Зона отступа: половина заменителей мобильных приложений в РФ небезопасна
О каких уязвимостях идет речь и как они могут навредить пользователям
EN
Почти половина программ, заменивших приложения для iOS, уязвимы с точки зрения утечки данных их пользователей. Об этом рассказали «Известиям» специалисты по информационной безопасности. Зачастую доступ к данным в этих программах легко получить без разрешения, они крайне небрежно защищены от хакеров, отмечают участники рынка. Бизнесу необходимо быстро исправлять ситуацию, иначе ему грозят миллионные штрафы — в конце мая в РФ ужесточаются наказания за утечку персональных данных, напоминают юристы.
Чем опасны веб-приложения для пользователей
Почти половина (46%) российских веб-приложений содержат критические уязвимости, которые могут привести к утечке данных. Это следует из материалов компании «Солар» (входит в «Ростелеком»), «Известия» ознакомились с документами. Эти бреши опасны не только для частных, но и для корпоративных пользователей — если веб-приложение дает доступ к информационным системам компании, например к почте. Более половины проанализированных таких программ российских компаний были отмечены низким и средним уровнем защищенности, добавили в компании.
Веб-приложения — это компьютерная программа, которая запускается прямо в браузере. В отличие от мобильных сервисов их не надо скачивать на устройства пользователей, также нет необходимости установки специальных приложений. С их помощью можно совершать платежи, оформлять и отменять подписки, заказывать товары, работать с документами и многое другое. Классические примеры — онлайн-банкинг, интернет-магазины, облачные сервисы для работы с файлами и документами.
Например, главными уязвимостями в финансовых веб-приложениях, которые всегда интересуют хакеров, являются недостаток контроля доступа, эта проблема встречается в 78% случаев, сообщили «Известиям» в «Солар». В этой ситуации информацию могут получить неуполномоченные третьи лица и злоумышленники.
— Отсутствие контроля за правами допуска сотрудников может привести к тому, что внутренний или внешний нарушитель получает незаконный доступ к самому широкому спектру информации. Допустим, работник банка получает информацию о движении по счетам всех клиентов и может воспользоваться такими данными в злонамеренных целях, — отметили в компании.
Также среди проблем веб-приложений там назвали недостаточное шифрование, небезопасная обработка или хранение конфиденциальной информации, такой как номера кредитных карт, пароли или персональные данные клиентов.
Веб-приложение — простой способ для бизнеса соединиться с клиентом: не нужно тратить сотни тысяч долларов на разработку мобильного сервиса, его размещение в онлайн-магазине и продвижение, уточнил директор департамента расследований компании T.Hunter Игорь Бедеров. При этом веб-приложения в отличие от скачиваемых мобильных не передают разработчикам данные о пользователях: они не подключаются к микрофонам, GPS и прочему, отметил эксперт. Сейчас их используют как банки и социальные сети, так и совсем небольшие участники рынка, для которых расходы на мобильные программы не всегда оправданны, добавил эксперт.
Самая частая проблема веб-приложений — это их недоступность: пользователь просто не может попасть на сайт или конкретную страницу или провести какую-то операцию, утверждает заместитель гендиректора группы компаний «Гарда» Рустэм Хайретдинов. Такое регулярно случается вследствие атак на сайты и может быть вызвано либо успехом атаки или же включением жестких сценариев защиты. Так, при включении таких вариантов, часто отключается возможность захода на сайт из-за рубежа, а пользователь, например, в отпуске, привел он пример.
Успешные атаки на веб-приложения компаний могут привести к заражению устройств вредоносным ПО, например, для удаленного доступа, указывает старший аналитик исследовательской группы Positive Technologies Анна Голушко. Помимо этого, взломанные веб-приложения могут перенаправлять пользователей на различные фишинговые сайты. В результате потребители сталкиваются с рядом серьезных последствий, такими как утечка конфиденциальной информации, потеря денежных средств, включение устройства в состав ботнет-сети и другие, предупредила эксперт.
