Культура безопасности: как соревнования укрепляют защиту IT-продуктов Альфа-Банка

Это что за багатон

В Альфа-Банке первый багатон провели еще в 2021 году. К моменту начала организации третьего соревнования его формат решили полностью переосмыслить. В этот раз разработчики работали с уязвимостями, тем самым понимая, как делать сервисы банка безопасными. «Мы взяли формат багатона и переформатировали его, сделав уникальным, с акцентом на безопасность. Мы решили, что в этот раз будем исправлять не технические баги, а уязвимости, оставив конкурентную, соревновательную составляющую», — рассказывает Максим Сыромятников, DevRel-менеджер, один из организаторов мероприятия.

Главной идеей прошедшего багатона было не просто устранение уязвимостей, а внедрение культуры безопасности в целом.

«Мы на реальных задачах объяснили людям, как важна безопасность. Мы показали разработчикам, как не допускать ошибок, как при необходимости их исправлять, и сделали все это в форме соревнования. То есть человек не только понял на рабочих задачах, почему безопасность так важна, но и посоревновался вместе с командой, классно и интересно провел время», — комментирует Мария Артемьева, старший эксперт команды AppSec, одна из организаторов багатона.

Новый формат соревнования сделал процесс увлекательным, а внутренняя конкуренция мотивировала участников достигать лучших результатов. Такие мероприятия делают цифровую безопасность в Альфа-Банке частью культуры, которая воспринимается как естественная часть процессов в IT.

Как проходило соревнование

Багатон длился два рабочих дня и собрал 200 участников, которые разбились на 24 команды. Соревнование стартовало с бизнес-завтрака, где участники получили стартовые наборы с фирменными стикерами, сувенирами и дрип-пакетами кофе. Вице-президент Альфа-Банка по IT выступил с напутственной речью. После этого прозвучал удар в гонг, и соревнования начались.

Все задания разбили на категории, каждая из которых требовала своего подхода. Участники багатона занимались устранением разного рода существующих уязвимостей в коде и поиском новых. Механика решения задач была максимально приближена к реальному рабочему процессу.

В течение двух дней команды работали над задачами в онлайн- и офлайн-формате. Для тех, кто соревновался из офиса, были устроены специальные зоны, организовано питание и кофе-брейки. Борьба была напряженной: разница между командами-лидерами была всего в одну поставку кода. Особое внимание уделялось поиску новых уязвимостей. И хотя организаторы изначально сомневались, что команды найдут время и ресурсы на это, разработчики Альфа-Банка успешно справились и с этим.

Для прозрачности соревнования организаторы разработали специальную онлайн-платформу, в которой участники формировали команды, выбирали задачи, отслеживали прогресс их выполнения и следили за своим рейтингом.

Что получилось

Победившие команды получили денежные призы:

• 1-е место — 500 000 рублей
• 2-е место — 350 000 рублей
• 3-е место — 250 000 рублей

Кроме того, организаторы отметили лучших багхантеров, которым во время соревнования удалось найти новые уязвимости. Сразу после официальной части началась вечеринка.

Главный итог багатона — изменение восприятия темы безопасности. Разработчики увидели, что защищенность сервисов зависит не только от команд безопасности, но и от них самих. Кроме того, удалось развеять некоторые мифы. Например, что невозможно исправить уязвимость за два дня или что найти новую уязвимость в чужой функциональной области просто невозможно.

Соревнования — отличный способ вовлечь IT-специалистов в безопасность и превратить сложные технические задачи в увлекательный процесс. «Мы постоянно обучаем наших разработчиков всеми возможными способами, вкладываемся в то, чтобы все сотрудники знали: безопасность — это важно», — заключает Мария Артемьева.