Насколько защищены веб-приложения

Здравствуйте!

Специалисты компании Positive Technologies, специализирующейся на безопасности информационных систем от современных киберугроз, заявили, что веб-приложения россиян крайне слабо защищены.

Несмотря на то что отмечена положительная тенденция в сфере безопасности в Сети, мошенники все еще могут атаковать пользователей в среднем в девяти из десяти веб-приложений, говорится в отчете компании. По данным на 2023 год, на одно веб-приложение приходится 22 уязвимости — в 2022 году этот показатель был в полтора раза выше. При этом каждая четвертая атака банков начинается именно с веб-приложений, пишет «Коммерсант».

Если вы сейчас облегченно выдохнули, потому что в вашем смартфоне нет сторонних приложений, то вынуждены вас расстроить: к веб-приложениям относятся и личные кабинеты, и социальные сети, и системы электронной коммерции, и интернет-банки — то есть все то, что помогает не только получать информацию на сайте, но и взаимодействовать с ней.

Половина сайтов, исследованных Positive Technologies, содержит уязвимости «высокого уровня риска». Это на 17 % меньше, чем в 2022 году. В 68 % приложений есть угроза утечки данных пользователей, в 39 % возможен несанкционированный доступ, который в 8 % случаев позволяет проводить атаки на локальную сеть организации. В 45 % веб-приложений, попавших в выборку, обнаружены недостатки аутентификации.

Самыми беззащитными оказались сайты госучреждений. У 68 % из них уровень защиты низкий, у оставшихся — ниже среднего. У компаний из сферы телекоммуникаций дела и того хуже: 70 % не дотягивают даже до планки защищенности госучреждений. Правда, у 25 % этот показатель на среднем уровне и выше среднего.

Самое бедственное состояние у региональных сервисов госуслуг.

Вице-президент группы InfoWatch Рустэм Хайретдинов назвал сервисы госуслуг «самой недофинансированной» сферой, так как защиту для нее «писали те, кто предложил меньшую цену на торгах, а потом снижали расходы, нанимая студентов»

Одна из проблем, которые возникают при попытке обеспечить безопасность веб-приложений, заключается в том, что система защиты не всегда может понять логику пользователей и тогда просто запускает режим мониторинга. Данные эти поступают людям, которые и решают — атака это или ложная тревога. Однако для полноценной работы такой системы нужны как минимум четыре оператора, оплатить их труд небольшие компании и региональные госучреждения не могут.

По словам руководителя отдела экспертного пресейла продуктов и сервисов Solar JSOC компании «Ростелеком-Солар» Алексея Павлова, аналогично работает и защита банковских приложений в 40 % случаев. Правда, тут это связано со скоростью ключевых банковских приложений, система защиты которых не поспевает пройти полноценное обучение и автоматическую настройку.

Впрочем, даже специализированные средства защиты для веб-приложений не всегда дают стопроцентную защиту.

Большинство атак на аутентификацию веб-приложений вызвано тем, что пользователи устанавливают в них только пароль. Аналитик компании Positive Technologies Ольга Зиненко считает, что отсутствие двухфакторной аутентификации сильно упрощает работу мошенников, особенно если учесть, что многие предпочитают выбирать простенькие комбинации для паролей.

При этом технический директор Trend Micro в России и СНГ Михаил Кондрашин предлагает серьезнее подходить к безопасности при разработке, поскольку, по его мнению, двойная идентификация сильно не спасет ситуацию. Но это не в полномочиях обычных пользователей, поэтому стоит следовать нескольким своим советам, которые полностью не обезопасят ваши данные и деньги, но все же увеличат шансы оставить их в целости и сохранности.

1. Постарайтесь все же придумать сложный пароль, таковым считается комбинация из заглавных и прописных букв и цифр. 
2. Используйте только оригинальные программы, которые можно скачать в Google Play или App Store.
3. Установите проверенное антивирусное программное обеспечение на свое устройство.
4. Заходя на свою страницу с чужого устройства, не забывайте выходить из нее после сеанса. При  подключении к публичной сети заходите через режим инкогнито.