Deloitte аудиторлық компаниясының cоңғы "Қазақстан банктерінің киберқауіпсіздігіне шолуына" сәйкес қазақстандық банктер өздерінің интернет-ресурстарының қорғалуын қамтамасыз етуде жақсы нәтижеге қол жеткізді, деп хабарлайды LS.
"Әзірбайжан мен Өзбекстан банктерімен салыстырғанда қазақстандық банктердің қауіпсіздігінің жалпы деңгейі біршама жақсы. 10 облыстың жетеуін талдағанда ҚР банктері үздік немесе салыстырмалы (±2%) нәтиже көрсетті. Осының негізінде Қазақстан бұл мәселеде көшбасшы болмаса да, біржақты фаворит деп сеніммен айта аламыз", - деп түсіндірді компания өкілдері.
Оның ішінде Қазақстандағы банктерде сайттың қолжетімділігі бойынша көрсеткіш 71%-ға (Өзбекстанда – 67%, Әзірбайжанда – 57%), http қауіпсіздігі – 60-ға (тиісінше 53% және 50%) тең. Алайда ҚР қаржы институттарында дербес деректерді қорғау бойынша талаптардың орындалуы әзірге ақсап тұр – 55% (тиісінше 83% және 58%).
"Кейбір банктер біріктірілген тәуекелдерді жете бағаламайды және олардың онлайн қызметтерін орнату кезінде қауіпсіздікті қамтамасыз ету бойынша негізгі ұсыныстарды әрқашан орындай бермейді. Атап айтқанда, барлық банктер өздерінің мобильді қосымшаларының қауіпсіздігін қамтамасыз етуге жеткілікті көңіл бөлмейді. Нәтижесінде, қауіпсіздікке қауіп төндіретін мобильді қосымшалардың жиынтық үлесі өткен жылмен салыстырғанда өсті. Осы фактіні ескере отырып, мобильді құрылғылардағы банк клиенттерінің қауіпсіздігі Қазақстандағы банк секторы үшін таяу келешекте басты қатерлердің бірі болып табылады деп есептейміз", - деп түсіндірді Deloitte.
Шолу жасаушылар анықталған кемшіліктерге үстіртін қарамай, олардың алдын алу керек деп есептейді. Себебі киберқауіпсіздік саласында "маңызды емес" осалдықтар жоқ. Олардың кезкелгені неғұрлым күрделі мәселенің анықталуына және нәтижесінде құпия деректердің ағып кетуіне немесе клиенттердің шоттарынан қаражаттың тікелей ұрлануына әкелуі мүмкін.
Оның ішінде сайттардың қолжетімділігі бойынша қазақстандық банктердің көпшілігі қауіпсіздік талаптарына сәйкес келеді. Қолжетімділіктің төмендеуіне ең үлкен әсер еткен сервердің жауап беру уақыты болды.
Сынақтан өткен банк домендерінің 98%-ының беделі жақсы. Олар спам жіберу, вирустарды тарату және басқа күдікті әрекеттер үшін пайдаланылмаған.
HTTP бойынша жалпыланған нәтижесіне сәйкес қазақстандық банктердің 60%-ы қауіпсіз конфигурация белсенді қолданады. Дегенмен пайдаланушылардың 40%-ы оларды қолдану бойынша ұсыныстарды қайта қарауы қажет.
Қазақстан банктерінің көптеген сайттары үшін трафикті қорғау саласында SSL/TLS конфигурациясы 92% көрсеткішімен тиісті деңгейде реттелген. Дегенмен кейбір банктер әлі де хаттамалардың ескірген нұсқаларын қолдайды, бұл оларды ықтимал шабуылдарға осал етеді.
Пошта серверінің қауіпсіздігі саласында өткен жылғы нәтижелермен салыстырғанда көрсеткіштердің айтарлықтай жақсарғаны байқалады. Дегенмен кейбір банктер тиісті қорғаныс шараларын әлі де қабылдамаған.
Сондай-ақ Қазақстан банктерінің 50%-ы бірде-бір ақпараттың жайылып кетуіне жол бермеді. Тек 25% –10 жағдайға дейін, 25% – 50.
Компания қызметкерлерді киберқауіпсіздік мәселелерінде оқыту бағдарламасын әзірлеуді және оны қолданыстан шығармауды ұсынды.
