Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami)

Компанію можна зламати тихо. Без синіх “екранів смерті” і без відеодзвінків від клішованих хакерів у масці Гая Фокса. У більшості випадків усе виглядає нормально — листи приходять, продажі йдуть, співробітники працюють. А потім з’ясовується, що всередині системи вже кілька місяців сиділи “чужі”.

Найприкріше в таких історіях — навіть не сам факт зламу. А те, що час майже завжди грає на боці атакуючих. Чим довше їх ніхто не помічає, тим більше вони встигають: зібрати доступи, знайти резервні копії, зрозуміти, де у вас больові точки, і підготувати удар так, щоб він припав по найвразливішому місцю в кібербезпеці.

При цьому для кожної галузі характерна своя “ахіллесова п’ята” вразливостей. Те, що критично для фінтеху, не обов’язково критично для виробництва або закладів охорони здоров’я. Однак усіх об’єднує одне: атаки мають успіх лише тоді, якщо в контурі кібербезпеки є вразливості. 

У цій статті ми розповімо, у яких галузях за результатами аналізу наших проєктів найбільше критичних вразливостей у кібербезпеці.

Рівні вразливостей та що ми враховували під час складання цього рейтингу

Вразливість у кібербезпеці — це слабке місце в безпеці, через яке злочинець може проникнути всередину, щоб вчинити певні шкідливі дії (наприклад, викрасти дані або заблокувати доступ до ресурсу). 

Такі проблемні місця можуть будь-якої миті стати точками входу для хакерської атаки. І щоб розуміти, наскільки реальну і складну загрозу вони становлять, вразливості поділяють за рівнем критичності:

• критичні: дозволяють отримати контроль над системою або спричинити серйозні наслідки;
• високі: створюють значний ризик і можуть призвести до суттєвих втрат;
• середні: мають обмежений вплив або потребують додаткових умов для експлуатації;
• низькі: не становлять прямої загрози, але вказують на слабкі місця;
• інформаційні: розкривають технічні деталі, які можуть допомогти в підготовці атаки.

При визначенні рівня враховують: 

• складність експлуатації;
• масштаб можливих наслідків;
• цінність активів, які опиняються під загрозою.

Існує певна закономірність між сферою діяльності компанії та рівнем критичності вразливостей її кібербезпеки. Нам було цікаво порівняти середню кількість критичних вразливостей на проєкт з галузевою приналежністю клієнтів. 

Для аналізу взяли тогорічні кейси, серед яких проєкти фармацевтичних і страхових організацій, блокчейн- і фінтех-компаній, розробників ПЗ і медичних закладів, представників e-commerce і регуляторних технологій та інших.

Топ-3 галузей, де найбільше критичних вразливостей

Дослідивши проєкти Datami, ми отримали такий результат: галузями, в яких виявили найбільше вразливостей з найважчими потенційними наслідками (простій, штрафи, репутаційні втрати або навіть повне закриття бізнесу), є фінанси, розробка ПЗ та фінтех.

1. Фінанси

Найбільше критичних вразливостей в середньому на один кейс фахівці Datami виявили у компаній фінансового сектору — тут наслідки кіберінциденту швидко стають публічними і часто вимірюються мільйонами. Для представників цієї індустрії вразливість, розкрита зловмисниками, швидко обертається прямими грошовими втратами і лавиною звернень обурених клієнтів.

Це не означає, що фінансова галузь є менш захищеною. Вона інвестує в кібербезпеку більше, ніж інші. До того ж ми бачимо на практиці, що те, що для інших галузей може бути слабким місцем, у цьому секторі зазвичай вже перебуває під постійним моніторингом та контролем. 

Фінсектор складніший і більш цифровізований — компанії мають складну архітектуру, десятки інтегрованих систем, legacy-рішення, відкриті API і працюють онлайн 24/7. Також фінансові установи активно впроваджують open banking, хмарні сервіси, fintech-інтеграції та AI-рішення — такі зміни часто відбуваються швидше, ніж оновлення процесів безпеки. Саме через це, на нашу думку, фінанси мають найбільше критичних вразливостей. 

