Число критических уязвимостей в программном обеспечении банков выросло в одиннадцать раз

1 час назад

© Сгенерировано ИИ

Российский финансовый сектор столкнулся с масштабным вызовом в области кибербезопасности: темпы цифровизации сервисов значительно опережают возможности контроля их защищенности. Согласно данным аналитического отчета CNews, за последние два года количество критических уязвимостей в мобильных приложениях финансовых организаций увеличилось на порядок. В условиях импортозамещения компонентов и усиления внешнего давления программный код становится наиболее уязвимым звеном в периметре национальной финансовой инфраструктуры.

Анализ угроз

Исследование, проведенное экспертами компании AppSec Solutions, фиксирует системную деградацию уровня защищенности финтех-сектора. В 2025 году в российских финансовых приложениях было выявлено более 2000 уязвимостей высокого и критического уровней. Для сравнения: в 2023 году этот показатель составлял всего 183 единицы.

Главные показатели:

- зафиксирован 11-кратный рост наиболее опасных дефектов за два года.

- анализ затронул 90 наиболее востребованных сервисов, включая банковские инструменты, системы страхования и микрозаймов.

- при общем сокращении числа незначительных ошибок, доля критических недостатков, способных привести к полной компрометации данных, выросла до рекордных значений.

Технологические причины

Основным фактором роста рисков остается несоблюдение базовых протоколов безопасной разработки. В погоне за скоростью вывода продуктов на рынок (Time-to-Market) в финальные сборки попадают системные ошибки, которые могут быть эксплуатированы в автоматическом режиме.

Основные векторы компрометации:

1. Компрометация данных в коде: выявлено более 1500 случаев хранения конфиденциальной информации (паролей, ключей доступа) непосредственно внутри программного продукта. Это позволяет злоумышленникам после декомпиляции приложения получить доступ к внутренним серверам организации.
2. Использование незащищенных протоколов: эксплуатация HTTP-запросов без надлежащего шифрования открывает возможности для перехвата трафика и проведения фишинговых атак.
3. Риски открытого кода: массовое использование непроверенных сторонних библиотек создает эффект «накопленной уязвимости» — дефект в одном популярном компоненте ставит под удар десятки независимых банковских систем.

Переход к модели непрерывной защиты

Текущая ситуация требует от финансового сектора перехода от фрагментарных проверок к внедрению стандартов безопасной разработки (DevSecOps) и созданию единых центров ответственности за устойчивость программной среды.

Рекомендованные меры по укреплению периметра:

- Автоматизация контроля: внедрение систем статического и динамического анализа кода на всех этапах жизненного цикла продукта.

- Аудит цепочек поставок: жесткая верификация всех заимствованных компонентов и библиотек с открытым исходным кодом.

- Изоляция инфраструктуры: пересмотр архитектуры взаимодействия мобильных клиентов с внутренними контурами для предотвращения каскадного обрушения систем в случае взлома пользовательского устройства.

Как отмечают эксперты отрасли, разработчики часто концентрируются на функциональности, отодвигая вопросы безопасности на второй план. В результате логические ошибки и отсутствие глубокой валидации данных превращают программное обеспечение в открытую точку входа для кибератак.

Читайте также: Обзор кибератак недели: петабайтные утечки в КНР и запуск оборонных инициатив