Digital Security характеризует общий уровень защищенности систем ДБО, предлагаемых российским рынком, как крайне низкий

02.02.2012

Исследования защищенности банк-клиентов, проведенные DSecRG, показали, что в системах дистанционного банковского обслуживания (ДБО) актуальны атаки, приводящие к подделке злоумышленником платежных поручений с корректной ЭЦП пользователя. Атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор ПИН-кодов с вредоносного сайта и подпись любых данных.

Руководитель департамента аудита ИБ Digital Security Алексей Синцов отметил: "Опыт нашей работы показал печальный факт: критичность ПО не влияет на уровень его защищенности. Разработчики уделяют внимание безопасности кода лишь когда их продукт начинают массово взламывать. Пример такого отношения – то, что сейчас происходит с ПО АСУ ТП. Точно такая же ситуация – и с банковским ПО".

В свою очередь директор Digital Security Илья Медведовский сказал: "Аудит защищенности банк-клиентов является одной из наших основных специализаций. Поэтому дежавю - вот первое, что приходит нам в голову для наиболее точной характеристики результатов проведенного исследования. Мы как будто перенеслись на 10–15 лет назад в "славные" 90-е годы, когда о безопасности бизнес-приложений, к которым относятся системы ДБО, не задумывался практически никто. Разработчики систем ДБО по-прежнему допускают те же ошибки, не заметив, что мир безопасности, как и мир киберпреступности, за последнее десятилетие сделал огромный шаг вперед".

По оценкам исследователей, общий уровень защищенности подавляющего большинства систем ДБО, имеющихся на российском рынке, находится на крайне низком уровне.