{"id":9132,"title":"\u041f\u043e\u0447\u0435\u043c\u0443 \u043a\u0430\u043d\u0430\u0434\u0441\u043a\u0438\u0435 \u043b\u044e\u0431\u0438\u0442\u0435\u043b\u0438 \u043a\u0432\u0430\u0434\u0440\u043e\u0446\u0438\u043a\u043b\u043e\u0432 \u043f\u043e\u043a\u0443\u043f\u0430\u044e\u0442 \u0437\u0430\u043f\u0447\u0430\u0441\u0442\u0438 \u0432 \u0420\u043e\u0441\u0441\u0438\u0438","url":"\/redirect?component=advertising&id=9132&url=https:\/\/vc.ru\/pochta\/325041-kak-kanadskie-lyubiteli-snegohodov-i-kvadrociklov-otkryli-dlya-sebya-rossiyu&placeBit=1&hash=cd54543b13c8a6083dd50d5669dab69e3e15e40792f9ed69859d5c8934b50d3d","isPaidAndBannersEnabled":false}
Финансы
Тинькофф

Исследование Тинькофф: какие ошибки в кибербезопасности чаще всего допускает бизнес

Тинькофф Бизнес провел исследование самых распространенных ошибок в сфере информационной безопасности, которые допускают компании из сегмента малого и среднего бизнеса.

В ходе исследования были проанализированы более 40 тысяч сайтов и баз данных компаний разного масштаба из различных отраслей. Все сайты, попавшие в выборку исследования, проверялись три раза на предмет устранения уязвимостей — в мае, июле и августе 2021 года.

За это время аналитики Тинькофф Бизнеса выявили 20 видов ошибок. Самые распространенные были связаны с доменом, базами данных и шифрованием.

Почти половина (46%) сайтов и баз данных компаний оказалась под угрозой — мошенники могут легко их увести или воспользоваться дырами в безопасности. Каждая пятая компания допускает у себя, как минимум, две ошибки.

Самые частые ошибки и способы их решения

1. Неверифицированный домен. Самая распространенная киберугроза для компаний МСБ — отсутствие верификации домена, то есть адреса сайта. Она встречается у каждой третьей компании (34%). Эта угроза означает, что при покупке адреса компания или предприниматель не подтвердили, что сайт будет принадлежать именно им.

Если у сайта нет верификации, злоумышленник может заявить, что именно он является его владельцем, получить на него права, а компания больше не сможет использовать собственный адрес.

Чтобы сохранить домен, нужно обратиться к регистратору с письмом и подтвердить свои права на домен.

2. Незащищённая база данных. Более чем у четверти компаний малого и среднего бизнеса (27%) база данных не защищена. Мошенник может беспрепятственно скачать данные о клиентах, сотрудниках, компании. Например, имена, адреса, номера телефонов, сумму сделки. Чтобы украсть данные, злоумышленнику достаточно обнаружить ошибки, сообщающие, что база данных открыта, и просто подобрать к ней пароль и логин.

Осложнить жизнь мошенникам в этой ситуации можно разными способами: закрыть порт базы данных, усложнить к ней пароль или включить фильтрацию IP-адресов, чтобы открыть данные могли только владельцы бизнеса и доверенные лица.

3. Ошибка сертификата безопасности. SSL сертификат необходим для того, чтобы работать по протоколу безопасного соединения HTTPS. Сертификат подтверждает, что сайт принадлежит конкретной организации, позволяет узнать сервер и подтвердить безопасность сайта. У 15% компаний сертификат не соответствует действующему домену, и сайт оказывается уязвимым к атакам с перехватом данных. При заходе на страницу пользователи видят, что подключение не защищено.

Чтобы решить проблему, нужно перевыпустить сертификат.

4. Слабая защита от шифровальщиков. Если мошенник получит доступ к информационным ресурсам организации, он может зашифровать данные и заблокировать их использование для компании и ее сотрудников. В дальнейшем преступники могут вымогать деньги за возврат данных. 9% сайтов МСБ слабо защищены от блокировки доступа к данным.

Порты для шифровальщиков закрыты по умолчанию, открывают их в основном по недосмотру.

Решение у проблемы простое — закрыть порт. Ни для чего, кроме работы мошенников он не нужен.

5. Просроченный SSL-сертификат. SSL сертификат гарантирует сайту безопасность, а пользователю — конфиденциальность. При истечении срока действия сертификата браузер сообщает всем посетителям, что соединение не защищено. Это снижает доверие пользователей, и компания теряет потенциальных клиентов. Перевыпустить сертификат вовремя забывают 7% компаний МСБ.

