Безопасность мобильного банкинга Республики Казахстан. В зоне риска

21.10.202421.10.2024

В сентябре 2024 года Центр расследования и анализа кибератак (TSARKA Group) проанализировал защищенность мобильных приложений банков второго уровня Республики Казахстан. С результатами исследования читателей портала Fintech & Retail CA знакомит Олжас Сатиев, президент TSARKA.

Этой осенью TSARKA Group опубликовала результаты ежегодного анализа защищенности мобильных приложений банков второго уровня. Коллектив TSARKA уже больше десятилетия работают над тем, чтобы защищать бизнес, государство и граждан Республики Казахстан от киберпреступников. Экспертиза и опыт более чем сотни топовых специалистов, выросших в Казахстане и обученных противодействовать киберугрозам именно в этом регионе, помогает успешно защищать именно казахстанский бизнес на базе как местных, так и известных по всему миру продуктов и технологий.

Исследователи отмечают, что мобильные приложения стали неотъемлемой частью взаимодействия бизнеса с клиентами, обеспечивая удобство и безопасность при обработке конфиденциальной информации пользователей. Однако, несмотря на их значимость, незащищенные мобильные приложения могут стать объектом интереса для злоумышленников, что в свою очередь может привести к серьезным угрозам безопасности данных и репутации банков. Ведь, как известно, в настоящее время банки хранят огромное количество конфиденциальных данных, включая личную информацию клиентов.

Анализ защищенности

Нарушение безопасности мобильных приложений банков может привести к серьезным последствиям, включая утечку личных данных клиентов и потерю доверия общества к банковской системе. В рамках стратегии кибербезопасности «Киберщит Казахстана», был проведен анализ защищенности мобильных приложений банков второго уровня.

В рамках анализа были рассмотрены 12 типов уязвимостей в трех

основных категориях:

Сетевое взаимодействие
Конфигурация приложения
Хранение конфиденциальных данных

Анализ выявил ряд уязвимостей и недостатков в мобильных приложениях, которые могут быть использованы злоумышленниками для несанкционированного доступа к конфиденциальной информации.

Рассмотренные проблемы касались настройки сетевого взаимодействия и передачи чувствительных данных в мобильных приложениях, которые часто подвержены атаке Man-in-the-Middle («человек посередине»). Эта атака позволяет злоумышленнику

перехватывать и изменять трафик между клиентом и сервером, выдавая себя за обе стороны связи. Подобные уязвимости могут существенно упростить задачу злоумышленникам при осуществлении подобных атак, что подчеркивает необходимость тщательного обеспечения безопасности сетевого взаимодействия в мобильных

приложениях.

Методы тестирования

В рамках исследования эксперты TSARKA применяли как ручные методы тестирования и анализа мобильных приложений, так и автоматизированные инструменты сканирования (MobSf, apkhunt и nuclei). Указанные инструменты – части автоматизированной комплексной платформы для тестирования на проникновение, анализа вредоносных программ и оценки безопасности мобильных приложений (под платформы Android/iOS/Windows). Данный подход обеспечивал всестороннюю оценку безопасности мобильных приложений, позволяя выявить как уязвимости, обнаруженные вручную, так и потенциальные угрозы, выявленные автоматически. В процессе исследования было рассмотрено 20 уязвимостей в 4 категориях у 11 ведущих банков второго уровня (БВУ) РК, часть приложений которых можно отметить как высококритичные, требующие немедленного исправления в исследованных версиях мобильных приложений.

Распространенные уязвимости

Например, больше половины исследуемых приложений хранит чувствительную информацию в приватном файле внутри директории приложения. Очень часто ошибочно считается, что данные, которые хранятся во внутренней директории приложения, уже защищены, и злоумышленник до них не доберется. Однако на самом деле для этого существует большое количество способов, начиная от резервной копии устройства, заканчивая физическим доступом к устройству и эксплуатации различных уязвимостей. Таким образом, если возникают другие уязвимости, позволяющие получить доступ к файлам в песочнице приложения, это делает весьма критичным хранение в них чувствительной информации, особенно если во внутренней директории хранятся аутентификационные или платежные данные пользователя. В таких случаях это может привести к полной утрате аккаунта или денежных средств клиента.