Сколько стоит утечка данных
На первом месте среди уязвимостей веб-приложений высокой степени риска — угроза несанкционированного доступа к личному кабинету пользователя, а на втором — доступ мошенника к функциям и контенту, рассказал «Известиям» управляющий партнер Comnews Research Леонид Коник.
— Не менее чем из половины веб-приложений периодически утекают персональные данные, а идентификаторы пользователя оказываются в руках злоумышленников еще чаще. Но и скачиваемые мобильные сервисы опасны, — указывает эксперт.
Причина их особой уязвимости заключается в том, что они запрашивают доступ к различным данным — к списку контрактов, фото и видео не устройстве, к местоположению (и многие бездумно дают такие разрешения), объясняет Леонид Коник. Но зачастую приложение собирает информацию, вообще не уведомляя об этом пользователя, причем передается она обычно по открытым каналам.
— При этом сам факт утечки доказать сложно: с равной вероятностью персональные и иные данные могут быть слиты как из веб-приложения, так и из базы данных того или иного госоргана — в частности, из какой-нибудь государственной информационной системы (ГИС), количество которых в России только на федеральном и региональном уровнях превышает 4 тыс., — полагает эксперт.
Между тем, как отмечают юристы, в РФ ужесточается ответственность за утечки персональных данных.
Наличие уязвимостей — проблема, решаемая при их своевременном обнаружении и надлежащем финансировании, но для такой работы нужны стимулы, в число которых входят и санкции, сказал руководитель направления «Разрешение IT&IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. С конца мая этого года ответственность за нарушение законодательства о защите персональных данных значительно ужесточается, напомнил он.
— Ответственность за утечку персональных данных ранжируется в зависимости от количества пострадавших пользователей: если правонарушение коснулось от 1 до 10 тыс. человек, то штраф для юрлица может составить до 5 млн рублей, если от 10 тыс. до 100 тыс. — до 10 млн рублей, более 100 тыс. — до 15 млн рублей. Если правонарушение в течение года повторяется, то юрлицо может быть привлечено к оборотному штрафу, который составляет от 1 до 3% от выручки, — отмечает юрист.
Помимо этого, предусматривается ответственность за несообщение Роскомнадзору о произошедшей утечке, штраф в таком случае составит до 3 млн рублей, добавил эксперт.
Как отметили «Известиям» в Минцифры, изменения были приняты в 2024-м. В частности, оборотные штрафы для компаний за повторные утечки персональных данных поспособствуют росту инвестиций в развитие инфраструктуры безопасности и защиту пользовательской информации со стороны бизнеса, отметили в ведомстве. В декабре прошлого года также вступила в силу новая статья Уголовного кодекса РФ, направленная на защиту персональных данных россиян. Она ужесточает ответственность за кражу и распространение украденной информации, но при этом не ограничивает работу специалистов по информбезопасности, которые расследуют взломы и утечки, добавили в министерстве. Кроме того, в апреле был принят закон о борьбе с кибермошенничеством, в рамках которого будет создана специальная платформа. Она поможет еще эффективнее предотвращать и пресекать телефонное и онлайн-мошенничество, в том числе оперативно реагировать при выявлении фишинговых сайтов, указали в Минцифры.
Для бизнеса веб-приложение — самый эффективный способ привлекать и обслуживать клиентов, поэтому его обычно защищают как критический актив — надежно, считает Рустэм Хайретдинов. Пользователям надо следить, чтобы они заходили на сайт с нескомпрометированных устройств и через надежный канал. Для этого нужно ставить последние обновления операционной системы и браузера, регулярно обновлять антивирусы, не переходить на важные сайты через публичный WiFi, использовать и регулярно менять стойкие пароли и двухфакторную идентификацию и в целом соблюдать цифровую гигиену, заключил он.
