«Солар» назвал топ 5 критических уязвимостей банковских приложений
В финансовых приложениях, где обрабатываются конфиденциальные данные и транзакции пользователей, безопасность кода имеет важное значение. Эксперты ГК «Солар» проана-лизировали миллионы строк кода с помощью статического, динамического анализа и ана-лиза сторонних компонентов и оценили степень критичности обнаруженных уязвимостей. Низкий уровень защищенности исследователи отметили в 20% приложений, средний – в 39%. Это означает, что больше половины приложений имеют уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Важно отметить, что в более 50% исследованных приложений была обнаружена хотя бы одна критическая уязви-мость. Одной из самых распространенных уязвимостей в финансовых приложениях является не-достаток контроля доступа (78%). Корректно разграниченный доступ особенно важен для организаций сектора. Отсутствие контроля за привилегиями сотрудников может привести к тому, что как внутренний, так и внешний нарушитель получает нелегитимный доступ к са-мому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонаме-ренных целях. В качестве мер защиты в данном случае специалисты «Солара» рекомен-дуют использовать реализацию принципа наименьших привилегий, а также мониторинг из-менений прав доступа. Межсайтовый скриптинг (XSS) по-прежнему остается одной из самых актуальных проблем для веб-приложений (75%). Внедрение вредоносного JavaScript-кода происходит через пользовательский ввод, который выполняется в стороннем браузере. Наиболее распро-страненный пример — кража сессионных cookies или перенаправление на фишинговый сайт. Чтобы защититься от межсайтового скриптинга, банкам необходимо более тщательно валидировать и экранировать входные данные, а также использовать Content Security Policy (CSP). Недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов — третья по распространенности уязвимость (56%). Использование устаревших протоколов и слабых криптоалгоритмов позволяет злоумышленнику быстро подобрать значения хэш-функции или получить доступ к данным. 36% уязвимостей пришлись на недостатки логирования и мониторинга. Отсутствие или не-достаточное логирование событий затрудняет обнаружение и расследование атак. В таких случаях банки могут не отследить несанкционированный доступ к ИТ-системе. То есть в ИТ-системе есть запись о совершении самой транзакции, однако возникает недо-статок технологической информации о процессе, что также может затруднять расследова-ние киберинцидентов. Внедрение централизованного логирования, мониторинг подозри-тельной активности, использование SIEM-систем помогают финансовым организациям из-бежать подобных рисков. Избыточное логирование, в свою очередь, так же может привести к инцидентам ИБ. Напри-мер, сохранение функций полного логирования (обычно используется на этапе разработки и тестирования) в промышленной эксплуатации может привести к небезопасному хранению данных пользователя вне информационных систем. Сейчас большинство зрелых финансовых организаций отказываются от монолитных ин-формационных систем в пользу микросервисной архитектуры. Для обмена данными между частями системы используются интерфейсы прикладного программирования (API). Недо-статочный контроль API, включая сохранение скрытых точек входа может привести к утеч-ке данных или несанкционированному доступу и, по данным исследования «Солара», вхо-дит в топ-5 уязвимостей (25%). Такие риски позволяет нивелировать использование OAuth, JWT, своевременная проверка прав доступа. Помимо вышеперечисленных уязвимостей в топ-10 самых распространенных также вошли: небезопасная аутентификация и управление сессиями; небезопасная конфигурация; недо-статки в обработке ошибок и шифровании; уязвимости в сторонних библиотеках; а также перехват сессий. По данным центра противодействия кибератакам Solar JSOC, в 3 квартале 2024 года более 70% высококритичных киберинцидентов были связаны с компрометацией учетных записей сотрудников. Этот показатель оказался рекордным за последние несколько лет. Одна из причин — резкий рост атак по типу подбора логина к имеющемуся словарному паролю. «По данным “Солара”, объем утечек данных из банков по итогам прошлого года составил 410 миллионов строк против 161 миллиона в 2023 году. Они содержали ФИО клиентов, ад-реса, номера телефонов, электронные почты, кредитную историю и другую чувствительную информацию. По объему утечек финансовая отрасль стала наиболее уязвимой среди дру-гих, опережая все сектора экономики, в том числе и госсектор. Мы наблюдаем постепенное повышение уровня защиты информационных систем в части контроля за безопасностью разработки банковских приложений. Интерес к таким инструментам со стороны банков год к году возрастает, что подтверждают результаты наших исследований. В основном это свя-зано со стремлением финансовых организаций соответствовать требованиям регуляторов и совершенствованием законодательства в части разработки ПО. Внедрение решений для анализа кода в процесс разработки снижает риски самых распространенных уязвимостей приложений», — говорит Владимир Высоцкий, руководитель развития бизнеса ПО Solar appScreener. Solar appScreener — комплексное решение для контроля безопасности приложений, соче-тающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт может ис-пользоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки. Анализ защищенности мобильных приложений для операционных систем Android и iOS проводился аналитиками «Солара» посредством статического анализа без функционала декомпиляции кода и опросов заказчиков.
