Исследователям дозволено все, что не противоречит нормам Уголовного кодекса

Innostage впервые публично объявил о намерении провести постоянно действующую открытую программу кибериспытаний в формате bug bounty на конференции SOC Форум 2023, который прошел в середине ноября 2023 г. Как отметила тогда руководитель департамента сервисных услуг Innostage Екатерина Сюртукова, Bug Bounty, в отличие от тестирования на проникновение, является непрерывным инструментом повышения защищенности, который выводит безопасность на новый уровень и позволяет существенно поднять конкурентоспособность компании.\[quote\] [url=https://www]https://www[/url]. comnews. ru/content/230182/2023-11-16/2023-w46/1008/bug-bounty-kak-konkurentnoe-preimuschestvo\[/quote\] Инициатором проекта стал генеральный директор Innostage Айдар Гузаиров. Он подчеркнул, что компания, которая хочет заниматься проектами в области результативной кибербезопасности, должна начать с себя, тем самым показывая пример заказчикам и доказывая на деле компетентность в данной сфере, а программы Bug Bounty показали себя как надежный способ измерить эффективность ИБ в компании. "Innostage — первый ИТ-интегратор, который выносит инфраструктуру для проверки сильнейшими хакерами в таком формате. Мы готовы платить специалистам миллионы, если они укажут на критические уязвимости", — подчеркнул Айдар Гузаиров. Вознаграждение для исследователей, по его словам, составит 5 млн руб., но затем, по мере расширения масштабов проекта, оно будет расти. Первой целью компании, как как отметил Айдар Гузаиров, станет привлечение исследователей из числа "белых хакеров". Как отметил директор по ИТ-продуктам и сервисам Innostage Руслан Сулейманов, в подготовительный этап по выходу компании на кибериспытания занял 9 месяцев. За это время, как отметил CDO интегратора, прошел аудит, разработка целевой модели ИТ-инфраструктуры и ее реализация, параллельно шло обучение и тренинги персонала. Причем, как особо отметил Руслан Сулейманов, через программу обучения прошли все сотрудники, в том числе не относящиеся к ИТ и ИБ-специалистам. В качестве партнеров Innostage выбрала АО "Кибериспытания" и Positive Technologies. Технической площадкой для кибериспытаний Innostage станет Standoff Bug Bounty. Как отметил Руслан Сулейманов, исследователям в ходе bug bounty будет допустимо использовать любые средства, кроме тех, которые являются уголовно или административно наказуемыми. Директор экспертного центра информационной безопасности Positive Technologies Алексей Новиков назвал выход на кибериспытания серьезным вызовом, в отличие от пентестов, которые ограничены по времени и рамками тех или иных сервисов или ресурсов. Однако, по его словам, как только компания выделяет бюджет на ИБ, необходимо предусмотреть и затраты на проверку ее эффективности, и кибериспытания являются наиболее эффективным и надежным методом такой проверки. Алексей Новиков также назвал перспективной задачей включение в контур испытаний в формате bug biunty партнеров компании, которые часто являются тем самым слабым звеном, через которые злоумышленники проникают в инфраструктуру компаний и госструктур, причем ИБ-подрядчики не являются исключением. Генеральный директор АО "Кибериспытания" Вячеслав Левин назвал успешное прохождение Bug Bounty важным критерием для выбора партнеров и подрядчиков. Он выразил надежду, что в ближайшее время такие программы станут рыночным стандартом. Ссылка на источник