Компания «Делойт» в Каспийском регионе провела второе исследование кибербезопасности банков. В этом году помимо банков, работающих в Казахстане, в рамки исследования также были включены банки Азербайджана и Узбекистана, что позволило сопоставить и сравнить уровни зрелости вопросов кибербезопасности банков, работающих в регионе.
В ходе обследования компания проанализировала публичные веб-ресурсы и мобильные приложения банков второго уровня, используя набор открытых онлайн-инструментов (Google PageSpeed, SSLLabs, Talos Intellegence, Trusted Source, Haveibeenpwned и др.). Также помимо основных интернет-сайтов банков в исследование были включены порталы для обслуживания корпоративных и розничных клиентов. В общей сложности количество проанализированных веб-адресов составило 47.
Исследование проводилось по десяти направлениям: доступность веб-сайта, репутация домена, настойки безопасности заголовков HTTP, защита трафика, безопасность почтового сервера, безопасность мобильного приложения, утечки адресов электронной почты, уязвимость логирования Java-программ, открытые порты, выполнение требований по защите персональных данных.
Авторы исследования пришли к выводу, что за прошедший год банки достигли прогресса в обеспечении защищенности интернет-ресурсов. А также отметили общий высокий уровень безопасности казахстанских банков по сравнению с банками Азербайджана и Узбекистана — из десяти областей анализа в семи казахстанские банки показали лучший или сопоставимый (±2%) результат.
В частности, казахстанские банки более доступны и безопасны, чем банки Узбекистана и Азербайджана. Однако, когда дело доходит до защиты персональных данных, казахстанским учреждениям еще есть над чем работать — только 55% из них соответствуют требуемым стандартам.
Deloitte отмечает, что некоторые банки не принимают всех необходимых мер предосторожности при настройке своих онлайн-сервисов, что делает их мобильные приложения уязвимыми для потенциальных угроз безопасности. Исследователи считают, что в обозримом будущем безопасность банковских клиентов на мобильных устройствах будет ключевой проблемой для банковского сектора Казахстана.
В обзоре отмечается, что некоторые из выявленных недостатков могут показаться незначительными, но в действительности любой из них может привести к более серьезной проблеме. Эти уязвимости представляют риск для безопасности данных и средств, хранящихся в компании.