Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес

Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес

Тинькофф Бизнес провел исследование самых распространенных ошибок в сфере информационной безопасности, которые допускают компании из сегмента малого и среднего бизнеса.

В ходе исследования были проанализированы более 40 тысяч сайтов и баз данных компаний разного масштаба из различных отраслей. Все сайты, попавшие в выборку исследования, проверялись три раза на предмет устранения уязвимостей — в мае, июле и августе 2021 года.

За это время аналитики Тинькофф Бизнеса выявили 20 видов ошибок. Самые распространенные были связаны с доменом, базами данных и шифрованием.

Почти половина (46%) сайтов и баз данных компаний оказалась под угрозой — мошенники могут легко их увести или воспользоваться дырами в безопасности. Каждая пятая компания допускает у себя, как минимум, две ошибки.

Самые частые ошибки и способы их решения

1. Неверифицированный домен. Самая распространенная киберугроза для компаний МСБ — отсутствие верификации домена, то есть адреса сайта. Она встречается у каждой третьей компании (34%). Эта угроза означает, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им.

Если у сайта нет верификации, злоумышленник может заявить, что именно он является его владельцем, получить на него права, а компания больше не сможет использовать собственный адрес.

Чтобы сохранить домен, нужно обратиться к регистратору с письмом и подтвердить свои права на домен.

2. Незащищённая база данных. Более чем у четверти компаний малого и среднего бизнеса (27%) база данных не защищена. Мошенник может беспрепятственно скачать данные о клиентах, сотрудниках, компании. Например, имена, адреса, номера телефонов, сумму сделки. Чтобы украсть данные, злоумышленнику достаточно обнаружить ошибки, сообщающие, что база данных открыта, и просто подобрать к ней пароль и логин.

Осложнить жизнь мошенникам в этой ситуации можно разными способами: закрыть порт базы данных, усложнить к ней пароль или включить фильтрацию IP-адресов, чтобы открыть данные могли только владельцы бизнеса и доверенные лица.

3. Ошибка сертификата безопасности. SSL сертификат необходим для того, чтобы работать по протоколу безопасного соединения HTTPS. Сертификат подтверждает, что сайт принадлежит конкретной организации, позволяет узнать сервер и подтвердить безопасность сайта. У 15% компаний сертификат не соответствует действующему домену, и сайт оказывается уязвимым к атакам с перехватом данных. При заходе на страницу пользователи видят, что подключение не защищено.

Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес

Чтобы решить проблему, нужно перевыпустить сертификат.

4. Слабая защита от шифровальщиков. Если мошенник получит доступ к информационным ресурсам организации, он может зашифровать данные и заблокировать их использование для компании и ее сотрудников. В дальнейшем преступники могут вымогать деньги за возврат данных. 9% сайтов МСБ слабо защищены от блокировки доступа к данным.

Порты для шифровальщиков закрыты по умолчанию, открывают их в основном по недосмотру.

Решение у проблемы простое — закрыть порт. Ни для чего, кроме работы мошенников он не нужен.

5. Просроченный SSL-сертификат. SSL сертификат гарантирует сайту безопасность, а пользователю — конфиденциальность. При истечении срока действия сертификата браузер сообщает всем посетителям, что соединение не защищено. Это снижает доверие пользователей, и компания теряет потенциальных клиентов. Перевыпустить сертификат вовремя забывают 7% компаний МСБ.

Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес

Самые редкие уязвимости связаны с удалённым управлением серверами компаний — на них приходится чуть больше 5% ошибок.

Клиенты Тинькофф Бизнеса могут бесплатно проверить свои информационные ресурсы на предмет наличия ошибок в кибербезопасности. Для этого нужно оставить заявку в чате мобильного приложения. Аналитики Тинькофф Бизнеса проведут проверку и составят отчет, в котором будут отражены найденные угрозы безопасности из перечисленных в исследовании и предложены решения их нейтрализации.

1010
24 комментария

Вот бы Тинькофф перестал сливать данные клиентов. Заказал карту, 2 недели атаковали разные банки. Отправил запрос на расчет кредита, снова та же история. Ребята, не вам рассказывать о кибербезопасности.

3
Ответить

Здравствуйте. Таким мы точно не занимаемся. Чтобы мы проверили ваш случай, пожалуйста, отправьте ФИО и дату рождения нам в личку. Также мы можем исключить ваш номер из обзвона и более не потревожить, если хотите.

2
Ответить

это да, но не страшно
хуже что они телефоны клиентов мобайла сливают мошенникам и дают им доступы к ЛК банка и гос услугам, чтобы сдирать деньги с клиентов.
кибербезопастность? это когда звонишь с левого номера в тинько и говоришь я такой то такой то, давйте мне доступ в мой лк и они тебе его просто так дают?
да здесь через день статьи от клиентов @Тинькофф как их банк подставил. и у меня в том числе.

1
Ответить

Комментарий недоступен

2
Ответить

у них не отображается номер при входящем.
да и в целом путаница.
они мошенникам дали все мои доступы 2 раза, и не могли забличить сим карту 2 дня
а счет они в принципе не умеют блокировать
они мне скомпрометированные счета как то разблокирвоали сами по себе. я потом 3 часа потратил чтобы заблокировать.
они блокируют только карты, счета- нет ( но говорят что заблокировали)
а мошенники потом просто к этим счетам выпускают виртуалку за 30 секунд и все :))

1
Ответить

Про тинькофф и их кибербезопасную генерацию смс кодов https://habr.com/ru/post/462071/

1
Ответить

Отправил заявку на проверку сайта. Посмотрим, что ответят!

1
Ответить