Исследователям дозволено все, что не противоречит нормам Уголовного кодекса
Innostage впервые публично объявил о намерении провести постоянно действующую открытую программу кибериспытаний в формате Вug Вounty на конференции SOC Форум 2023, который прошел в середине ноября 2023 г. Как отметила тогда руководитель департамента сервисных услуг Innostage Екатерина Сюртукова, Bug Bounty, в отличие от тестирования на проникновение, является непрерывным инструментом повышения защищенности, который выводит безопасность на новый уровень и позволяет существенно поднять конкурентоспособность компании.
https://www. comnews. ru/content/230182/2023-11-16/2023-w46/1008/bug-bounty-kak-konkurentnoe-preimuschestvo
Инициатором проекта стал генеральный директор Innostage Айдар Гузаиров. Он подчеркнул, что компания, которая хочет заниматься проектами в области результативной кибербезопасности, должна начать с себя, тем самым показывая пример заказчикам и доказывая на деле компетентность в данной сфере, а программы Bug Bounty показали себя как надежный способ измерить эффективность ИБ в компании.
"Innostage - первый ИТ-интегратор, который выносит инфраструктуру для проверки сильнейшими хакерами в таком формате. Мы готовы платить специалистам миллионы, если они укажут на критические уязвимости", - подчеркнул Айдар Гузаиров. Вознаграждение для исследователей, по его словам, составит 5 млн руб., но затем, по мере расширения масштабов проекта, оно будет расти. Первой целью компании, как отметил Айдар Гузаиров, станет привлечение исследователей из числа "белых хакеров".
Как отметил директор по ИТ-продуктам и сервисам Innostage Руслан Сулейманов, подготовительный этап по выходу компании на кибериспытания занял девять месяцев. За это время, как отметил CDO интегратора, прошел аудит, разработка целевой модели ИТ-инфраструктуры и ее реализация, параллельно шло обучение и тренинги персонала. Причем, как особо отметил Руслан Сулейманов, через программу обучения прошли все сотрудники, в том числе не относящиеся к ИТ- и ИБ-специалистам.
В качестве партнеров Innostage выбрал АО "Кибериспытания" и Positive Technologies. Технической площадкой для кибериспытаний Innostage станет Standoff Bug Bounty. Как отметил Руслан Сулейманов, исследователям в ходе Вug Вounty будет допустимо использовать любые средства, кроме тех, которые являются уголовно или административно наказуемыми.
Директор экспертного центра информационной безопасности Positive Technologies Алексей Новиков назвал выход на кибериспытания серьезным вызовом, в отличие от пентестов, которые ограничены по времени и рамками тех или иных сервисов или ресурсов. Однако, по его словам, как только компания выделяет бюджет на ИБ, необходимо предусмотреть и затраты на проверку ее эффективности, и кибериспытания являются наиболее эффективным и надежным методом такой проверки. Алексей Новиков также назвал перспективной задачей включение в контур испытаний в формате Вug Воunty партнеров компании, часто являющихся тем самым слабым звеном, через которое злоумышленники проникают в инфраструктуру компаний и госструктур, причем ИБ-подрядчики не являются исключением.
Генеральный директор АО "Кибериспытания" Вячеслав Левин назвал успешное прохождение Bug Bounty важным критерием для выбора партнеров и подрядчиков. Он выразил надежду, что в ближайшее время такие программы станут рыночным стандартом.
