{"id":9280,"title":"\u0422\u0435\u043b\u0435\u043f\u043e\u0440\u0442\u0430\u0446\u0438\u044f \u0440\u0435\u043a\u043b\u0430\u043c\u043d\u044b\u0445 \u043a\u0430\u043c\u043f\u0430\u043d\u0438\u0439 \u0438\u0437 \u00ab\u042f\u043d\u0434\u0435\u043a\u0441\u0430\u00bb \u0432 Google","url":"\/redirect?component=advertising&id=9280&url=https:\/\/vc.ru\/promo\/321806-kak-ne-zamorachivatsya-s-reklamnoy-kampaniey-i-bystro-nastroit-ee-v-google-obyasnyaem-v-5-50-i-500-slovah&placeBit=1&hash=99a73b9041aba100376a41bce39d118cf714c283ce1c8288a963bcb51cdcdade","isPaidAndBannersEnabled":false}
Финансы
Тинькофф

Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес

Тинькофф Бизнес провел исследование самых распространенных ошибок в сфере информационной безопасности, которые допускают компании из сегмента малого и среднего бизнеса.

В ходе исследования были проанализированы более 40 тысяч сайтов и баз данных компаний разного масштаба из различных отраслей. Все сайты, попавшие в выборку исследования, проверялись три раза на предмет устранения уязвимостей — в мае, июле и августе 2021 года.

За это время аналитики Тинькофф Бизнеса выявили 20 видов ошибок. Самые распространенные были связаны с доменом, базами данных и шифрованием.

Почти половина (46%) сайтов и баз данных компаний оказалась под угрозой — мошенники могут легко их увести или воспользоваться дырами в безопасности. Каждая пятая компания допускает у себя, как минимум, две ошибки.

Самые частые ошибки и способы их решения

1. Неверифицированный домен. Самая распространенная киберугроза для компаний МСБ — отсутствие верификации домена, то есть адреса сайта. Она встречается у каждой третьей компании (34%). Эта угроза означает, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им.

Если у сайта нет верификации, злоумышленник может заявить, что именно он является его владельцем, получить на него права, а компания больше не сможет использовать собственный адрес.

Чтобы сохранить домен, нужно обратиться к регистратору с письмом и подтвердить свои права на домен.

2. Незащищённая база данных. Более чем у четверти компаний малого и среднего бизнеса (27%) база данных не защищена. Мошенник может беспрепятственно скачать данные о клиентах, сотрудниках, компании. Например, имена, адреса, номера телефонов, сумму сделки. Чтобы украсть данные, злоумышленнику достаточно обнаружить ошибки, сообщающие, что база данных открыта, и просто подобрать к ней пароль и логин.

Осложнить жизнь мошенникам в этой ситуации можно разными способами: закрыть порт базы данных, усложнить к ней пароль или включить фильтрацию IP-адресов, чтобы открыть данные могли только владельцы бизнеса и доверенные лица.

3. Ошибка сертификата безопасности. SSL сертификат необходим для того, чтобы работать по протоколу безопасного соединения HTTPS. Сертификат подтверждает, что сайт принадлежит конкретной организации, позволяет узнать сервер и подтвердить безопасность сайта. У 15% компаний сертификат не соответствует действующему домену, и сайт оказывается уязвимым к атакам с перехватом данных. При заходе на страницу пользователи видят, что подключение не защищено.

Чтобы решить проблему, нужно перевыпустить сертификат.

4. Слабая защита от шифровальщиков. Если мошенник получит доступ к информационным ресурсам организации, он может зашифровать данные и заблокировать их использование для компании и ее сотрудников. В дальнейшем преступники могут вымогать деньги за возврат данных. 9% сайтов МСБ слабо защищены от блокировки доступа к данным.

Порты для шифровальщиков закрыты по умолчанию, открывают их в основном по недосмотру.

Решение у проблемы простое — закрыть порт. Ни для чего, кроме работы мошенников он не нужен.