Самые редкие уязвимости связаны с удалённым управлением серверами компаний — на них приходится чуть больше 5% ошибок.

Клиенты Тинькофф Бизнеса могут бесплатно проверить свои информационные ресурсы на предмет наличия ошибок в кибербезопасности. Для этого нужно оставить заявку в чате мобильного приложения. Аналитики Тинькофф Бизнеса проведут проверку и составят отчет, в котором будут отражены найденные угрозы безопасности из перечисленных в исследовании и предложены решения их нейтрализации.

0
24 комментария
Популярные
По порядку
Написать комментарий...
Абстрактный дебаркадер

Вот бы Тинькофф перестал сливать данные клиентов. Заказал карту, 2 недели атаковали разные банки. Отправил запрос на расчет кредита, снова та же история. Ребята, не вам рассказывать о кибербезопасности.

3

Здравствуйте. Таким мы точно не занимаемся. Чтобы мы проверили ваш случай, пожалуйста, отправьте ФИО и дату рождения нам в личку. Также мы можем исключить ваш номер из обзвона и более не потревожить, если хотите.

0
Абстрактный дебаркадер

Отправить вам ФИО и др чтобы что? Получить отписку "мы все проверили и ничего не нашли"?

0

Мы всегда предоставляем полноценный ответ.

–2

А когда спамите, при возмущении просто говорите "ваши данные взяты из публичных источников". Т.е. срете прямо в лицо тому, кого только что лизали, чтобы он у вас карту завел, конченые.

То, что закон запрещает обработку, вам срать.

Вот такой ответ - был бы полноценным, а не "ваши данные взяты из публичных источников"

3

Мы проводим комплексную проверку и предоставляем клиентам только правдивый ответ. Обманывать клиентов — точно не про нас.

0

Согласен, "ваши данные из публичных источников поэтому мы вас спамим" - вполне правдиво, не поспоришь.

Но, по сути, просто гниль в том, что это дает вам право спамить.

Можете тут еще раз это подтвердить? Ну что можно спамить человека если нашел его номер в интернете?

1

Мы не спамим, а осуществляем звонки с предложениями. Если мы вас потревожили или вы столкнулись с подобной ситуацией, о которой вы пишите выше, то, пожалуйста, отправьте ваши ФИО и дату рождения нам в личку. Все проверим.

1

они чувствуют безнаказанность + судя по всему скоро будут продаваться.
поэтому их цель- нагнать клиентскую базу и все
с клиентами у них отношение отвратительное

0

про вас. и все жто знают.
из за вас на мне более 10 займов и куча проблем!
а вы тупо молчите тк вам сказать нечего уже 4ый месяц!!!

0

Обманывать клиентов — точно не про нас.

О да, лично столкнулся с этим в том году, когда пытался оформить полис ОСАГО. Весь банки.ру пестрит этими ответами.

0

НИКОГДА!!!! вы никогда не предоставляете полноценных ответов!!
на мо. ситуацию как с вы отдавали мои данные и доступы мошенникам 2 раза ваш ответ : 1 раз я сам отдал а 2 раз - вы запутались, так ято извините, всего доброго!

0

Занимаетесь, и ещё как

0

Здравствуйте. Тут имеется ввиду, что мы не передаем какую-либо информацию клиентов с целью нанести какой-то ущерб, так как мы ценим своих клиентов и оберегаем их.

0

Сам по себе факт передачи данных клиентов кому угодно, кроме государству в силу закона прям говорит о том, как Вы цените клиентов

0

это да, но не страшно
хуже что они телефоны клиентов мобайла сливают мошенникам и дают им доступы к ЛК банка и гос услугам, чтобы сдирать деньги с клиентов.
кибербезопастность? это когда звонишь с левого номера в тинько и говоришь я такой то такой то, давйте мне доступ в мой лк и они тебе его просто так дают?
да здесь через день статьи от клиентов @Тинькофф как их банк подставил. и у меня в том числе.

1

В вашем банке с кибербезопасностью ситуация говно. Какие-то левые получают доступ к личному кабинету с бабками через звонок оператору банка. Несмотря на идентификацию по голосу, по модели смартфона и даже номеру сим-карты. Это всё нарушено, но вы отдаёте чужие деньги мошенникам и считаете это бенч.
А сейчас рассказываете тут о внимательности к каким-то соплям.

2

у них не отображается номер при входящем.
да и в целом путаница.
они мошенникам дали все мои доступы 2 раза, и не могли забличить сим карту 2 дня
а счет они в принципе не умеют блокировать
они мне скомпрометированные счета как то разблокирвоали сами по себе. я потом 3 часа потратил чтобы заблокировать.
они блокируют только карты, счета- нет ( но говорят что заблокировали)
а мошенники потом просто к этим счетам выпускают виртуалку за 30 секунд и все :))

1

Самый безответственный банк, согласен.

