Bezpieczeństwo zasobów sieciowych powinno leżeć na sercu zwłaszcza bankom czy innym instytucjom finansowym. Specjaliści od cyberbezpieczeństwa firmy WebTotem postanowili więc sprawdzić pod tym kątem banki działające w naszym kraju, których serwery fizycznie położone są w Polsce.
Audyt WebTotem został przeprowadzony w pierwszej połowie czerwca 2020 r., podczas którego sprawdzano 11 obszarów związanych ze stronami banków, dostępnych dla zwykłego użytkownika Internetu, a więc bez użycia specjalistycznych narzędzi czy ingerencji w systemy bankowe.
Olzhas Satiyev, CEO WebTotem:
Chcieliśmy określić, jakie potencjalne wektory ataku mogą być wykorzystywane przez hakerów. Atakujący może łatwo stworzyć taką jak nasza listę kontrolną ustawień bezpieczeństwa, aby budować dalsze wektory ataku na bank i jego klientów. Wydobywaliśmy informacje i dane dostępne dla zwykłego użytkownika internetu.
WebTotem wymienia tu następujące obszary objęte tym audytem:
Jakie banki zostały sprawdzone? WebTotem sprawdził strony 33 banków w Polsce, dobranych według kryterium fizycznej dostępności serwerów w naszym kraju.
Na początek zerknijmy na ogólne liczby wyników audytu. Na 33 zbadane strony banków w Polsce średni wskaźnik ich bezpieczeństwa wyniósł 61%, a średni wskaźnik bezpieczeństwa poczty elektronicznej 80%. Tylko 9% domen banków ma wysoką ocenę bezpieczeństwa w odniesieniu do nagłówków HTTP i CSP, 18% banków nie przeszło weryfikacji ustawień SSL/TLS. W 61% banków wykryto wycieki informacji, a znaleziono ich dokładnie 4,5 tys., z czego 2,5 tys. tylko w jednym banku.
100% banków nie ma zgodności z normą Security.txt, 45% banków podlega ryzyku wykorzystania podatności sieciowych, 12% z nich ma otwarte porty, 21% domen ma niską prędkość ładowania stron, a strona jednego z banków ma negatywną reputacje domeny. Do tego aż 76% banków ma problemy z zapewnieniem ochrony danych osobowych klientów.
To dla zupełnego laika brzmi niezbyt optymistycznie... Niemniej sprawdźmy już ranking badanych banków pod względem bezpieczeństwa.
Wygrywa go Volkswagen Bank Polska z wynikiem 90,8%, na drugim miejscu uplasował się HSBC Bank Polska - 88,7%, a podium zamyka Alior Bank - 83,7%. Niżej dane banków zostały zanonimizowane, ale dostaliśmy zgodę na udostępnienie wyników pełnego raportu, pokazujemy więc je bez wskazywania obszarów, w których dane banki niezbyt dobrze sobie radzą:
| Bank name | SCORE | Bank name | SCORE | Bank name | SCORE |
| Volkswagen Bank Polska | 90.8 | Bank Polskiej Spóldzielczosci | 68.1 | UBS a.g. | 53.3 |
| HSBC Bank Polska | 88.7 | Santander Consumer Bank SA (former CC-Bank) | 66.5 | Bank Millennium SA | 53.0 |
| Alior Bank | 83.7 | Bank Pocztowy | 66.0 | GETIN Bank SA | 51.5 |
| Pekao Bank Hipoteczny | 83.6 | Bank Ochrony Srodowiska S.A. | 64.7 | Bank BPH | 49.5 |
| Bank Gospodarstwa Krajowego | 78.6 | NOBLE Bank SA | 64.5 | Bank DnB NORD Polska; | 49.2 |
| Danske Bank Polska | 78.5 | Haitong Bank, S.A., Warsaw Branch | 61.7 | BNP Paribas Bank Polska | 48.6 |
| Toyota Bank Polska | 76.6 | Inteligo | 58.7 | Mazowiecki Bank Regionalny | 43.8 |
| Bank Spółdzielczy w Brodnicy | 73.5 | Nordea Bank Polska | 58.5 | PKO Bank Polski | 43.5 |
| Bank Handlowy w Warszawie SA (part of Citigroup) | 71.5 | Societe Generale | 56.5 | ING Bank Śląski SA | 38.6 |
| FCE Bank Polska (former Ford Bank) | 68.8 | Idea Bank Spółka Akcyjna | 54.5 | Skandinaviska Enskilda Banken AB (SA) (SEB) | 38.5 |
| Credit Agricole (former Lukas Bank) | 68.6 | mBank | 53.5 | Mercedes-Benz Bank Polska SA | 33.7 |
Metodologia oceny stron poszczególnych banków i jej kryteria przedstawiały się następująco:
Zobaczmy jeszcze ogólne wyniki audytu w wybranych obszarach, w których został przeprowadzony. Jedynie 18 domen spełniło kryteria na liście kontrolnej związanej ze oprogramowaniem stron banków (między innymi brak ryzyka wykorzystania podatności sieciowych takich jak SQL Injection czy Cross Site Scripting).
Jeśli chodzi o szyfrowanie ruchu i sprawdzenie ustawień SSL/TLS, test pozytywnie przeszło 27 domen.
Przy ocenie nagłówków bezpieczeństwa HTTP i polityki bezpieczeństwa treści, a więc obszaru podatnego na ryzyko ataków XSS (Cross-site scripting), 9% stron banków uzyskało wysoką ocenę, a pozostałe średnią.
Niezbyt optymistycznie to wygląda w przypadku podatności na wyciek wrażliwych informacji. Tylko 13% banków przeszło ten test poztywnie.
Przy analizie portów nieużywanych przez serwer sieciowy - 80 i 443 w kilku bankach okazały się one otwarte.
W przypadku bezpieczeństwa poczty elektronicznej, a więc obszaru najbardziej narażonego na phishing, 67% zadbało należycie o zabezpieczenia w tym zakresie.
--
W wyniku badania bezpieczeństwa zasobów sieciowych banków w Polsce, stwierdzono średni poziom implementacji publicznie dostępnych zaleceń odnośnie konfiguracji serwerów sieciowych i elementów z nimi związanych. Uzyskawszy ogólny obraz bezpieczeństwa zasobów sieciowych banków wywnioskowano, że: wiele banków zaniedbuje nawet najbardziej powszechne i łatwe w zastosowaniu środki podnoszące bezpieczeństwo zasobów sieciowych. Sprawdziwszy zasoby sieciowe banków zgodnie z kryteriami opisanymi powyżej, stwierdzono, że dość dobrze poznane podatności i problemy z bezpieczeństwem są wciąż obecne w zasobach sieciowych banków w Polsce. Obecna sytuacji pozwala atakującym liczyć na powodzenie w atakach na w/w organizacje finansowe.
Źródło: WebTotem.
Stock Image from Depositphotos.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
