Жарыяланган
2025-03-07, 11:51Digital Resilience Association (DRA) жана TSARKA Kyrgyzstan тарабынан жүргүзүлгөн изилдөөгө ылайык, өлкөдөгү банктар менен микрофинансылык уюмдардын дээрлик жарымынын веб-сайттарында коопсуздуктун тынчсыздандырган деңгээли аныкталган. Изилденген 26 ресурстун ичинен 14үндө маалымат уурдоо жана кардарларга кол салуу максатында колдонулушу мүмкүн болгон олуттуу көйгөйлөр табылган.
Изилдөөнүн жыйынтыгында ар түрдүү мүнөздөгү көйгөйлөр аныкталды: ачык порттордон жана эскирген TLS версияларынан тарта, алсыз субдомендерге жана туура эмес жөндөөлөрдөгү почта серверлерине чейин. Коопсуздуктун орточо деңгээли 71,75% түздү.
Аныкталган көйгөйлөрдүн катарында коопсуздуктун негизги HTTP заголовокторунун жоктугу (мисалы, X-XSS-Protection, Content-Security-Policy ж.б.), эскирген мазмун башкаруу системалары (CMS), /admin же /config.bak сыяктуу маанилүү жолдорго ачык жеткилик, ошондой эле DNS жазууларын алмаштыруудан коргоонун жоктугу да бар. Изилденген сайттардын бирөөсү дагы маалыматтын бүтүндүгүн жана аныктыгын камсыздоочу эл аралык стандарт — DNSSEC технологиясын колдонгон эмес.
Мындан тышкары, 9 сайт дагы эле коопсуздук деңгээли төмөн TLS 1.2 протоколун колдонуп жатканы белгилүү болду, бирок анын ордуна заманбап жана ишенимдүү версиялар бар. Ал эми 10 ресурста эл аралык базаларда катталган олуттуу CVE (алсыздык идентификаторлору) табылган. Мисалы, CVE-2023-40743 же CVE-2021-27023 сыяктуу коддор бүтүндөй трафикти тартып алууга жана серверлерди толугу менен бузууга алып келиши мүмкүн.
Эң жогорку коопсуздук көрсөткүчтөрүн obank.kg, fincabank.kg, esb.kg, kicb.net жана ab.kg сайттары көрсөттү — бул ресурстардын коопсуздук деңгээли 85%дан жогору деп бааланган.
“Кыргыз Республикасынын банк секторундагы коопсуздукту талдоонун жыйынтыктары маалыматтык коопсуздуктун деңгээли өсүүдө деген тенденцияны көрсөттү. Бирок бир катар веб-ресурстарда тез арада чечүүнү талап кылган олуттуу алсыздыктар аныкталды”, — деп жазышат изилдөөнүн авторлору. “Негизги көйгөйлөр DNS туура эмес жөндөлүшү, фишинг жана спуфингден коргоонун жоктугу, ачык порттор менен каталогдордун болушу, ошондой эле белгилүү алсыздыктары бар эски технологиялар менен байланыштуу. Айрым интернет-ресурстар элге ачык мааниге жана маалыматтын чыгып кетиши же бузулушу сыяктуу коркунучтарга карабастан, коопсуздуктун эң төмөнкү деңгээлинде калып жатышат”.
Сунушталган чаралардын катарына бардык домендерде SPF, DKIM жана DMARC коргоо механизмдерин милдеттүү түрдө киргизүү, субдомендерди аудиттен өткөрүү жана унутта калган тесттик ресурстарды тазалоо, стандарттуу эмес портторду жабуу, CMS менен веб-тиркемелердин компоненттерин жаңыртуу, ошондой эле алсыздыктарды автоматтык түрдө көзөмөлдөөчү системаларды орнотуу кирет.
Атайын белгиленгендей, банк жетекчилиги деңгээлинде киберкоопсуздук үчүн жооптуу адамдарды дайындоонун, электрондук почтанын коопсуздук протоколдорун ишке киргизүүнүн жана IT-адистерди үзгүлтүксүз окутуунун мааниси өзгөчө чоң.
Мындай ыкма, адистердин ишениминде, бир эле конфигурациялык ката миллиондогон чыгымдарга алып келиши мүмкүн болгон кырдаалдардан банк системасын коргой алат. Мындан тышкары, сөз бир гана киберкоопсуздук коркунучтары тууралуу эмес, банктын аброю жана коомчулуктагы ишеним тууралуу да болууда.