З власної практики можемо виділити такі типові критичні вразливості, притаманні кібербезпеці фінансових компаній:

• Вразливості в ключових каналах обслуговування (вебкабінет, мобільний застосунок, API): через них можна дістатися до даних клієнтів або вплинути на операції.
• Помилки в процесах підтвердження та відновлення доступу: коли зловмисник може перехопити або переприв’язати акаунт і далі діяти від імені клієнта.
• Слабкі місця в інтеграціях (платіжні шлюзи, сповіщення, підрядники, сервіси ідентифікації): дають обхід основного периметра.
• Прогалини в моніторингу та реакції: інцидент починається з малого, але швидко розвивається, бо немає оперативного сценарію “помітили — локалізували”.

Перераховані проблеми — не теоретичні сценарії, а реальні ризики, які ми бачимо на практиці. Наприклад, для проєкту великої фінансової установи команда Datami провела перевірку безпеки коду та пентест і виявила 7 критичних та 15 високих вразливостей, серед яких можливість DoS-атаки на кол-центр через масове створення запитів на зворотний дзвінок. 

Ще один зі свіжих прикладів — кейс брокерської компанії в секторі онлайн-беттингу, яка прийшла до нас після серії DDoS-атак. Завдання було перевірити, щоб “під шумок” таких інцидентів ніхто не зміг пролізти у функціональність платформи. Ми змогли знайти потенційні точки таких проникнень, провівши black-box пентест двох вебзастосунків і API, і виявили вразливості, які могли стати тригерами серйозного інциденту.

2. Розробка ПЗ

Велика кількість критичних вразливостей у розробників софту, не через низьку культуру безпеки, а через специфіку самої індустрії: масштаб, складність продуктів і швидкість релізів. SaaS і продуктові компанії працюють у режимі частих релізів і постійного оновлення функціоналу. Вони мають велику площу атак і багато сторонніх залежностей, обробляють дані багатьох клієнтів. 

Тут бізнес-логіка часто складніша за саму технічну реалізацію, а наслідки інциденту майже завжди виходять за межі однієї компанії. Помилка в продукті, який стоїть у клієнтів, або слабке місце в платіжному модулі перетворюються на масовий ризик. Страждають не лише продукт, а й бізнеси, які на ньому працюють.

Для індустрії розробки ПЗ відмітимо чотири критичні вразливості, які роблять наслідки особливо тяжкими:

• Доступ до платіжної частини або транзакційних компонентів: ризик прямого впливу на операції та гроші.
• Слабка автентифікація та контроль доступу: коли одна скомпрометована обліковка відчиняє надто багато дверей.
• Незахищені канали передавання даних: підвищують шанс витоку фінансової інформації та подальшого шантажу.
• Застарілі компоненти в критичному контурі: відомі вразливості в залежностях, які використовуються у продакшені.

Наведемо приклад з нашої практики співпраці з компанією-розробником програмного забезпечення, яка створює рішення для платіжного процесингу та управління транзакціями. Клієнту потрібен був надійний захист фінансових даних. Також він готувався до PCI DSS. Ми провели black-box пентест вебзастосунків і серверів платіжної інфраструктури. Під час тестування пентестери Datami знайшли 15 вразливостей, включно з 5 критичними, які могли слугувати точкою доступу до платіжного процесора.

Ще один цікавий проєкт Datami — gray-box пентест вебплатформи для IT-компанії, яка розробляє програмні рішення. Під час перевірки безпеки MS Collaborator ми виявили 5 критичних вразливостей, які змусили діяти максимально оперативно. Найсерйозніші проблеми вдалося усунути за 24 години і тим самим запобігти несанкціонованому доступу до акаунтів та отриманню чутливої інформації.,

3. Фінтех

У фінтеху своя специфіка — збій тут майже завжди перетворюється на пряме зловживання: хтось обходить правила, виводить активи, ламає довіру до розрахунків або блокує доступ до грошей. Плюс галузь живе на стиках технологій: біржі, платіжні провайдери, KYC, партнерські API. Хоча відкриті API — це зручно, але це велика поверхня для атаки: чим більше точок сполучення, тим вищі ризики, де одна помилка запускає ланцюжок. А у Web3 є додатковий тягар відповідальності: після запуску смартконтракт уже не можна просто швидко поправити і “задеплоїти” заново — помилка стає частиною продукту.

