100 компаний проверят защищённость ИТ-систем от кибератак в рамках кибериспытаний на Standoff Bug Bounty

Positive Technologies и АО «Кибериспытание» заключили партнёрское соглашение, согласно которому 100 компаний смогут оценить свою защищённость с помощью программ кибериспытаний и выйдут на платформу Standoff Bug Bounty в 1-м квартале 2025 года. В рамках задач исследователи должны найти способ реализовать недопустимое событие, которое может нанести организации критически опасный ущерб. За успешное достижение целей таких программ исследователи ИБ могут получить вознаграждение в размере одного миллиона рублей.

Кибериспытание — способ подтвердить надёжность системы защиты организации и получить объективную оценку уровня этой защиты, выраженную в деньгах. Такой подход помогает понять, как могут действовать реальные злоумышленники, а также выявлять наиболее уязвимые места в ИТ-инфраструктуре и быстро их устранять.

В 1-м квартале 2025 года на кибериспытания выйдут 100 компаний из сфер образования, науки, финансов, медицины, транспорта, информационных технологий и безопасности. Испытания в экспресс-формате проводятся в рамках выделенного грантового фонда в размере 100 млн рублей, который направлен на повышение киберустойчивости российских компаний и развитие индустрии белых хакеров. В случае реализации недопустимого события отдельной компании, исследователь или команда получит вознаграждение — один миллион рублей. Сейчас на платформе Standoff Bug Bounty уже опубликовано 28 программ от компаний.

«Наша цель — дать инструменты, которые помогут оценить защищенность компаний, эффективность трат на ИБ и качественно повысить реальную безопасность. В условиях постоянно растущих рисков формат кибериспытаний становится незаменимым элементом стратегии информационной безопасности для организаций всех отраслей», — заявил Алексей Новиков, управляющий директор Positive Technologies.

По итогам проектов результативной кибербезопасности, пионерами в области багбаунти и кибериспытаний, ориентированных на исследование реализуемости недопустимых сценариев, стали компании Positive Technologies и Innostage. Их программы с призовым фондом в 60 и 10 млн рублей соответственно стали интересны большому количеству специалистов по кибербезопасности.

«Первые 100 компаний, вышедшие на кибериспытания, создают новый стандарт оценки защищённости, где исследователи проверяют не просто уязвимости, а целые цепочки атак, ведущие к критически серьезным последствиям. Запрос на такую оценку приходит не только от директоров по ИБ, но и от “непрофильных” подразделений бизнеса. В нашем случае ключевым заказчиком исследования стали собственники и руководители компаний, а также департаменты операционных рисков или внутреннего аудита. Это доказывает, что кибербезопасность становится стратегическим приоритетом для развития компаний», — отметила Наталья Воеводина, генеральный директор проекта «Кибериспытание».

Запущенная в мае 2022 года платформа Standoff Bug Bounty позволяет компаниям тестировать свою киберзащиту в реальных условиях; она зарекомендовала себя как эффективный инструмент для проведения кибериспытаний. В прошлом году на площадке было опубликовано более 5000 отчетов об уязвимостях. Общая сумма вознаграждений, выплаченных исследователям с момента запуска Standoff Bug Bounty, превысила 176 млн рублей. В 2024 году на платформе были доступны программы багбаунти организаций из различных сфер, включая Минцифры, Т-Банк, VK, Rambler&Co, Wildberries и Ozon. К концу ноября 2024 года количество зарегистрированных исследователей превысило 18 000, увеличившись более чем в два раза по сравнению с уровнем 2023 года.