5. Просроченный SSL-сертификат. SSL сертификат гарантирует сайту безопасность, а пользователю — конфиденциальность. При истечении срока действия сертификата браузер сообщает всем посетителям, что соединение не защищено. Это снижает доверие пользователей, и компания теряет потенциальных клиентов. Перевыпустить сертификат вовремя забывают 7% компаний МСБ.

Самые редкие уязвимости связаны с удалённым управлением серверами компаний — на них приходится чуть больше 5% ошибок.

Клиенты Тинькофф Бизнеса могут бесплатно проверить свои информационные ресурсы на предмет наличия ошибок в кибербезопасности. Для этого нужно оставить заявку в чате мобильного приложения. Аналитики Тинькофф Бизнеса проведут проверку и составят отчет, в котором будут отражены найденные угрозы безопасности из перечисленных в исследовании и предложены решения их нейтрализации.

0
24 комментария
Популярные
По порядку
Написать комментарий...
Абстрактный дебаркадер

Вот бы Тинькофф перестал сливать данные клиентов. Заказал карту, 2 недели атаковали разные банки. Отправил запрос на расчет кредита, снова та же история. Ребята, не вам рассказывать о кибербезопасности.

3

Здравствуйте. Таким мы точно не занимаемся. Чтобы мы проверили ваш случай, пожалуйста, отправьте ФИО и дату рождения нам в личку. Также мы можем исключить ваш номер из обзвона и более не потревожить, если хотите.

0
Абстрактный дебаркадер

Отправить вам ФИО и др чтобы что? Получить отписку "мы все проверили и ничего не нашли"?

0

Мы всегда предоставляем полноценный ответ.

–2

А когда спамите, при возмущении просто говорите "ваши данные взяты из публичных источников". Т.е. срете прямо в лицо тому, кого только что лизали, чтобы он у вас карту завел, конченые.

То, что закон запрещает обработку, вам срать.

Вот такой ответ - был бы полноценным, а не "ваши данные взяты из публичных источников"

3

Мы проводим комплексную проверку и предоставляем клиентам только правдивый ответ. Обманывать клиентов — точно не про нас.

0

Согласен, "ваши данные из публичных источников поэтому мы вас спамим" - вполне правдиво, не поспоришь.

Но, по сути, просто гниль в том, что это дает вам право спамить.

Можете тут еще раз это подтвердить? Ну что можно спамить человека если нашел его номер в интернете?

1

Мы не спамим, а осуществляем звонки с предложениями. Если мы вас потревожили или вы столкнулись с подобной ситуацией, о которой вы пишите выше, то, пожалуйста, отправьте ваши ФИО и дату рождения нам в личку. Все проверим.

1

они чувствуют безнаказанность + судя по всему скоро будут продаваться.
поэтому их цель- нагнать клиентскую базу и все
с клиентами у них отношение отвратительное

0

про вас. и все жто знают.
из за вас на мне более 10 займов и куча проблем!
а вы тупо молчите тк вам сказать нечего уже 4ый месяц!!!

0

Обманывать клиентов — точно не про нас.

О да, лично столкнулся с этим в том году, когда пытался оформить полис ОСАГО. Весь банки.ру пестрит этими ответами.

0

НИКОГДА!!!! вы никогда не предоставляете полноценных ответов!!
на мо. ситуацию как с вы отдавали мои данные и доступы мошенникам 2 раза ваш ответ : 1 раз я сам отдал а 2 раз - вы запутались, так ято извините, всего доброго!

0

Занимаетесь, и ещё как

0

Здравствуйте. Тут имеется ввиду, что мы не передаем какую-либо информацию клиентов с целью нанести какой-то ущерб, так как мы ценим своих клиентов и оберегаем их.

0

Сам по себе факт передачи данных клиентов кому угодно, кроме государству в силу закона прям говорит о том, как Вы цените клиентов

0

это да, но не страшно
хуже что они телефоны клиентов мобайла сливают мошенникам и дают им доступы к ЛК банка и гос услугам, чтобы сдирать деньги с клиентов.
кибербезопастность? это когда звонишь с левого номера в тинько и говоришь я такой то такой то, давйте мне доступ в мой лк и они тебе его просто так дают?
да здесь через день статьи от клиентов @Тинькофф как их банк подставил. и у меня в том числе.