Консалтинговая компания Axenix провела исследование конвергенции маркетплейсов и банков на российском и мировом рынках. Результаты исследования показывают, как влияет на рынок сближение и взаимопроникновение секторов финансов и электронной коммерции
В 2025 году российский рынок информационной безопасности (ИБ) стремительно развивался в ответ на требования цифровизации, регуляторные изменения и усиление угроз со стороны киберпреступности.
Специалисты ФСБ России провели успешные испытания «Континент-АП» Версия 4 (сборки 4.1.689.0 и 4.1.725.0) на соответствие требованиям к средствам криптографической защиты информации (СКЗИ).
Компания EGAR успешно завершила первый проект по внедрению и интеграции конвертера Swift-сообщений «СМАРТКОНВЕРТ» в инфраструктуру российского банка. Проект реализован в ответ на глобальные изменения Swift по обязательному переходу участников финансового рынка на стандарт ISO 20022. Внедрение конвертера позволит Заказчику обеспечить плавную миграцию платежных потоков без остановки операционной деятельности.
ГК «Оптимакрос» заняла 4 место в рейтинге ИТ-разработчиков 2024 года, чьи программные продукты используются в строительной отрасли. В итоговый список аналитики TAdviser включили компании с наибольшей выручкой от реализации ИТ-проектов на базе собственных решений.
ЗАО «Эвалар» и ООО «АС РС» (VARSEAS) заключили соглашение о стратегическом партнерстве, направленном на развитие инновационных решений в сфере продукции для здоровья и укрепление позиций сторон на российском и международном рынках. Подписание документов о сотрудничестве состоялось накануне на предприятии компании «Эвалар» в Бийске.
Платформа серверной виртуализации SpaceVM компании «ДАКОМ М» вошла в тройку лидеров ежегодного Рейтинга российских платформ виртуализации 2025, который подготовил аналитический отдел издания «Компьютерра».
Проведенные тесты подтверждают стабильную и эффективную работу совместного решения, что позволяет предлагать клиентам комплексные отечественные ИТ-продукты, соответствующие требованиям импортозамещения и информационной безопасности.
Работу станков, линий и технологических комплексов определяют проекты ПЛК, и любое несанкционированное изменение в их коде может привести не только к аварии и простоям, но и к угрозе безопасности людей.
Банк Уралсиб оценил результаты применения системы активной бизнес-аналитики Proceset, которая помогла повысить эффективность работы сотрудников с новым программным продуктом.
АО «Центр развития электронных торгов» (оператор ЭТП «Торги223») объявляет о завершении проекта по переносу инфраструктуры на облачную платформу Yandex Cloud.
Завод по производству автоклавного газобетона (входит в периметр ГК ФСК), расположенный на территории промышленно-строительного комплекса в Зеленограде, получил разрешение на ввод в эксплуатацию. Комплекс возводит ГК ФСК в рамках масштабного инвестиционного проекта (МаИП). По программе стимулирования создания мест приложения труда завод обеспечит более 100 высокотехнологичных рабочих мест.
