СОИБ. Исследования. Безопасность top 100 интернет-банков (DSec) и Экспертная оценка потерь от мошенничества (Джет)

За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “Безопасность веб-ресурсов банков России” от Digital Security и “Экспертная оценка годовых потерь от мошенничества” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований.

1. Исследование от DSec было достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов и dns. Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualys ssl server test 100 раз.

Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором web сервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут.

В целом по результатам исследования можно сделать вывод что настройки web сервисов интернет банков в среднем недостаточные.

2. Экспертная оценка специалистов компании «Инфосистемы Джет» по противодействию мошенничеству представляет из себя скорее набор инфографики. И собственно инфографика хороша. А вот методику расчетов и источники сбора данных решили не раскрывать видимо, чтобы не возникло ненужной критики и обсуждений.

Вопрос о применении отчета по всей видимости надо решать так: если вы доверяете специалистам Джет-а, то данные оценки будут вам весьма полезны:

потери от мошенничества растут по всем направлениям

 

особенно растут направлениям мошенничества в сфере закупок,  дополнительных сервисов и мобильной коммерцией