1

В вашем банке с кибербезопасностью ситуация говно. Какие-то левые получают доступ к личному кабинету с бабками через звонок оператору банка. Несмотря на идентификацию по голосу, по модели смартфона и даже номеру сим-карты. Это всё нарушено, но вы отдаёте чужие деньги мошенникам и считаете это бенч.
А сейчас рассказываете тут о внимательности к каким-то соплям.

2

у них не отображается номер при входящем.
да и в целом путаница.
они мошенникам дали все мои доступы 2 раза, и не могли забличить сим карту 2 дня
а счет они в принципе не умеют блокировать
они мне скомпрометированные счета как то разблокирвоали сами по себе. я потом 3 часа потратил чтобы заблокировать.
они блокируют только карты, счета- нет ( но говорят что заблокировали)
а мошенники потом просто к этим счетам выпускают виртуалку за 30 секунд и все :))

1

Самый безответственный банк, согласен.

2

Плата за "передовой, быстроразвивающийся" и за "молодой, дружный коллектив".

0

Отправил заявку на проверку сайта. Посмотрим, что ответят!

1
Абстрактный дебаркадер

-

0

А вы без ошибок?
Посмотрим:

В приложении банка создали авторизацию!
2FA так и не прикрутили, чтобы запрашивало при первом входе на новом устройстве!
Но, зато каждая рожа в чате техподдержки постоянно просит назвать мой номер телефона и ФИО!
Спрашивается зачем?
Ведь получается, что банк не верит собственной системе безопасности! Поскольку человек авторизовавшийся в их приложении- не идентифицирован! Но зато он становится таковым после того как назовет номер и ФИО!
Ну не идиотизм ли?
Почините свою мерзкую систему, чтобы ваши сотрудники не задавали клиенту те вопросы, ответы на которые клиенты заполнили в своём профиле!
И внедрите ISO 9001!
Клиентоориентированность в вашем сервисе - ужасней некуда!

0
Читать все 24 комментария
Доказал, что миллиардеры не видят разницы между вином за $500 и $10 тысяч: история Руди Курниавана Статьи редакции

Курниаван продавал подделки под видом редких вин предпринимателям, генеральным директорам и голливудским продюсерам и обманул их более чем на $35 млн.

Руди Курниаван LA Times
«Неслучайная случайность», или как рождаются крипто стартапы на примере Freya

Статья носит сугубо ознакомительный характер и не призывает к инвестированию в какие либо активы.

Хоум кредит про меня забыли. Долг с 2009года

Решил я значит проверить свою кредитную историю на одном из известных ресурсах. И что я обнаружил? Действующий долг в #хоум_кредит с 2009 года и как следствие краснющую историю! Я конечно же позвонил в эту контору, говорю каким образом банк забыл про меня? - а вы знаете? Мы вам звонили звонили... но не дозвонились ... Так же как и вашим…

Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

Как обманывает Учи.ру, пытаясь заработать больше денег

Сказ о том, как Учи.ру пытается в информационной рассылке под соусом щедрого предложения продать то, что можно на самом сайте купить в два раза дешевле.

SkillFactory раздает подарки: повышенная ставка и новогодний марафон для вебмастеров

В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.

Агрегатор "Яндекс.Еда" не возвращают оплату за заказ, которого не было

Здравствуйте! Ситуация следующая, 22.10.2021 г. я сделала заказ у агрегатора доставки "Яндекс.Еда". Доставка из Магазина "Магнит". В момент списания оплаты с банковской карты за заказ заметила, что адрес доставки товара указан с ошибкой. В заказ проставился рабочий адрес, а не домашний, ехать на автомобиле от дома до работы мне 10 минут, пешком…

re:Store продал Macbook Pro с раскладкой azerty и серийный номер ноутбка не совпадает с серийным номером на коробке
Дайджест новостей Сбера: сайт Digital Пётр, сценарии для умного дома и платина от Forbes

Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.

Картинка, сгенерированная ruDALL-E по запросу «рыжий котик»
И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

null