За последнюю неделю российские ИБ компании опубликовали 2 интересных отчета: “ Безопасность веб-ресурсов банков России ” от DigitalSecurityи “ Экспертная оценка годовых потерь от мошенничества ” от Инфосистем Джет. Посмотрим на наиболее интересные моменты этих исследований.
1. Исследование от DSecбыло достаточно простым: взяли доменные имена интернет-банков топ 100 банков России и не уведомляя владельцев провели простейшие проверки, связанные настройками webсерверов и dns. Подобные проверки может провести любой исследователь запуская публично доступные утилиты типа qualyssslservertest 100 раз.
Но что мне понравилось в этом отчете: подробно и грамотно были описаны проверяемые параметры и возможные последствия от неправильной настройки. Подача информации в такой форме понятна неспециалисту по ИБ и может быть использована оператором webсервисов. Это я считаю основным достижением исследования и его отличием от других подобных исследований как тут и тут .
В целом по результатам исследования можно сделать вывод что настройки webсервисов интернет банков в среднем недостаточные.
2. Экспертная оценка специалистов компании «Инфосистемы Джет» по противодействию мошенничеству представляет из себя скорее набор инфографики. И собственно инфографика хороша. А вот методику расчетов и источники сбора данных решили не раскрывать видимо, чтобы не возникло ненужной критики и обсуждений .
Вопрос о применении отчета по всей видимости надо решать так: если вы доверяете специалистам Джет-а, то данные оценки будут вам весьма полезны:
потери от мошенничества растут по всем направлениям
особенно растут направлениям мошенничества в сфере закупок, дополнительных сервисов и мобильной коммерцией