Polski rynek bankowości uważany jest za lidera cyfrowej dojrzałości. Użytkownicy z naszego kraju przyzwyczaili się do ultranowoczesnych rozwiązań. Według zeszłorocznego badania Związku Banków Polskich z bankowości internetowej korzysta już niemal połowa Polaków.
Dlatego bardzo ważne jest bezpieczeństwo należących do banków stron internetowych. WebTotem, firma zajmująca się bezpieczeństwem sieci, przeanalizowała bezpieczeństwo stron 33 polskich banków.
Analizowane były informacje, które są dostępne publicznie. Przeprowadzony test nie był więc testem penetracyjnym - co oznacza, że WebTotem fizycznie nie próbował ingerować w strony i dane banków.
Wyniki
Żadna strona banku nie jest w stu procentach szczelna. Średni wynik badanego banku to 61 na 100 punktów, a żaden bank nie osiągnął w badaniu maksymalnego wyniku. Te najlepsze miały jedynie drobne uchybienia, ale każdy miał jakieś problemy z bezpieczeństwem - od nieaktualnych systemów CMS (zarządzania treścią na stronie) - które mogą mieć znane już cyberprzestępcom “dziury" (15 na 33 przebadane banki), po - w jednym przypadku - negatywną reputację domeny w wyszukiwarkach.
Inne istotne problemy to niska prędkość stron (21 proc. domen badanych banków ma powolne strony - co czyni je podatnymi na ataki typu DDOS, gdzie hackerzy próbują przeciążyć daną stronę powodując jej wyłączenie), podatność na wycieki informacji (w 61 proc. badanych banków maile pracowników znaleziono w zewnętrznych serwisach, nad którymi bank nie ma kontroli i hacker może uzyskać do nich dostęp), czy problemy z szyfrowaniem ruchu - 6 z badanych banków nie miało, lub miało nieprawidłowo skonfigurowane protokoły bezpieczeństwa SSL/TLS, co może sprawić, że haker jest w stanie przejąć dane wysyłane przez klienta do banku, lub przez bank do klienta.
- Badanie przeprowadzone przez WebTotem wskazało szereg słabych i podatnych na ataki punktów banków w Polsce, które mogą prowadzić do poważnych strat finansowych, a nawet do nieodwracalnej utraty reputacji, pomimo tego, że na pierwszy rzut oka wydają się nieistotne i trudne do wykorzystania przez hakerów - informuje firma we wnioskach z raportu.
Przypomina też, że w 2017 roku doszło do bardzo poważnego ataku hakerów, którzy dostali się do wewnętrznych systemów 20 polskich banków i KNF. Na szczęście pieniądze klientów nie były zagrożone.
Metodyka badania
Celem badania było określenie potencjalnych wektorów ataku na strony, które mogą być wykorzystywane przez hakerów. Firma przeanalizowała 11 parametrów. M.in. aktualność używanego systemu CMS, wydajność strony, reputację domeny oraz szyfrowanie ruchu. Zwrócono też uwagę na otwarte porty, nagłówki bezpieczeństwa html i bezpieczeństwa treści, możliwość wycieków danych czy bezpieczeństwo poczty elektronicznej. Specjaliści zbadali także zgodność ze standardem security.txt, oznaki penetracji strony przez hakerów oraz zgodność z wymaganiami rozporządzenia o RODO.
- Cyberprzestępca może łatwo stworzyć podobną listę kontrolną ustawień bezpieczeństwa i używać jej do kolejnych prób wtargnięcia na stronę. Mamy nadzieję, że wyniki tego badania ułatwią działom bezpieczeństwa informacji w bankach identyfikację podatności, które mogą potencjalnie stać się dostępne dla dzisiejszych cyberprzestępców - wyjaśnia Olzhas Satiyev, założyciel WebTotem.
WebTotem nie ingerował w strony i dane banków, a tylko analizował informacje dostępne publicznie, czyli takie, które może zdobyć każdy użytkownik internetu, bez specjalnych narzędzi. Przy większości badanych punktów wystarczyło wysłać zapytania HTTP i DNS oraz przeanalizować odpowiedzi pochodzące od serwera. Dobierając banki do badania przyjęto założenie, że serwery banków muszą fizycznie znajdować się na terenie naszego kraju
raport: WebTotem to narzędzie SaaS monitorujące strony internetowe i aplikacje sieciowe
