе веб-ресурса.
«Уязвимости, обнаруженные за время функционирования площадки BugBounty.kz, определили подверженность веб-ресурсов банков раскрытию конфиденциальных данных, что в свою очередь, может привести к раскрытию различных типов данных, как номера банковских счетов, номера кредитных карт, токены сеанса, домашний адрес, номера телефонов, даты рождения и информация об учетных записях клиентов, такие, как имена пользователей и пароли. Это напрямую может привести к репутационным и денежным рискам банка и его клиентской базы», – говорится в заключении исследования Центра анализа и расследования кибератак.
С полным отчетом можно ознакомиться по ссылке.
