СОИБ. Исследования. Безопасность top 100 интернет-банков (DSec) и Экспертная оценка потерь от мошенничества (Джет)
За последнюю неделю российские ИБ
компании опубликовали 2 интересных отчета: “Безопасность веб-ресурсов банков России” от Digital Security
и “Экспертная оценка годовых потерь от мошенничества” от Инфосистем Джет. Посмотрим
на наиболее интересные моменты этих исследований.
1. Исследование от DSec было
достаточно простым: взяли доменные имена интернет-банков топ 100 банков России
и не уведомляя владельцев провели простейшие проверки, связанные настройками web серверов
и dns. Подобные
проверки может провести любой исследователь запуская публично доступные утилиты
типа qualys ssl server test 100 раз.
Но что мне понравилось в этом
отчете: подробно и грамотно были описаны проверяемые параметры и возможные
последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту
по ИБ и может быть использована оператором web сервисов. Это я считаю основным
достижением исследования и его отличием от других подобных исследований как тут
и тут.
В целом по результатам
исследования можно сделать вывод что настройки web сервисов
интернет банков в среднем недостаточные.
2. Экспертная оценка специалистов
компании «Инфосистемы Джет» по противодействию мошенничеству представляет из себя
скорее набор инфографики. И собственно инфографика хороша. А вот методику
расчетов и источники сбора данных решили не раскрывать видимо, чтобы не
возникло ненужной критики и обсуждений.
Вопрос о применении отчета по
всей видимости надо решать так: если вы доверяете специалистам Джет-а, то
данные оценки будут вам весьма полезны:
потери от мошенничества растут по
всем направлениям
особенно растут направлениям мошенничества
в сфере закупок, дополнительных сервисов и мобильной коммерцией
Комментарии