Новостной портал ЦТЭП ИДУ
Центр технологий электронного правительства Института дизайна и урбанистики
Национальный исследовательский Университет ИТМО

Исследователям дозволено все, что не противоречит нормам Уголовного кодекса

Innostage впервые публично объявил о намерении провести постоянно действующую открытую программу кибериспытаний в формате Вug Вounty на конференции SOC Форум 2023, который прошел в середине ноября 2023 г. Как отметила тогда руководитель департамента сервисных услуг Innostage Екатерина Сюртукова, Bug Bounty, в отличие от тестирования на проникновение, является непрерывным инструментом повышения защищенности, который выводит безопасность на новый уровень и позволяет существенно поднять конкурентоспособность компании.

Инициатором проекта стал генеральный директор Innostage Айдар Гузаиров. Он подчеркнул, что компания, которая хочет заниматься проектами в области результативной кибербезопасности, должна начать с себя, тем самым показывая пример заказчикам и доказывая на деле компетентность в данной сфере, а программы Bug Bounty показали себя как надежный способ измерить эффективность ИБ в компании.

«Innostage — первый ИТ-интегратор, который выносит инфраструктуру для проверки сильнейшими хакерами в таком формате. Мы готовы платить специалистам миллионы, если они укажут на критические уязвимости», — подчеркнул Айдар Гузаиров. Вознаграждение для исследователей, по его словам, составит 5 млн руб., но затем, по мере расширения масштабов проекта, оно будет расти. Первой целью компании, как отметил Айдар Гузаиров, станет привлечение исследователей из числа «белых хакеров».

Как отметил директор по ИТ-продуктам и сервисам Innostage Руслан Сулейманов, подготовительный этап по выходу компании на кибериспытания занял девять месяцев. За это время, как отметил CDO интегратора, прошел аудит, разработка целевой модели ИТ-инфраструктуры и ее реализация, параллельно шло обучение и тренинги персонала. Причем, как особо отметил Руслан Сулейманов, через программу обучения прошли все сотрудники, в том числе не относящиеся к ИТ- и ИБ-специалистам.

В качестве партнеров Innostage выбрал АО «Кибериспытания» и Positive Technologies. Технической площадкой для кибериспытаний Innostage станет Standoff Bug Bounty. Как отметил Руслан Сулейманов, исследователям в ходе Вug Вounty будет допустимо использовать любые средства, кроме тех, которые являются уголовно или административно наказуемыми.

Директор экспертного центра информационной безопасности Positive Technologies Алексей Новиков назвал выход на кибериспытания серьезным вызовом, в отличие от пентестов, которые ограничены по времени и рамками тех или иных сервисов или ресурсов. Однако, по его словам, как только компания выделяет бюджет на ИБ, необходимо предусмотреть и затраты на проверку ее эффективности, и кибериспытания являются наиболее эффективным и надежным методом такой проверки. Алексей Новиков также назвал перспективной задачей включение в контур испытаний в формате Вug Воunty партнеров компании, часто являющихся тем самым слабым звеном, через которое злоумышленники проникают в инфраструктуру компаний и госструктур, причем ИБ-подрядчики не являются исключением.

Генеральный директор АО «Кибериспытания» Вячеслав Левин назвал успешное прохождение Bug Bounty важным критерием для выбора партнеров и подрядчиков. Он выразил надежду, что в ближайшее время такие программы станут рыночным стандартом.


Источник: https://www.comnews.ru/content/233341/2024-05-24/2024-w21/1008/issledovatelyam-dozvoleno-vse-chto-ne-protivorechit-normam-ugolovnogo-kodeksa
Дата: 24.05.2024

Последние новости:

18.11.2024

15 ноября завершился XI Международный форум «ИТ-Диалог» в Санкт‑Петербурге

В период с 14 по 15 ноября 2024 года в Санкт‑Петербурге прошел XI Международный форум «ИТ-Диалог». Северная столица традиционно провела его на высоком уровне. ...

15.11.2024

В тюменской поликлинике будут выявлять онкологию с помощью ИИ

Тюменская область стала одним из первых регионов, который использует искусственный интеллект (ИИ) для увеличения частоты выявления онкологии на уровне первичног ...