Безопасность банк-клиентов находится на уровне 90-х годов

Александр Панасенко 01 Февраля 2012 - 06:40

...

DSecRG, исследовательский центр компании Digital Security, опубликовал отчет о результатах исследований защищенности банк-клиентов ведущих российских производителей за период с 2009 по 2011 гг. Основной вывод из трехлетнего исследования подавляющего большинства имеющихся на российском рынке систем ДБО заключается в том, что, несмотря на чрезвычайную критичность программного обеспечения данного класса, общий уровень защищенности систем ДБО, по оценкам исследователей, находится на крайне низком уровне. Банк-клиенты содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы.

Так, в совокупности с отсутствием защитных механизмов и наличием уже далеко не новых уязвимостей, в системах ДБО актуальны атаки, приводящие к подделке злоумышленником платежных поручений с корректной ЭЦП пользователя. Атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор ПИН-кодов с вредоносного сайта и подпись любых данных.

Алексей Синцов, руководитель департамента аудита ИБ Digital Security: "Опыт нашей работы показал печальный факт: критичность ПО не влияет на уровень его защищенности. Разработчики уделяют внимание безопасности кода, только когда их продукт начинают массово взламывать. Пример такого отношения – то, что сейчас происходит с ПО АСУ ТП. Точно такая же ситуация – и с банковским ПО".

"Аудит защищенности банк-клиентов является одной из наших основных специализаций. Поэтому дежавю - вот первое, что приходит нам в голову для наиболее точной характеристики результатов проведенного исследования. Мы как будто перенеслись на 10–15 лет назад в "славные" 90-е годы, когда о безопасности бизнес-приложений, к которым относятся системы ДБО, не задумывался практически никто. Разработчики систем ДБО по-прежнему допускают те же ошибки, не заметив, что мир безопасности, как и мир киберпреступности, за последнее десятилетие сделал огромный шаг вперед ", – отметил Илья Медведовский, директор Digital Security.

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 02 Февраля 2026 - 20:09

Соответствие законодательству РФ Общее

В московском метро начали проверять телефоны

В Московском метрополитене подтвердили, что сотрудники службы транспортной безопасности вправе требовать от пассажиров продемонстрировать работоспособность мобильного телефона. Как сообщили в пресс-службе столичной подземки, такие меры предусмотрены приказом Министерства транспорта России от 4 февраля 2025 года № 34 и при необходимости могут применяться дополнительно к уже действующим процедурам досмотра.

Об этом сообщило Агентство городских новостей «Москва». Поводом для обращения журналистов в пресс-службу метро стали сообщения в ряде телеграм-каналов о выборочных проверках телефонов у пассажиров.

«В рамках обеспечения требований безопасности, установленных приказом Министерства транспорта Российской Федерации, на объектах транспортного комплекса Москвы все пассажиры столичного метро проходят досмотр с использованием рамок металлодетекторов», — пояснили в пресс-службе Московского метрополитена.

Ранее аналогичные требования были введены и в метро Санкт-Петербурга. Это подтвердил вице-губернатор города Кирилл Поляков во время прямой линии. По его словам, мера продиктована соображениями безопасности, и он призвал пассажиров отнестись к ней с пониманием. При этом, как подчеркнул Поляков, для проверки достаточно лишь показать, что устройство включается, — снимать блокировку при этом не требуется.

Ранее петербургские СМИ сообщали, что сотрудники транспортной безопасности отказывали в провозе оборудования без автономного питания. В частности, речь шла о мониторах и настольных компьютерах.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »