Firma WebTotem przeanalizowała bezpieczeństwo przeanalizowała strony 33 działających w Polsce banków pod kątem 11 różnych aspektów. Czy jest bezpiecznie? Kto może spać spokojnie? Przedstawiamy trzy najbezpieczniejsze banki w Polsce. Startup WebTotem wziął na warsztat internetowe strony polskich banków. Głównym kryterium doboru podmiotów uwzględnionych w badaniu było fizyczne położenie serwerów banków w Polsce.
Metodycznie
Specjaliści WebTotem przeprowadzili badanie bez ingerencji w strukturę systemów bankowych – Chcieliśmy określić, jakie potencjalne wektory ataku mogą być wykorzystywane przez hakerów. Atakujący może łatwo stworzyć taką jak nasza listę kontrolną ustawień bezpieczeństwa, aby budować dalsze wektory ataku na bank i jego klientów – wyjaśnia Olzhas Satiyev, CEO WebTotem. Jak dodaje, wszystkie przeprowadzone testy zostały przeprowadzone przy użyciu powszechnie dostępnych informacji. Nie wykorzystano także żadnych specjalistycznych narzędzi. – Wydobywaliśmy informacje i dane dostępne dla zwykłego użytkownika internetu – wyjaśnia Satiyev.
Badanie WebTotem sprawdzało 11 obszarów:
- aktualność używanego systemu CMS
- wydajność strony
- reputację domeny
- nagłówki bezpieczeństwa html i bezpieczeństwa treści
- szyfrowanie ruchu
- otwarte porty
- możliwość wycieków danych
- bezpieczeństwo poczty elektronicznej
- zgodność ze standardem security.txt
- oznaki penetracji strony przez hackerów
- zgodność z wymaganiami rozporządzenia o RODO.
Jak wypadają banki pod względem bezpieczeństwa?
Przeciętnie
Najczęściej pojawiającymi się problemami były bezpieczeństwo bankowych skrzynek mailowych i obecność maili z bankowych domen w zewnętrznych serwisach.
Na pierwszym miejscu znalazł się Volkswagen Bank Polska. Na drugim i trzecim miejscu znajdują się HSBC i Alior Bank, a porównywalnie dobrą ocenę otrzymała także specjalistyczna odsłona banku Pekao S.A. – Pekao Bank Hipoteczny.
Bardzo dobre oceny w teście uzyskały banki związane z koncernami samochodowymi – w pierwszej dziesiątce są aż trzy takie instytucje.
WebTotem to narzędzie SaaS monitorujące strony internetowe i aplikacje sieciowe. Dzięki zbieraniu informacji z kilku obszarów – bez konieczności penetracji systemów – pomaga właścicielom, developerom i pracownikom działów security zapobiegać włamaniom, atakom i innym cyberzagrożeniom.