Календарь мероприятий


Банкам напомнили про обновления: ЦБ нашел новые проблемы в киберзащите отрасли

   ЦБ отметил всплеск использования уязвимости в системе управления сайтами CMS Bitrix, популярной у средних и небольших банков, а также их подрядчиков. По словам экспертов, рост может быть связан с тем, что кредитные организации затянули с установкой обновлений, выпущенных, в том числе, еще год назад. Для банков наличие подобных уязвимостей означает риски проникновения во внутреннюю систему, чреватые в том числе несанкционированными операциями и утечками данных.
   ЦБ запросил у банков информацию о версии CMS Bitrix, используемой самими кредитными организациями или их подрядчиками, следует из письма регулятора от 15 ноября (с ним ознакомился "Ъ"). Судя по информационному бюллетеню, приложенному к письму, с октября по ноябрь регулятор отметил резкий всплеск инцидентов с защитой информации, связанных с эксплуатацией уязвимости CVE-2022-27228. Также регулятор запросил у банков сведения о мерах, "направленных на недопущение возможности эксплуатации заявленных уязвимостей", рекомендовал добавить скрипты и отключить неиспользуемые модули.
   CMS Bitrix - система управления сайтом, имеющая готовые шаблоны и модули для создания интернет-ресурса и подключения к нему необходимого функционала. Уязвимость CVE-2022-27228 подразумевает недостаточную проверку ввода, что позволяет удаленному пользователю без прохождения процедуры аутентификации фактически управлять сайтом.
   По оценке управляющего RTM Group Евгения Царева, систему используют около 20% банков. По мнению ведущего консультанта по ИБ Aktiv.Consulting Александра Моисеева, проблемы потенциально могли возникнуть у средних и небольших кредитных организаций. Он уточнил, что CMS Bitrix популярна и среди компаний среднего и малого бизнеса, которые могут выступать подрядчиками банков.
    В начале месяца (см. "Ъ-Онлайн" от 9 ноября) БЖФ-банк, ВБРР и Фора-банк заявили, что их сайты подверглись атаке хакеров. Немногим раньше (см. "Ъ-Онлайн" от 30 октября) хакеры взломали сайт Национальной системы платежных карт (НСПК). По словам экспертов, эти атаки могут быть связаны с использованием уязвимости CVE-2022-27228 в Bitrix. БЖФ-банк, ВБРР, Фора-банк и НСПК оперативно не ответили на запрос "Ъ".
   В ЦБ уточнили, что упомянутые инциденты имели отношение к уязвимостям в сервисе, который использовали поставщики услуг по созданию и управлению сайтами банков. Там подчеркнули, что "банки, получая от регулятора информацию о рисках, должны учитывать ее в своих бизнес-процессах и оперативно доводить до своих поставщиков".
   Кредитные организации в целом "достаточно оперативно, по мере тестирования новых версий, а также выполнения ряда регламентированных процедур проводят установку новых версий, закрывающих уязвимость, или настройку необходимых параметров для невозможности ее использования", утверждает вице-президент Ассоциации банков России Алексей Войлуков.
   Между тем НКЦКИ (обеспечивает координацию деятельности субъектов КИИ по вопросам атак и реагирования на инциденты) и ФинЦЕРТ сообщали о выявленной уязвимости еще в марте 2022 года, следует из информационного бюллетеня ЦБ. По словам господина Войлукова, спустя несколько месяцев НКЦКИ рекомендовал объектам КИИ обновить CMS Bitrix до актуальных версий. Объявленная уязвимость была закрыта разработчиком еще к августу 2022 года, поясняет он.
   Специалисты по ИБ считают, что текущие инциденты могут быть связаны как раз с задержкой установки обновлений. После выхода официального обновления может быть два подхода - обновление происходит автоматически, условно сразу после появления, или вручную, поясняет господин Царев. По его словам, автоматическое обновление предусмотрено не всегда, в том числе из соображений безопасности, так как в случае возможных ошибок, допущенных разработчиками, оперативное обновление может остановить работу сайта.
   Между тем, по мнению экспертов, использование хакерами этой уязвимости может привести к серьезным последствиям. Если уязвимые внешние веб-ресурсы банка размещены на собственных серверах, есть вероятность проникновения в основные информационные системы, дистанционное банковское обслуживание, интерфейс "банк-клиент", поясняет господин Моисеев. Нарушение их работы угрожает несанкционированными финансовыми операциями, утечкой данных клиентов, проблемами с оказанием услуг, репутационными потерями и штрафами от регуляторов. Впрочем, в ходе атак в октябре-ноябре, уверяют в ЦБ, инфраструктура банков и ключевые процессы не пострадали.

Источник: Коммерсант https://www.kommersant.ru/doc/6351926

23.11.2023

Обсудить в нашей группе на Facebook
Обсудить новости на нашей странице на VKontakte


Новости ББТ
31.10.2024
Обновление раздела ББТ "Информационная безопасность банка" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие легализации" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Внутренний контроль в банке" от 31.10.2024
31.10.2024
Обновление раздела ББТ "Кредитные операции в банке" - от 31.10.2024
31.10.2024
Обновление раздела ББТ "Противодействие НИИИ/МР" от 31.10.2024 Все новости
Наши мероприятия
26.11.2024
26.11.2024 - "Первая работа. Путеводитель"
25.11.2024
25.11.2024 - "Как ключевая ставка Банка России позволяет управлять инфляцией"
22.11.2024
22.11.2024 - "Инфляция и рынок труда"
05.11.2024
05.11.2024 - "Розничные инвесторы и торговля на бирже"
22.10.2024
22.10.2024 - "Основы потребительского кредитования. Обзорная лекция" Все новости
Новости для банков
09.07.2024
ВНИМАНИЮ КЛИЕНТСКИХ И ЮРИДИЧЕСКИХ СЛУЖБ БАНКОВ
25.12.2024
Граждане и бизнес оплатили QR-кодом покупки на сумму 2,6 трлн рублей
25.12.2024
ЦБ не ждет значимого снижения продаж валюты экспортерами из-за смягчения мер по репатриации
25.12.2024
В ЦБ увидели риски чрезмерно быстрого замедления кредитования
24.12.2024
Банки будут обязаны тормозить на два дня подозрительные операции с цифровыми рублями Все новости
Новости библиотеки
18.03.2019
Очередное обновление Электронной Библиотеки Банка от 18.03.2019
12.02.2019
Очередное обновление Электронной Библиотеки Банка от 12.02.2019 Все новости