В заключение стоит отметить, что внедрение на государственном уровне требований к подключению в платформу легального поиска уязвимостей (Bug Bounty) дало толчок роста к регулярным исследованиям безопасности. Однако впереди нас ждет большая работа не только в рамках практической безопасности, но в и контексте смены парадигмы мышления, прекращения «невыноса сора из избы», то есть информации об утечках и уязвимостях, из периметра организации.

Новости Финтеха, ритейла и e-commerce в Центральной Азии

Больше новостей

21 июня, 202418.09.2024

Поздравляем лауреатов Премии «PLUS Galaxy Award» во всех 17 номинациях!

Подведены итоги премии «PLUS Galaxy Award»

Читать полностью

21 июня, 202418.09.2024

Digital Uzbekistan 2024. Что показал Ташкентский ПЛАС-Форум?

12–13 июня 2024 года в Ташкенте прошло крупнейшее в Центральной Азии событие

Читать полностью

26 июня, 202411.09.2024

ЕС обвиняет Microsoft и Apple в антимонопольных нарушениях: Teams и App Store на прицеле

Читать полностью

Криптоплатежи для бизнеса: CityPay.io внедряет новые технологии

21.11.202421.11.2024

На форуме выступил Арно Гзиров, менеджер по развитию бизнеса компании CityPay.io, рассказав о том, как их решения меняют подход к использованию криптовалют в повседневной жизни. Компания предлагает инновационные инструменты для бизнеса, которые упрощают прием криптоактивов, одновременно конвертируя их в местную валюту.

Как работают решения CityPay.io

CityPay.io предоставляет бизнесу возможность принимать криптовалюту с минимальными изменениями в существующей системе. Среди ключевых продуктов компании:

ПО для банков: позволяет интегрировать опцию криптовалютных платежей в уже существующие посттерминалы.

API для онлайн-магазинов: открывает новые возможности для интернет-коммерции, добавляя поддержку криптовалют.

Кошелек для физических лиц: включает в себя функции хранения, обмена криптовалют и возможность выпускать криптокарты.

Банкоматы для криптоактивов: позволяют обменивать криптовалюту на наличные.

Практическое применение

Гзиров отметил успешный пример из Грузии, где университет решил проблему задержек банковских переводов для иностранных студентов. Благодаря интеграции решения CityPay.io родители студентов оплачивают обучение через криптоактивы, а университет получает деньги в национальной валюте всего за 10 секунд. Это решение уже доказало свою эффективность, особенно для бизнеса, связанного с импортом, где важна оперативность расчетов.

Запуск в Узбекистане

Компания готовится начать работу в Узбекистане в декабре 2024 года. Партнером по запуску станет Octobank, чьи клиенты получат доступ к новым способам оплаты. Следующим этапом станет сотрудничество с Paynet, предоставляющим услуги пополнения фиатных кошельков и покупки криптоактивов через терминалы.

За три года работы в Грузии CityPay.io охватила практически все сегменты бизнеса, предоставив возможность оплатить криптовалютой товары, услуги, недвижимость и даже автомобили. Компания уже активно работает в Турции и Азербайджане, а в ближайшее время планирует расширение на рынки Казахстана и других стран региона.

Новости Финтеха, ритейла и e-commerce в Центральной Азии

Гостиницы Lotte и International проданы

21.11.202421.11.2024

Агентство по управлению государственными активами объявило итоги открытых торгов по продаже двух гостиниц в Ташкенте – Lotte City Hotel Tashkent Palace и International. В рамках программы приватизации обе сделки завершились с участием международных консалтинговых компаний и привлекли значительное внимание инвесторов.

Гостиница Lotte City Hotel Tashkent Palace, управляемая южнокорейской компанией Hotel Lotte CO., Ltd с 2013 года, была выставлена на продажу с участием консалтинговых компаний KPMG (консультант) и Deloitte (оценка). На начальном этапе было получено 15 заявок от местных и международных инвесторов из СНГ, Южной Азии и Европы.

После нескольких этапов отбора и анализа (включая due diligence) победителем торгов было признано АО “ALFA INVEST Страховая Компания”, предложившее наивысшую цену — 20 млн долларов США. Эта сумма превысила верхний предел оценочного диапазона, определенного Deloitte и KPMG.

