В ходе проекта был проведен статический и динамический анализ исходного кода системы InvestPay для поиска потенциальных уязвимостей нулевого дня (0-day) интернет-банка, а также исследованы архитектурные особенности системы с целью исключения архитектурных и уже известных уязвимостей.
Кроме этого, специалисты «Инфосистемы Джет» выполнили тестирование на проникновение (пентест) в отношении InvestPay в условиях эксплуатации, идентичных реальным. Пентест проводился для того, чтобы верифицировать все потенциальные уязвимости, проверив возможность и вероятность их эксплуатации.
После анализа уязвимостей было сделано заключение о стойкости InvestPay к атакам нарушителей в заданной ОУД 4 модели. Это значит, что система банка устойчива к атакам преступных групп, хакеров-физических лиц, недобросовестных работников банка.
По итогам анализа исходного кода и тестирования на проникновение были внесены изменения в исходный код InvestPay, в результате чего удалось повысить общую защищенность системы, а также выполнить требования Банка России в отношении безопасности прикладного платежного программного обеспечения (683-П и ГОСТ Р 51583-2014).
«Оценка безопасности прикладного банковского программного обеспечения в соответствии с методологией Общих критериев (ГОСТ Р ИСО/МЭК 15408) — новое направление регулирования в банковской отрасли, — отмечает Николай Антипов, руководитель департамента консалтинга центра информационной безопасности компании “Инфосистемы Джет”. — Реализация проектов по новым требованиям нормативно-правовых актов всегда сопряжена с определёнными сложностями, связанными с трактовкой тех или иных требований и отсутствием правоприменительной практики. Благодаря совместной работе с коллегами из Челябинвестбанка нам удалось разрешить все возникшие в ходе проекта вопросы и подтвердить соответствие системы ДБО требованиям Банка России. Для “Инфосистемы Джет” проект в Челябинвестбанке — не первый в данном направлении. Однако отличный опыт, полученный на этом проекте, мы уже активно используем в других проектах по оценке соответствия требованиям к прикладному ПО».