«Т-Технологии» объявили о запуске новой программы в формате кибериспытаний

«Т-Технологии» (материнская компания Т-Банка) объявили о запуске новой программы в формате кибериспытаний, расширяющей существующие практики поиска уязвимостей. Запускается принципиально новое направление — тестирование «недопустимых событий», то есть сценариев, способных подтвердить устойчивость ключевых систем и процессов к критическим воздействиям, рассказали Forbes в компании.

Программа реализована по принципу pay-for-impact: вознаграждение выплачивается не просто за найденную уязвимость, а за продемонстрированный сценарий, который способен проверить реальную устойчивость экосистемы. Жестких ограничений по вектору атак исследователям не ставится — разрешено искать слабые места в мобильных приложениях, API, бизнес-логике, интеграциях с партнерами и других элементах цифровой инфраструктуры.

Руководитель департамента информационной безопасности Т-Банка Дмитрий Гадарь отметил, что новая программа исследовательских сценариев безопасности «выходит за рамки классического поиска уязвимостей». «Наша задача — не заменить стандартный поиск багов, а дополнить его новым направлением: стимулировать исследователей искать комплексные сценарии, которые позволяют на практике подтвердить защищенность систем», — рассказал Гадарь. По его словам, сейчас программа работает в приватном режиме — она недоступна публично и открыта только для ограниченного круга исследователей, но в дальнейшем участие будет расширено.

Как отметили в компании, под «недопустимыми событиями» подразумеваются сценарии, которые проверяют устойчивость ключевых компонентов инфраструктуры. К примеру, это попытки несанкционированного доступа к внутренним сервисам; закрепление на сервере базы данных от привилегированной учетной записи; внедрение кода в цепочку релизов продуктов; обход механизмов защиты и мониторинга.

Программа позволяет не просто собирать отчеты об отдельных уязвимостях, а проверять и подтверждать на практике готовность инфраструктуры к серьезным инцидентам, подчеркнули в компании. «Мы рассчитываем, что подобный подход станет отраслевым стандартом прозрачности и доверия в сфере финансовых технологий», — отметил Гадарь.

Российские финансовые организации лидируют по уровню кибербезопасности в отраслевом индексе F6 — ведущего разработчика технологий для борьбы с киберпреступностью, сообщили в пресс-службе компании в мае. Банки, страховые компании, платежные и лизинговые организации получили самый высокий средний балл — 5,8. «Отраслевой Индекс кибербезопасности» был основан на анализе киберзащищенности 1000 российских компаний, работающих в семи основных отраслях экономики — в финансовом секторе, промышленности, ТЭК, ИТ, транспорте и логистике, строительстве и ретейле, отмечали в F6.