Инвестор также обязался сохранять архитектурный облик здания и согласовывать все ремонтные и реконструкционные работы с Министерством строительства и Агентством культурного наследия.

Приватизация гостиницы International проводилась с участием консалтинговых компаний Deloitte (консультант) и Ernst & Young (оценка). Торги вызвали интерес у шести инвесторов из арабских стран, Восточной Азии и Европы. По итогам процесса победителем стало ООО Smart Fast Stroy, предложившее 26 млн долларов США за 100% государственной доли.

Дополнительно, инвестор принял на себя обязательство по погашению задолженности в размере 14,7 млн евро. В результате общий объем финансовых обязательств, связанных с этой сделкой, превысил 41 млн долларов США.

Сумма, предложенная победителем, также превысила верхний предел оценочного диапазона, рассчитанного Deloitte.

Результаты обеих сделок были одобрены Государственной комиссией по приватизации.

Новости Финтеха, ритейла и e-commerce в Центральной Азии

Ритейл будущего: как поколения Z и Alpha меняют правила игры

21.11.202421.11.2024

О ключевых трендах, которые формируют будущее оффлайн-ритейла, на ПЛАС-Форуме Retail Central Asia рассказал Бахтияр Султан, руководитель практики Retail and Consumer Strategy& Eurasia в PwC.

Глобальные тенденции

Бахтияр Султан отметил, что урбанизация остается одним из главных факторов, влияющих на рынок ритейла. Рост городов и ускорение ритма жизни заставляют потребителей искать максимально удобные решения для покупок. Этот тренд усиливает развитие так называемой Convenience 2.0 – концепции, где ключевую роль играют доступность, удобство и свежесть товаров.

Другой важный тренд – омниканальность, которая меняет представления о классическом ритейле. Покупатели ожидают seamless-опыт, когда оффлайн и онлайн интегрируются в единое пространство. Эта тенденция, подчеркнул Султан, будет только набирать обороты в ближайшие 5-10 лет.

Переход к “магазинам у дома”

После пандемии COVID-19 спрос на гипермаркеты и крупные торговые центры заметно снизился. Потребители всё чаще выбирают магазины шаговой доступности, где они могут приобрести товары повседневного спроса без лишних затрат времени и денег. “Доступность и свежесть продуктов становятся решающими факторами,” – отметил Султан.

Будущее за поколениями Z и Alpha

Наибольшее влияние на ритейл, по мнению эксперта, окажут поколения Z (12-27 лет) и Alpha (до 12 лет), которые через 10 лет составят около 50% экономически активного населения в таких странах, как Узбекистан и Казахстан.

Эти поколения выросли в цифровом мире и имеют совершенно иные потребности и ожидания от ритейла:

минимальное время на покупки;
омниканальный опыт;
высокая свежесть и качество товаров;
готовность платить за баланс между ценой и ценностью.

Особенно заметно это влияние в странах Центральной Азии. “Мы подсчитали, что через десятилетие поколения Z и Alpha станут основными драйверами потребления в Казахстане и Узбекистане,” – подчеркнул Султан.

Задачи для бизнеса

“Будущее ритейла заключается в способности адаптироваться к этим изменениям,” – отметил Султан. Компании должны предлагать современные решения, соответствующие ожиданиям новых поколений, включая цифровизацию процессов, доступные магазины и качественный сервис.

Ритейл-игрокам предстоит найти баланс между ценой и качеством, чтобы соответствовать запросам быстро меняющегося рынка.

Новости Финтеха, ритейла и e-commerce в Центральной Азии

Wildberries отмечает рост спроса на узбекские товары в СНГ

21.11.202421.11.2024

Wildberries, крупнейшая платформа электронной коммерции в СНГ, демонстрирует стабильный рост продаж узбекских товаров. Глава представительства компании в Узбекистане Акмаль Примкулов на ПЛАС-Форуме Retail Central Asia поделился ключевыми показателями и планами по развитию бизнеса в регионе.

Узбекская продукция покоряет рынок СНГ

По словам Примкулова, объем продаж узбекских товаров через Wildberries в 2023 году составил 418 миллионов долларов. Среди наиболее востребованных категорий: текстиль, посуда, бытовая техника, спортивная одежда и детские товары. Этот результат подтверждает растущий интерес к продукции из Узбекистана не только на местном, но и на международном рынке.

