«Часть банков недооценивает сопряженные риски и не всегда следует базовым рекомендациям по обеспечению безопасности при настройке своих онлайн-сервисов. В частности, не все банки уделяют достаточно внимания обеспечению безопасности своих мобильных приложений. Как следствие, совокупная доля потенциально уязвимых к угрозам безопасности мобильных приложений увеличилась по сравнению с прошлым годом. Учитывая данный факт, считаем, что именно безопасность банковских клиентов на мобильных устройствах будет являться одним из ключевых вызовов в обозримой перспективе для банковского сектора в Казахстане», – пояснили в Deloitte.
В обзоре отмечается, что часть выявленных недостатков может показаться незначительной. Но в области кибербезопасности нет «несущественных» уязвимостей. Любая из них может привести к выявлению более серьезной проблемы и стать в итоге причиной утечки конфиденциальных данных или привести к прямому хищению средств со счетов клиентов.
В том числе по части доступности сайтов большинство казахстанских банков соответствуют требованиям безопасности. Наибольшее влияние на снижение результата доступности оказал параметр времени отклика сервера.
Репутация 98% доменов тестируемых банков хорошая. Они не использовались для рассылки спама, распространения вирусов и другой подозрительной активности.
Обобщенный результат по HTTP казахстанских банков показал, что в целом в 60% активно используется безопасная конфигурация. Тем не менее для 40% случаев все же рекомендуется воспользоваться советами по их использованию.
В сфере защиты трафика для большинства сайтов банков Казахстана конфигурация SSL/TLS настроена на должном уровне с показателем в 92%. Тем не менее некоторые банки по-прежнему поддерживают устаревшие версии протоколов, что делает их уязвимыми к потенциальным атакам.
В области безопасности почтового сервера наблюдается существенное улучшение показателей по сравнению с прошлогодними результатами. Тем не менее некоторые банки не приняли должные меры по защите.
Также только в 50% случаев банки Казахстана не допустили ни одной утечки. В 25% – до 10 новых утечек, в 25% – до 50 новых утечек.
В компании рекомендовали разработать и поддерживать в актуальном состоянии программу обучения сотрудников в вопросах кибербезопасности.