Банктердің тек 55%-ы дербес деректерді қорғау талаптарына сәйкес келеді. Сарапшылар бұл талаптарды орындау Қазақстанда қаржы қызметтерін жеткізушіні іздейтін әлеуетті клиенттер үшін (әсіресе олар Еуропалық одақтан болса) шешуші фактор болуы мүмкін екенін атап өтті.
Мобильді банкинг саласында қосымшалардың тек 45%-ы қауіпсіз деп танылды.
"Зерттеудің нәтижелері Қазақстан банктеріне арналған қосымшалардың қорғалуының жалпы деңгейі Әзірбайжан мен Өзбекстан банктерінің көрсеткіштерімен салыстырғанда тиісінше біршама және едәуір жоғары", - деп түсіндірді Deloitte.
Өз кезегінде KPMG "коммерциялық банктердің веб-сайттары мен мобильді қосымшаларының қорғалуын бағалауға" сәйкес, 2021 жылдың қорытындысы бойынша Қазақстанның топ-5 банкіне First Heartland Jusan Bank (83,86%), Altyn Bank (82,29%), Bank RBK (79%), Zaman Bank (78,75%), Bank CenterCredit кірді (78,71%). Қазақстанның орташа бағасы 62,64%-ға тең. Қорғаныс деңгейі бойынша Jusan Bank көшбасшы атанды.
Құжатта 12 банктің төртеуі мобильді қосымшаларда SSL-pinning-ті жүзеге асырғаны, тек бір банк қосымша қауіпсіздік шараларын қолданғаны атап өтілген.
Сонымен қатар кибершабуылдарды талдау және тергеу орталығының "Қазақстан банктерінің 2021 веб-ресурстарының қорғалуын талдау нәтижелеріне" сәйкес, өткен жылы еліміздің барлық банктері ресми сайттың қорғалу деңгейінің көрсеткіштерін шамамен 19,6%-ға жақсартты. Қауіпсіздік деңгейі бойынша ТОП-10-да Alfa Bank (85%), Bank RBK (83%), Citi bank (81%), Halyk Bank (81 балл), Freedom Finance Bank (80%), Jusan Bank (79%), Kaspi Bank (78%), Отбасы банк (77%), BCC Bank (75%), KZI Bank (75%) орналасқан.
Олардың веб-ресурстарының орташа қауіпсіздігі 70%-ға тең.
Оның ішінде бағдарламалық қамтамасыз ету санатында сайттың басты бетінің ең қауіпті 10 осалдық тізіміндегі шабуылдарға ұшырауы бойынша құрам бес банк ең жақсы нәтиже көрсетті, олардың ішінде Bank RBK, Jusan Bank, Альфа банк, Citi Bank, Сбер (қазіргі Береке).
Трафикті қорғаудағы үздік банктер: Bank RBK, Jusan Bank, Альфа банк, Citi Bank, Сбер (қазіргі Береке).
Поштадан хабарлама тарату сервисінің қорғалуы Kaspi Bank, Альфа банк, Freedom Finance Bank, Jusan Bank, Citi Bank-те жақсы деп танылды.
Кибершабуылдарды талдау және тергеу орталығының өкілдері қазақстандық банктердің ақпараттық қауіпсіздік деңгейі артып келе жатқанын атап өтті. Алайда олардың кейбіреулерінде елеулі қиындықтар орын алған және олар қысқа мерзімде түзетілуі керек. Ең жиі кездесетін мәселелердің бірі - сайттың жұмысында бұзушылықтар анықталған жағдайда ақпараттық қауіпсіздік бөлімінің байланыстарының болмауы. Сондай-ақ трафикті шифрлау және қауіпсіз қосу нұсқасын мәжбүрлеп пайдалану жиі болмайды. Дегенмен талдау пайдаланушылар веб-сайтқа өткен кезде оларға қауіп төндіретін ресурстарды анықтаған жоқ.
"Алаңның жұмыс істеу уақытында анықталған осалдықтар BugBounty.kz банктердің веб-ресурстарының құпия деректерді ашуға бейімділігін анықтады, бұл өз кезегінде банктік шот нөмірлері, несие карталарының нөмірлері, мекенжайы, телефон нөмірлері, туған күндері және клиенттердің шоттары туралы ақпарат сияқты әртүрлі деректер түрлерін жария етуге әкелуі мүмкін. Мысалы, пайдаланушының есімі мен құпиясөздері. Бұл Банктің және оның клиенттік базасының беделі және ақшалай тәуекелдеріне тікелей әкелуі мүмкін", - деп қорытындылады кибершабуылдарды талдау және тергеу орталығының мамандары.