19

WebTotem sprawdził zabezpieczenia stron banków w Polsce. Mamy pełen raport z audytu!

Bezpieczeństwo zasobów sieciowych powinno leżeć na sercu zwłaszcza bankom czy innym instytucjom finansowym. Specjaliści od cyberbezpieczeństwa firmy WebTotem postanowili więc sprawdzić pod tym kątem banki działające w naszym kraju, których serwery fizycznie położone są w Polsce.

Audyt WebTotem został przeprowadzony w pierwszej połowie czerwca 2020 r., podczas którego sprawdzano 11 obszarów związanych ze stronami banków, dostępnych dla zwykłego użytkownika Internetu, a więc bez użycia specjalistycznych narzędzi czy ingerencji w systemy bankowe.

Olzhas Satiyev, CEO WebTotem:

Chcieliśmy określić, jakie potencjalne wektory ataku mogą być wykorzystywane przez hakerów. Atakujący może łatwo stworzyć taką jak nasza listę kontrolną ustawień bezpieczeństwa, aby budować dalsze wektory ataku na bank i jego klientów. Wydobywaliśmy informacje i dane dostępne dla zwykłego użytkownika internetu.

WebTotem wymienia tu następujące obszary objęte tym audytem:

  • aktualność używanego systemu CMS
  • wydajność strony
  • reputację domeny
  • nagłówki bezpieczeństwa html i bezpieczeństwa treści
  • szyfrowanie ruchu
  • otwarte porty
  • możliwość wycieków danych
  • bezpieczeństwo poczty elektronicznej
  • zgodność ze standardem security.txt
  • oznaki penetracji strony przez hackerów
  • zgodność z wymaganiami rozporządzenia o RODO.

Jakie banki zostały sprawdzone? WebTotem sprawdził strony 33 banków w Polsce, dobranych według kryterium fizycznej dostępności serwerów w naszym kraju.

Na początek zerknijmy na ogólne liczby wyników audytu. Na 33 zbadane strony banków w Polsce średni wskaźnik ich bezpieczeństwa wyniósł 61%, a średni wskaźnik bezpieczeństwa poczty elektronicznej 80%. Tylko 9% domen banków ma wysoką ocenę bezpieczeństwa w odniesieniu do nagłówków HTTP i CSP, 18% banków nie przeszło weryfikacji ustawień SSL/TLS. W 61% banków wykryto wycieki informacji, a znaleziono ich dokładnie 4,5 tys., z czego 2,5 tys. tylko w jednym banku.

100% banków nie ma zgodności z normą Security.txt, 45% banków podlega ryzyku wykorzystania podatności sieciowych, 12% z nich ma otwarte porty, 21% domen ma niską prędkość ładowania stron, a strona jednego z banków ma negatywną reputacje domeny. Do tego aż 76% banków ma problemy z zapewnieniem ochrony danych osobowych klientów.

To dla zupełnego laika brzmi niezbyt optymistycznie… Niemniej sprawdźmy już ranking badanych banków pod względem bezpieczeństwa.

Wygrywa go Volkswagen Bank Polska z wynikiem 90,8%, na drugim miejscu uplasował się HSBC Bank Polska – 88,7%, a podium zamyka Alior Bank – 83,7%. Niżej dane banków zostały zanonimizowane, ale dostaliśmy zgodę na udostępnienie wyników pełnego raportu, pokazujemy więc je bez wskazywania obszarów, w których dane banki niezbyt dobrze sobie radzą:

Bank name SCORE Bank name SCORE Bank name SCORE
Volkswagen Bank Polska 90.8 Bank Polskiej Spóldzielczosci 68.1 UBS a.g. 53.3
HSBC Bank Polska 88.7 Santander Consumer Bank SA (former CC-Bank) 66.5 Bank Millennium SA 53.0
Alior Bank 83.7 Bank Pocztowy 66.0 GETIN Bank SA 51.5
Pekao Bank Hipoteczny 83.6 Bank Ochrony Srodowiska S.A. 64.7 Bank BPH 49.5
Bank Gospodarstwa Krajowego 78.6 NOBLE Bank SA 64.5 Bank DnB NORD Polska; 49.2
Danske Bank Polska 78.5 Haitong Bank, S.A., Warsaw Branch 61.7 BNP Paribas Bank Polska 48.6
Toyota Bank Polska 76.6 Inteligo 58.7 Mazowiecki Bank Regionalny 43.8
Bank Spółdzielczy w Brodnicy 73.5 Nordea Bank Polska 58.5 PKO Bank Polski 43.5
Bank Handlowy w Warszawie SA (part of Citigroup) 71.5 Societe Generale 56.5 ING Bank Śląski SA 38.6
FCE Bank Polska (former Ford Bank) 68.8 Idea Bank Spółka Akcyjna 54.5 Skandinaviska Enskilda Banken AB (SA) (SEB) 38.5
Credit Agricole (former Lukas Bank) 68.6 mBank 53.5 Mercedes-Benz Bank Polska SA 33.7

 

Metodologia oceny stron poszczególnych banków i jej kryteria przedstawiały się następująco:

Zobaczmy jeszcze ogólne wyniki audytu w wybranych obszarach, w których został przeprowadzony. Jedynie 18 domen spełniło kryteria na liście kontrolnej związanej ze oprogramowaniem stron banków (między innymi brak ryzyka wykorzystania podatności sieciowych takich jak SQL Injection czy Cross Site Scripting).

Jeśli chodzi o szyfrowanie ruchu i sprawdzenie ustawień SSL/TLS, test pozytywnie przeszło 27 domen.

Przy ocenie nagłówków bezpieczeństwa HTTP i polityki bezpieczeństwa treści, a więc obszaru podatnego na ryzyko ataków XSS (Cross-site scripting), 9% stron banków uzyskało wysoką ocenę, a pozostałe średnią.

Niezbyt optymistycznie to wygląda w przypadku podatności na wyciek wrażliwych informacji. Tylko 13% banków przeszło ten test poztywnie.

Przy analizie portów nieużywanych przez serwer sieciowy – 80 i 443 w kilku bankach okazały się one otwarte.

W przypadku bezpieczeństwa poczty elektronicznej, a więc obszaru najbardziej narażonego na phishing, 67% zadbało należycie o zabezpieczenia w tym zakresie.


W wyniku badania bezpieczeństwa zasobów sieciowych banków w Polsce, stwierdzono średni poziom implementacji publicznie dostępnych zaleceń odnośnie konfiguracji serwerów sieciowych i elementów z nimi związanych. Uzyskawszy ogólny obraz bezpieczeństwa zasobów sieciowych banków wywnioskowano, że: wiele banków zaniedbuje nawet najbardziej powszechne i łatwe w zastosowaniu środki podnoszące bezpieczeństwo zasobów sieciowych. Sprawdziwszy zasoby sieciowe banków zgodnie z kryteriami opisanymi powyżej, stwierdzono, że dość dobrze poznane podatności i problemy z bezpieczeństwem są wciąż obecne w zasobach sieciowych banków w Polsce. Obecna sytuacji pozwala atakującym liczyć na powodzenie w atakach na w/w organizacje finansowe.

Źródło: WebTotem.

Stock Image from Depositphotos.