Каждый второй сайт финансовых организаций нарушает требования безопасности и использует незащищенный протокол связи. Данные выводы были сделаны в ходе исследования, проведенного сотрудниками компании Rush Agency.

В рамках исследования были проверены 500 официальных сайтов финансовых организаций, которые фигурируют в списке ЦБ РФ.

По результатам проверки выяснилось, что у 51% случаев на сайтах использовался незащищенный протокол HTTP вместо HTTPS.

«Защищенный протокол создавался как раз для безопасности конфиденциальных и личных данных в интернете, сохранности банковской тайны, т.е. кому если не банкам нужно было первыми перейти на него?», - удивляется автор исследования Павел Медведев.

Кроме конфиденциальности при передаче данных между клиентом и владельцем сайта, HTTPS-протокол гарантирует пользователю подлинность ресурса, что в теории поможет отличить его от специально созданных для мошеннических действий «клонов».

Стоит уточнить, что в исследовании анализировались основные страницы банковских сайтов, а не системы онлайн-банкинга. Однако по мнению авторов исследования, даже если сам онлайн-банк использует защищенный протокол, а основной сайт — нет, то это является небезопасным решением и имеет ряд технических уязвимостей, которыми может воспользоваться злоумышленник.

Кроме того, каждый пятый сайт не содержал файла robots.txt, а значит не имеет базовой защиты от индексации поисковиками непубличной информации.

ГлобалМСК.ру попросил прокомментировать исследование Андрея Кузьмичева, заместителя генерального директора RU-CENTER:

«Вопрос применения ssl-сертификатов и используемых протоколов относится к компетенции той или иной банковской организации и законодательно не урегулирован. Разумеется, «странно» видеть солидное финансовое учреждение, использующее заведомо небезопасные способы соединения или пожалевшее денег на сравнительно недорогой сертификат.».

Впрочем, по мнению эксперта, это скорее имиджевый вопрос. На практике действительно важные операции, прежде всего в интернет-банке, производятся через специализированные приложения и сервисы с двухфакторной авторизацией, соответствующей технической защитой и прочими мерами безопасности, к которым при необходимости подключается служба безопасности банка.

«Не сомневаюсь, что в будущем стандарты индустрии будут эволюционировать, а игроки рынка, которые отстанут в данной области, просто станут менее конкурентноспособными. Не говоря уже о прямых финансовых и репутационных потерях, в случае выявления утечек. Сам по себе интернет-эквайринг имеет собственные внутренние стандарты, в соответствии с которыми серьезные интернет-магазины и банки переходят на https+ssl в обязательном порядке, чтобы пользоваться сервисами друг друга», - добавляет Андрей Кузьмичев.

Напомним, что ранее персональные данные клиентов нескольких банков оказались в открытом доступе с помощью поисковых систем — к примеру, через поисковик можно было найти паспортные данные или информацию о платежах.