Компания Bi.Zone выполнила всесторонний аудит защищенности и пентестинг. В рамках кампании 2025 года по запуску национальной сети собственных банкоматов «Ozon Банк» обратился к экспертам. Специалисты направления Bi.Zone Embedded Systems Security Assessment (Bi.Zone ESSA) и тестировщики на проникновение провели анализ устройств и комплексную проверку их безопасности. Об этом CNews проинформировали в Bi.Zone.
Эксперты Bi.Zone ESSA исследовали уровень безопасности банкоматов на всех уровнях: от «железа» и микропрограмм до пользовательских приложений и внешних интерфейсов. Были проверены образ операционной системы управляющего компьютера и проанализированы следующие аспекты: вероятность выхода из киоск-режима; безопасность процедуры загрузки управляющего ПК; потенциальные пути повышения привилегий в ОС; возможность обхода систем контроля устройств и приложений; методы обработки и хранения персональных данных клиентов.
Кроме того, была оценена устойчивость банкоматов к мошенническим и физическим атакам, включая несанкционированное проникновение в сервисное помещение, а также проанализирована безопасность процессов приема и выдачи наличных средств.
Специалисты по пентестингу Bi.Zone смоделировали поведение потенциальных злоумышленников. Также был проведен ряд комплексных проверок: тестирование сетевого периметра, поиск уязвимостей на уровне приложений, попытки эскалации привилегий и получения доступа к критически важным активам, включая конфиденциальные данные.
В ходе работы команда Bi.Zone сосредоточилась на нескольких ключевых направлениях:
– Состояние защиты сетевого периметра. Эксперты проверили, существует ли возможность его преодоления для доступа к внутренним ресурсам.
– Безопасность внутренних систем. Были смоделированы атаки с целью компрометации внутренних IT-сервисов банка.
– Система разграничения прав доступа. Оценены риски несанкционированного доступа к наиболее важным активам.
Михаил Сидорук, руководитель управления анализа защищенности, Bi.Zone: «У банка свыше 38 миллионов активных клиентов. Крайне важно гарантировать защиту их информации и финансов на всех этапах, в том числе при операциях с наличными через банкоматы. В каждый проект мы вкладываем экспертизу, накопленную за годы практической работы в области кибербезопасности. Проведенный аудит позволил «Ozon Банку» увидеть полную картину уровня защищенности, а также получить рекомендации по закрытию уязвимостей, корректировке процессов и архитектуры. Их реализация поможет планомерно усилить кибербезопасность».