2

Плата за "передовой, быстроразвивающийся" и за "молодой, дружный коллектив".

0

Отправил заявку на проверку сайта. Посмотрим, что ответят!

1
Абстрактный дебаркадер

-

0

А вы без ошибок?
Посмотрим:

В приложении банка создали авторизацию!
2FA так и не прикрутили, чтобы запрашивало при первом входе на новом устройстве!
Но, зато каждая рожа в чате техподдержки постоянно просит назвать мой номер телефона и ФИО!
Спрашивается зачем?
Ведь получается, что банк не верит собственной системе безопасности! Поскольку человек авторизовавшийся в их приложении- не идентифицирован! Но зато он становится таковым после того как назовет номер и ФИО!
Ну не идиотизм ли?
Почините свою мерзкую систему, чтобы ваши сотрудники не задавали клиенту те вопросы, ответы на которые клиенты заполнили в своём профиле!
И внедрите ISO 9001!
Клиентоориентированность в вашем сервисе - ужасней некуда!

0
Читать все 24 комментария
Продавец eBay из Кургана стала победителем в финале Всероссийского конкурса «Молодой предприниматель России 2021»

27 ноября в Москве состоялся финал ежегодного конкурса «Молодой предприниматель России 2021». В нём приняли участие предприниматели и самозанятые в возрасте до 35 лет. Всего было подано более 300 заявок из 43 регионов страны.

Глава американской компании Better.com уволил 900 сотрудников одним видеозвонком Статьи редакции

«Если вы сейчас смотрите это, значит вы в той невезучей группе, которую увольняют», — сказал работникам директор.

Я пришёл к вам с плохой новостью. Рынок изменился, как вы знаете, и мы должны двигаться за ним вперёд, чтобы выжить, процветать и исполнять нашу миссию. [...] Я делаю это второй раз в своей карьере и не хочу повторять. В последний раз, я плакал, но на этот раз надеюсь быть сильнее. [...] Если вы сейчас смотрите это, значит вы в той невезучей группе, которую увольняют.

Вишал Гарг
SkillFactory раздает подарки: повышенная ставка и новогодний марафон для вебмастеров

В преддверии Нового года мы решили порадовать своих настоящих и будущих партнеров — участников партнерской программы школ Skillfactory, Contented и Product LIVE. Это возможность получить денежный бонус и заодно увеличить прибыль от продажи наших курсов.

Откуда берут взрослые деревья для парков и улиц

А также сколько они стоят и почему выращивать их — неплохой бизнес.

Агрегатор "Яндекс.Еда" не возвращают оплату за заказ, которого не было

Здравствуйте! Ситуация следующая, 22.10.2021 г. я сделала заказ у агрегатора доставки "Яндекс.Еда". Доставка из Магазина "Магнит". В момент списания оплаты с банковской карты за заказ заметила, что адрес доставки товара указан с ошибкой. В заказ проставился рабочий адрес, а не домашний, ехать на автомобиле от дома до работы мне 10 минут, пешком…

Доказал, что миллиардеры не видят разницы между вином за $500 и $10 тысяч: история Руди Курниавана Статьи редакции

Курниаван продавал подделки под видом редких вин предпринимателям, генеральным директорам и голливудским продюсерам и обманул их более чем на $35 млн.

Руди Курниаван LA Times
И сотрудников тоже касается: кибербуллинг на рабочем месте
Design vector created by pikisuperstar - www.freepik.com
Дайджест новостей Сбера: сайт Digital Пётр, сценарии для умного дома и платина от Forbes

Прошлый дайджест мы целиком посвятили 180-летию Сбера, поэтому новостей накопилось много. Среди них — запуск сайта по распознаванию рукописей Петра I, большое обновление на платформе умного дома Sber и другие. Рассказываем всё самое интересное.

Картинка, сгенерированная ruDALL-E по запросу «рыжий котик»
Как обманывает Учи.ру, пытаясь заработать больше денег

Сказ о том, как Учи.ру пытается в информационной рассылке под соусом щедрого предложения продать то, что можно на самом сайте купить в два раза дешевле.

«Неслучайная случайность», или как рождаются крипто стартапы на примере Freya

Статья носит сугубо ознакомительный характер и не призывает к инвестированию в какие либо активы.

re:Store продал Macbook Pro с раскладкой azerty и серийный номер ноутбка не совпадает с серийным номером на коробке
null