100% гарантии никто и не дает, задача всех мер - повысить процент тех, кто с меньшей вероятностью поведется на базовые уловки атакующих

ну да, ESA любая

длп на исход настраивается

так, я тут не причём. Не моя методика

прям любая? ) а если регистрация без подтверждения?

Так я и предложил один из вариантов, во втором отчете уже сравнить старые и новые утечки и выдавать только разницу. В след году учитывать только свежие утечки

Ну хз, на самом деле - все равно не считаю, что имейл (без пароля, ессно) - реально критичная инфа. Их и пробрутить можно, если на то пошло, и из одного - сделать кучу. Определяем правила генерации -> узнаем имена сотрудников - > профит!

Это не Вам, извините.

я еще хочу в следующем году запросить у банков разрешение просканировать их сайты. Кто не даст добро - так и указывать, что отказались от аудита и в конец списка.

я вот навскидку даже и не припомню что есть такие решения, только ограничивать список разрешенных сайтов

пробрутить это дороже, чем из архива взять почту и пароль от неё

Это ваш отчёт, вам виднее куда дальше двигаться. Но стоит ли банкам верить достоверности остальных параметров в отчёте? Кто-нибудь увидит, что у него всё ок и расслабиться...

Да, но архив надо сначала найти/купить. Так что спорно, если надо получить мыло Романа, работающего в мегакомпании. 😉 Но - не принципиально, Олжас сказал, что уточнит, что это- не утечки из банков.

понимаете.. ИБ такая штука.. эфемерная, как черная дыра. инцидент шарахнуть может с любого вектора. поэтому чем больше превентивных мер тем лучше. единственная сфера кроме атомной энергетики где лучше перебздеть, чем недобдеть

Мы указываем, что отчет идет по главной странице банков. Мы не проверяем ДБО и другие сервисы. Тут показатель кибер-риска по официальным сайтам банков.

Я согласен, что это не показатель безопасности всего банка. Но если есть идеи что добавить в скоуп проверки и чтобы это не нарушало закон, мы с радостью подключим.

Сейчас мы подобный скоринг используем для европейской крупной страховой компании, которая занимается Cyber Insurance. Там более развернутые отчеты для них и они используют данный скоринг, чтобы оценить на первом этапе кибер риски. А потом уже, ес-но, начинают более глубокий аудит внутри инфраструктуры

и запрет регистрации это не единственная мера,  менять пароли или делать двухфакторку нормальную

Вот кстати вопрос участникам чата, что можно оценивать на сайте автоматизированно помимо того, что сейчас есть, но при этом в рамках закона? Мы добавим в наш это скоринг, если это будет возможным

я был удивлен, когда некоторые банки даже SSL на свои официальный сайт не внедрили

доступность в течение суток?
я как про доступность сайта в целом, так и то, что https не отваливается, что сертификаты на месте и тд

в маленьких банках по 1-3 ИБ шника. как думаешь сколько у них задач и будет ли ssl  в приоритете?