В период с 2010 по 2011 год эксперты компании Positive Technologies в рамках оказания услуг по тестированию на проникновение и анализу защищенности информационных систем проводили детальный анализ веб-приложений ключевых российских компаний и предприятий. Несмотря на хорошо выстроенные в этих организациях процессы ИБ, 10% проанализированных сайтов не только содержали критические уязвимости, но и были уже взломаны.

Объектами исследования стали 123 портала государственного и финансового секторов, телекоммуникационной, промышленной и других отраслей российской экономики. В среднем на каждый сайт пришлось по 15 уязвимостей. Две трети веб-ресурсов содержали критические уязвимости, и почти на всех сайтах были обнаружены проблемы с безопасностью среднего уровня риска.

Сайты телекомов уязвимы больше остальных

Лидером по количеству слабозащищенных сайтов оказались телекоммуникации: 88% ресурсов этой отрасли содержали критические уязвимости. По оценке экспертов Positive Technologies столь большое число уязвимых веб-приложений связано с экстенсивным ростом телекоммуникационных компаний. Широкое распространение сделок по слиянию и поглощению создает чрезмерное многообразие типов информационных систем и оборудования, что превращает обслуживание такого технологического парка в очень сложную задачу.

Вследствие низкого уровня безопасности телекоммуникационных сайтов базы данных клиентов сотовых операторов и другая конфиденциальная информация часто оказываются в руках спамеров и мошенников.

Достаточно много порталов с критическими уязвимостями было обнаружено также в сфере информационных технологий и в государственном секторе, где доли ресурсов с наиболее опасными уязвимостями составляют 75% и 65% соответственно.

Уровень защищенности в промышленной отрасли можно охарактеризовать как средний. Критические уязвимости были найдены на 50% сайтов (это лучше ситуации в телекоме и госсекторе). С другой стороны, в промышленной сфере эксперты Positive Technologies обнаружили целый ряд ресурсов, на которых концентрация критических уязвимостей крайне высока. Злоумышленник может использовать уязвимости на сайте для проникновения в IT-инфраструктуру предприятия, что зачастую грозит самыми печальными и непредсказуемыми последствиями — от промышленного шпионажа до полной остановкой производства или экологической катастрофы.

Сайты банков и системы ДБО защищены, а их клиенты — нет

Наибольшее внимание защищенности своих сайтов от критических уязвимостей уделяют владельцы веб-ресурсов из финансовой отрасли: только 43% проанализированных веб-приложений содержат критические уязвимости. Дополнительный анализ систем дистанционного банковского обслуживания показал, что в них устранены практически все критические уязвимости.

Тенденция развития кибермошенничества на сегодняшний день такова, что преступнику легче проводить атаки на компьютер клиента банка, который оказывается самым слабым звеном в системах удаленного предоставления банковских услуг. Такие уязвимости, как межсайтовая подмена запросов (CSRF, найдена в 6% систем ДБО) и межсайтовое выполнение сценариев (XSS, 18%), не будучи критическими, при определенных условиях позволяют злоумышленнику осуществить фишинг-атаку и совершить кражу.

При этом большинство сайтов финансового сектора пока не соответствуют международным стандартам, несмотря на то, что примерно 98 из каждых 100 уязвимостей в системах ДБО и других веб-приложениях финсектора — не являются критическими.

Как следует из полученной статистики, только 10% исследованных веб-приложений финансового сектора (включая ДБО) удовлетворяют требованиям стандарта безопасности данных индустрии платежных карт PCI DSS.

«Зачастую при попытке оценить те или иные риски в области безопасности недостает тривиальной вещи — точки отчета, возможности сравнить текущий уровень своей защищенности с ситуацией в отрасли в целом, — прокомментировал результаты исследования Сергей Гордейчик, технический директор Positive Technologies. — Мы надеемся, что предоставленная информация поможет компаниям взвешенно проанализировать актуальные угрозы безопасности веб-приложений и выбрать адекватные механизмы защиты. Понятно, что нельзя судить о вероятности компрометации исходя только из статистики уязвимостей. Но тот простой факт, что 10% крупнейших корпоративных сайтов и веб-приложений содержали вредоносные программы, то есть уже были взломаны, — заставляет крепко задуматься о текущем уровне защищенности».

Полная версия исследования компании Positive Technologies содержит также анализ защищенности сайтов, на которых обнаружен вредоносный код, десятку наиболее распространенных уязвимостей, поквартальную динамику, сравнение характерных уязвимостей в зависимости от различных факторов (языка программирования, веб-сервера, отрасли экономики, типа CMS), анализ защищенности систем ДБО, а также анализ данных в контексте требований стандарта PCI DSS.