Аналитическая компания CAST, которая занимается проверками программного кода, обнаружила 1,3 миллиона уязвимостей в 1400 бизнес-приложений. Эти бреши позволяют злоумышленникам похищать пользовательские конфиденциальные данные, нарушать работу банковских систем, взламывать счета. Поставщики финансовых услуг заняли первое место среди всех отраслей по количеству ошибок в коде и применению небезопасных методик программирования.

Авторы исследования отмечают, что банковский сектор вынужден поддерживать большое количество устаревших систем, миграция с которых зачастую оказывается слишком затратной. Кроме того, в финансовой отрасли применяются громоздкие программные среды, что усложняет разработку и тестирование продуктов. По словам вице-президента CAST Билла Кертиса (Bill Curtis), технические департаменты банков должны постепенно внедрять современные методики программирования, даже если в результате пострадает динамика бизнеса. Сегодня организации зачастую пренебрегают безопасностью ПО ради удобства пользователей, однако потеря клиентских денег из-за брешей в безопасности грозит организациям гораздо большим ущербом.

Еще одна причина поторопиться с модернизацией банковских приложений — это Вторая директива Европейского союза о платежных услугах (Payment Services Directive, PSD2), которая вступит в силу на всей территории ЕС в январе 2018 года. Новые правила призваны подтолкнуть развитие интернет-банкинга и закрепляют дополнительные требования к безопасности онлайн-операций. В частности, финансовые организации обязаны использовать усиленную аутентификацию в личных кабинетах, для передачи распоряжений об электронных переводах, а также при наличии рисков мошенничества.

Директива также вводит понятие сторонних поставщиков платежных услуг, которые смогут получать от банков конфиденциальную информацию о клиентах и обрабатывать их операции. Как отмечают эксперты рынка, появление новых игроков может ослабить позиции традиционных организаций. В условиях сокращающейся рентабельности и уже упомянутой технической отсталости им будет нелегко конкурировать с финтех-стартапами. В то же время появление новых участников в денежных цепочках означает дополнительные риски для пользователей и требует усиленного внимания к надежности программных продуктов, говорит Кертис.

Эксперты «Лаборатории Касперского» включили финтех-организации и мобильный банкинг в список главных угроз для пользователей банковских сервисов в 2018 году. На фоне падающей активности традиционных троянцев, которые нацелены на пользователей ПК, мобильные приложения с каждым годом подвергаются все большим угрозам. Цифровизация банковской отрасли, позволяюшая предоставлять услуги без реальных офисов и физической коммуникации с пользователем, открывает новые возможности для киберпреступников. Немалую роль играет и появление большого числа новых пользователей, которые плохо ориентируются в тонкостях электронного банковского обслуживания и потому могут стать легкой добычей мошенников. Аналитики «Лаборатории Касперского» отмечают, что убедить человека перевести деньги в мобильном приложении гораздо проще, чем заставить одобрить операцию в банковском отделении.

Как и Европейская комиссия, Центральный банк России стремится повысить безопасность электронного банкинга. В августе регулятор утвердил национальный стандарт безопасности финансовых операций, который заработает с 1 января 2018 года. Документ объединяет требования к защите информации на всех этапах жизненного цикла автоматизированных банковских систем и приложений. Организации внедрят средства противодействия вредоносному коду, утечкам информации, нарушению целостности IT-инфраструктуры. Требования к сервисам мобильного доступа к банковским сервисам выделены в специальный блок.

Годом позже ожидается вступление в силу еще одного стандарта, который будет касаться исключительно финансовых интернет-приложений. Документ опишет более десяти обязательных мер защиты, в том числе шифрование и возможность дистанционного удаления данных, обязательную проверку клиентов при входе в интернет-банк со смартфона и компьютера, сброс аутентификации при длительном бездействии пользователя в онлайн-кабинете. Все финансовые приложения будут проходить сертификацию ФСТЭК России. Банки также смогут управлять настройками, обновлениями и составом приложений на смартфонах и ПК клиентов и сотрудников, определять местонахождение устройств и отслеживать регистрацию SIM-карт.

Категории: Аналитика, Главное, Уязвимости