На нашу думку, фінтех має більше критичних вразливостей, ніж інші, не тому, що гірше захищений, а через те, що швидко розвивається, має високу вартість ризику, багато точок конфігурації, складну архітектуру та бізнес-логіку. Логічні вразливості тут трапляються частіше, ніж класичні технічні, і часто мають статус критичних.

Виділимо три групи типових вразливостей, критичних для кібербезпеки фінтех-компаній:

• Помилки в логіці операцій: коли правила можна обійти та отримати фінансовий ефект, а не просто доступ до даних.
• Вразливості в “грошовому контурі” (гаманець/контракт/модуль розрахунків): проблема може бути одна — а ризики втрат наростають як сніговий ком.
• Вразливості, які не можна швидко відкотити: у Web3 це особливо критично, бо виправлення після запуску — складний, дорогий, а іноді просто неможливий шлях.

Ціна помилок у кібербезпеці фінтех-компанії максимальна, тому критично важливо виправляти їх якомога раніше. Це підтверджує наш кейс аудиту смартконтрактів Web3-компанії перед запуском токена. Ми зайшли в проєкт на етапі, коли продукт уже готувався до виходу на ринок. У ході white-box аудиту двох смартконтрактів команда Datami виявила 40 вразливостей, включно з 2 критичними. Якби подібні проблеми не були спіймані до запуску, клієнту загрожував зрозумілий і безкомпромісний сценарій: повна втрата довіри до проєкту і, найімовірніше, повне його закриття.

Підсумуємо наш топ:

Що цікаво — в іншому нашому рейтингу найвразливіших галузей (де ми визначали топ не за критичністю, а за кількістю знайдених вразливостей на один проєкт) ці три індустрії також на перших позиціях, тільки з інших причин.

Як перестати бути “вразливою галуззю”

Універсального рецепта в кібербезпеці немає. Тому ми рекомендуємо нашим клієнтам будувати захист не навколо модних інструментів, а навколо галузевої логіки: визначати, що саме не можна допустити і де саме у вас найімовірніше може бути проблема. 

Це рекомендація не лише для представників індустрій з нашого рейтингу, а й усім, хто дбає про свою кібербезпеку. Адже критичні вразливості — не ексклюзив фінансів, фінтеху чи розробки ПЗ. Вони можуть виникнути в будь-якій компанії, незалежно від галузі: якщо ваш бізнес не входить до “ризикового топу”, це не означає, що у вас не може бути власних критичних точок.

У таблиці нижче — приклади послуг і рішень з кібербезпеки, які ми пропонуємо компаніям з нашого топ-3. 

Висновок

Критичні вразливості виявляються там, де складність системи поєднана з високою ціною помилки та швидкістю змін. Саме це показав аналіз проєктів Datami: фінанси, розробка ПЗ та фінтех очолюють рейтинг не через те, що нехтують безпекою, а тому, що працюють у середовищі підвищеного ризику.

Наш топ — не про “найгірші” галузі, а про те, що стандартного підходу до кібербезпеки вже недостатньо. Ключове питання не в тому, чи є у вас вразливості, а в тому, чи знаєте ви, де вони можуть спровокувати найбільший удар. Тому важливо встигнути перевірити ці точки раніше, ніж хтось ними скористається.

Виявити критичні точки під час аудиту безпеки завжди дешевше і безпечніше, ніж відновлюватися після успішної атаки. Не дозволяйте часу грати проти вас — завчасно будуйте свою систему захисту, яка враховує реалії вашої галузі.