Опубликовано
03.07.2025, 11:51Цифровой облик банковского сектора Кыргызстана дал трещину. Согласно исследованию, проведенному Ассоциацией цифровой устойчивости (DRA) совместно с TSARKA Kyrgyzstan, почти половина сайтов банков и микрофинансовых организаций страны демонстрируют тревожный уровень защищенности. Из 26 исследованных ресурсов у 14 были зафиксированы критические уязвимости, которые могут быть использованы для хищения данных и атак на клиентов.
Исследование выявило целый спектр проблем: от открытых портов и устаревших версий TLS до уязвимых субдоменов и неверных конфигураций почтовых серверов. Средний уровень защищенности составил 71.75%. Для финансового сектора, где на карту поставлены миллиарды сомов и доверие населения, — это больше похоже на «желтую карточку», чем на удовлетворительный результат.
Среди выявленных уязвимостей — отсутствие базовых заголовков безопасности (X-XSS-Protection, Content-Security-Policy и др.), устаревшие CMS, доступ к критическим путям типа /admin или /config.bak, а также отсутствие защиты от подмены DNS-записей. Ни один из сайтов не использует DNSSEC — международный стандарт, обеспечивающий целостность и подлинность данных.
Также оказалось, что 9 сайтов по-прежнему используют устаревший протокол TLS 1.2, несмотря на наличие более защищенных версий. У 10 ресурсов найдены критические CVE — уязвимости, официально зарегистрированные в международных базах. К примеру, CVE-2023-40743 или CVE-2021-27023 могут привести к полному перехвату трафика и компрометации серверов.
Лучшие показатели продемонстрировали сайты obank.kg, fincabank.kg, esb.kg, kicb.net и ab.kg — их защищенность оценивается на уровне выше 85%.
«Результаты анализа защищенности банковского сектора КР показали наличие тенденции к увеличению уровня информационной безопасности, однако в ряде веб-ресурсов были выявлены серьезные уязвимости, которые нуждаются в исправлении в кратчайшие сроки, — пишут авторы исследования. — Основные уязвимости касаются неправильной настройки DNS, отсутствия базовой защиты от фишинга и спуфинга, наличия открытых портов и директорий, а также устаревших технологий с известными уязвимостями. Некоторые интернет-ресурсы находятся на минимальном уровне защищенности, несмотря на публичную значимость и потенциальные риски утечки данных или компрометации».
В числе рекомендаций обязательное внедрение SPF, DKIM и DMARC на всех доменах, аудит субдоменов и устранение забытых тестовых ресурсов, закрытие нестандартных портов, обновление CMS и компонентов веб-приложений, а также установка систем автоматического мониторинга уязвимостей.
Отдельно подчеркивается важность назначения ответственных за кибербезопасность на уровне руководства банков, внедрения протоколов безопасности электронной почты и регулярного обучения IT-специалистов.
Такой подход, уверены эксперты, может защитить банковскую систему от сценариев, при которых одна ошибка конфигурации может обернуться убытками. Кроме того, речь идет не только о киберугрозах, но и об имидже банка.