«Наши данные показывают, что спрос на товары из Узбекистана в странах СНГ продолжает увеличиваться. Мы видим огромный потенциал для дальнейшего роста», — отметил он.

Инфраструктура для ускорения роста

Компания активно развивает логистическую инфраструктуру в Узбекистане, открывая сортировочные центры и пункты выдачи заказов. Эти инициативы направлены на обеспечение быстрой и качественной доставки, что становится ключевым драйвером роста электронной коммерции в стране.

Примкулов подчеркнул, что создание эффективной логистики не только поддерживает экспортеров, но и стимулирует развитие локального рынка e-commerce, облегчая доступ потребителей к необходимым товарам.

Технологии и масштабирование бизнеса

Wildberries продолжает внедрять высокотехнологичные решения для поддержки предпринимателей и покупателей. Компания предоставляет платформу для масштабирования бизнеса и запуска собственных брендов, создавая устойчивую экосистему электронной коммерции.

Сейчас Wildberries объединяет 50 тысяч пунктов выдачи заказов и 2,5 миллиона квадратных метров складских площадей, выполняя около 20 миллионов заказов ежедневно в восьми странах.

Перспективы развития

В ближайшие годы Wildberries планирует усилить свои позиции на рынке Узбекистана за счет расширения ассортимента товаров, улучшения логистики и увеличения числа партнеров. Компания также продолжит стимулировать экспорт узбекской продукции, способствуя укреплению экономики страны.

Эксперты отмечают, что стратегия Wildberries в Узбекистане задает ориентиры для развития всей индустрии электронной коммерции в Центральной Азии.

Новости Финтеха, ритейла и e-commerce в Центральной Азии

Электронная коммерция в Узбекистане превысила $1 млрд

21.11.202421.11.2024

На ПЛАС-Форуме Retail Central Asia Камронбек Мухаммадиев, начальник управления по регулированию и развитию электронной коммерции Национального агентства перспективных проектов, поделился ключевыми результатами и вызовами в сфере e-commerce.

Объем рынка: прорыв и перспективы

По данным агентства, объем рынка электронной коммерции в Узбекистане в 2023 году превысил $1 млрд, что составляет около 4% от общего объема розничной торговли. Камронбек Мухаммадиев подчеркнул, что это значительный рост по сравнению с предыдущими оценками, такими как $350 млн, заявленными ранее. Он отметил, что появление местных и зарубежных игроков, включая российских маркетплейсов, стало ключевым драйвером роста.

“Электронная коммерция активно развивается, особенно после 2020 года, когда наблюдался резкий рост интереса к онлайн-торговле по всему миру. В Узбекистане этот сегмент демонстрирует отличные темпы, и мы ожидаем дальнейший рост по итогам 2024 года,” — отметил он.

Законодательные вызовы и инициативы

Мухаммадиев также рассказал о работе агентства над устранением законодательных барьеров в сфере электронной коммерции. Несмотря на то, что закон об электронной коммерции существует с 2004 года, и последняя версия была обновлена в 2022 году, остаются значительные пробелы, затрудняющие развитие отрасли.

“Мы выявили множество нормативных преград, несмотря на существующее законодательство. Вместе с финтех-ассоциацией, ассоциацией электронной коммерции и участниками рынка мы подготовили проект решения президента. Его цель — устранение базовых проблем и создание благоприятной среды для бизнеса,” — пояснил Мухаммадиев.

Взаимодействие с бизнесом

Спикер подчеркнул, что взаимодействие с игроками рынка является важной частью работы агентства. Благодаря диалогу с бизнесом были определены основные препятствия и пути их решения.

“Сфера электронной коммерции становится одним из ключевых факторов экономического развития. Мы должны создать прозрачные и эффективные условия, чтобы поддерживать высокие темпы роста и привлекать новые инвестиции,” — отметил он.

Итоги выступления показали, что Узбекистан стремительно становится важным игроком в сфере e-commerce, и развитие этого сектора требует комплексного подхода, включающего как законодательные, так и технологические реформы.

Новости Финтеха, ритейла и e-commerce в Центральной Азии

Еще новости