Мошенники в очередной раз оформили микрозайм на ни в чем не повинного гражданина. Ничего удивительного, кроме того, что этот гражданин – Жерар Депардье. Который с 2013 года гражданин и нашего мира. Алгоритмы скоринга и проверки выдач в МФО – сложный технологический процесс и большая (как минимум коммерческая) тайна.
Если эта новость больше похожа на хайповую утку, то другая, о том, что в каждом втором банковском приложении обнаружены критические уязвимости – вообще не кажется забавной.
Самая распространенная проблема – контроль доступа. Из-за этого «как сотрудник, так и злоумышленник со стороны может получить нелегитимный доступ к самому широкому спектру информации». Например, работник банка может увидеть информацию о движении по счетам любого клиента, хотя по должности ему и не положено.
Серебряный призер – собственно банковские сайты и приложения. В них часто встречается уязвимость, которая «позволяет внедрить вредоносный код в страницу сайта – например, через кражу сессионных cookies или перенаправление на фишинговый сайт» (это с официального сайта-то!).
Ну и на третьем месте – проблемы с шифрованием, небезопасная обработка или хранение конфиденциальной информации. Номера кредитных карт, пароли и персональные данные клиентов (привет оборотные штрафы с июня 2025).
Все это подтверждается статистикой утечек – в III квартале 2024 года более 70% самых критичных ИБ-инцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. В связи с чем «по объему утечек финансовая отрасль стала наиболее уязвимой среди других, опережая все сектора экономики, в том числе и госсектор». Хотя эксперты и отмечают, идет «постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений», факт налицо – до финишной прямой предстоит еще немало промежуточных побед, так сказать.
А где дыры в ИБ, там и прямые убытки клиентов банка. И если в ситуациях с физлицами банки чаще идут навстречу (точнее, законодатель и суды их убеждают идти), компенсируя клиентам убытки, то в спорах с бизнес-клиентами все не так однозначно и мирно. Сперва поди докажи, что это не твоя вина и вообще не «риск предпринимательской деятельности». А тут еще и «as is» в договоре с банком про весь этот софт. И что тут поделаешь?
А сделать можно вот что – доказать в суде, а еще лучше уже на этапе переговоров с банком, что есть прямая причинно-следственная связь дыры в софте или сайте банка с убытками клиента. А возможно и явная вина банка, отвечающего за умышленные или халатные действия своих работников. И доказать это можно экспертизой, причем даже не обязательно судебной, как показывают описанные эксперименты. А тут уже и до выигрыша недалеко.
Если эта новость больше похожа на хайповую утку, то другая, о том, что в каждом втором банковском приложении обнаружены критические уязвимости – вообще не кажется забавной.
Самая распространенная проблема – контроль доступа. Из-за этого «как сотрудник, так и злоумышленник со стороны может получить нелегитимный доступ к самому широкому спектру информации». Например, работник банка может увидеть информацию о движении по счетам любого клиента, хотя по должности ему и не положено.
Серебряный призер – собственно банковские сайты и приложения. В них часто встречается уязвимость, которая «позволяет внедрить вредоносный код в страницу сайта – например, через кражу сессионных cookies или перенаправление на фишинговый сайт» (это с официального сайта-то!).
Ну и на третьем месте – проблемы с шифрованием, небезопасная обработка или хранение конфиденциальной информации. Номера кредитных карт, пароли и персональные данные клиентов (привет оборотные штрафы с июня 2025).
Все это подтверждается статистикой утечек – в III квартале 2024 года более 70% самых критичных ИБ-инцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. В связи с чем «по объему утечек финансовая отрасль стала наиболее уязвимой среди других, опережая все сектора экономики, в том числе и госсектор». Хотя эксперты и отмечают, идет «постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений», факт налицо – до финишной прямой предстоит еще немало промежуточных побед, так сказать.
А где дыры в ИБ, там и прямые убытки клиентов банка. И если в ситуациях с физлицами банки чаще идут навстречу (точнее, законодатель и суды их убеждают идти), компенсируя клиентам убытки, то в спорах с бизнес-клиентами все не так однозначно и мирно. Сперва поди докажи, что это не твоя вина и вообще не «риск предпринимательской деятельности». А тут еще и «as is» в договоре с банком про весь этот софт. И что тут поделаешь?
А сделать можно вот что – доказать в суде, а еще лучше уже на этапе переговоров с банком, что есть прямая причинно-следственная связь дыры в софте или сайте банка с убытками клиента. А возможно и явная вина банка, отвечающего за умышленные или халатные действия своих работников. И доказать это можно экспертизой, причем даже не обязательно судебной, как показывают описанные эксперименты. А тут уже и до выигрыша недалеко.