«Т-Технологии» запустили программу кибериспытаний на Standoff Bug Bounty

Компания «Т-Технологии» объявила о запуске программы для тестирования безопасности инфраструктуры в формате кибериспытаний на площадке Standoff Bug Bounty. Инициатива направлена не только на выявление технических багов, но и на поиск и реализацию недопустимых событий — сценариев, способных подтвердить устойчивость ключевых систем и процессов компании к критическим воздействиям. Максимальное вознаграждение составляет 3 млн рублей.

Подход к оценке защищенности информационных систем претерпел качественные изменения. Если ранее такие проверки проводились периодически, то сегодня это непрерывный процесс, включающий постоянный мониторинг, тестирование и оценку уязвимостей. На фоне ускоренной цифровизации и роста числа киберугроз усиливается и роль регуляторных органов, которые вводят новые требования к защите субъектов КИИ и государственных информационных систем. Вектор развития смещается в сторону проактивной защиты, при этом сохраняются ключевые вызовы — дефицит квалифицированных кадров и поиск баланса между надежностью и бизнес-эффективностью.

«Кибериспытания — следующий этап. Это не про поиск отдельных багов, а про проверку готовности инфраструктуры к серьезным инцидентам. Исследователи проводят цепочки атак, комбинируют уязвимости, ищут слабые места на стыках систем — все так, как это делает настоящий злоумышленник, но в контролируемой среде. Запуск „Т-Технологиями“ на платформе Standoff Bug Bounty программы для проверки возможности реализовать недопустимые события — важный шаг на пути расширения технологического сотрудничества с финтех-компаниями и развития культуры ответственного раскрытия уязвимостей на этом рынке».

Иван БулавинДиректор по продуктам платформы Standoff 365, Positive Technologies

В рамках новой программы исследователи попытаются реализовать ряд недопустимых событий. Среди них — получение несанкционированного доступа к внутренним сервисам, закрепление на сервере базы данных от имени привилегированной учетной записи, внедрение кода в цепочку релизов продуктов и обход механизмов защиты и мониторинга.

«Мы запускаем новую программу исследовательских сценариев безопасности, которая выходит за рамки классического поиска уязвимостей. Наша задача — не заменить стандартный поиск багов, а дополнить его новым направлением: стимулировать исследователей искать комплексные сценарии, которые позволяют на практике подтвердить защищенность систем. Такой подход делает безопасность более прозрачной и технологичной. Сейчас программа работает в приватном режиме — она недоступна публично и открыта только для ограниченного круга исследователей. В дальнейшем мы планируем расширять участие, сохранив высокий уровень требований к качеству и надежности».

Дмитрий ГадарьРуководитель департамента информационной безопасности Т-Банка

Программа реализована по модели pay for impact: вознаграждение выплачивается не за найденную уязвимость, а за сценарий, который способен проверить реальную устойчивость экосистемы. При этом для исследователей не ставятся жесткие ограничения в отношении векторов атак: разрешено искать слабые места в мобильных приложениях, API, бизнес-логике, интеграциях с партнерами и других элементах цифровой инфраструктуры.

За успешную реализацию недопустимого события компания готова выплатить до 3 млн рублей. В случае промежуточных сценариев размер выплат варьируется от 100 тысяч до 1,5 млн рублей в зависимости от сложности и потенциального ущерба инфраструктуре.

Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года площадка привлекла свыше 30 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 300 программ по поиску уязвимостей, а общий объем вознаграждений составил более 300 млн рублей.