ИТ-компания Innostage, один из ведущих системных интеграторов в области цифровой безопасности, дополнила свою программу открытых кибериспытаний новыми условиями. Они касаются вознаграждений за промежуточные действия на пути к реализации недопустимого события (НС).
26 мая при запуске открытых кибериспытаний на платформе для исследователей безопасности Standoff Bug Bounty Innostage в качестве НС обозначило кражу 2000 рублей из корпоративной финансовой системы и их перевод на подконтрольные счета хакеров. За успешную реализацию предложенного сценария и отчет о проведенных действиях компания обязуется выплатить 5 млн рублей.
Открытые кибериспытания – инновационный формат проверки на киберустойчивость, правила которого формируются в процессе проведения «пилотных» запусков. Фактически, Innostage – первый и пока единственный российский ИТ-интегратор, взявший на себя смелость провести независимую публичную проверку собственной ИТ-инфраструктуры сильнейшими хакерами. В будущем Innostage планирует внедрять практику открытых кибериспытаний максимально широко, формируя новый отраслевой стандарт. На предложение оценить уровень цифровой устойчивости бизнеса и его надежности для клиентов откликнулось свыше 360 хакеров, но ни одному из них пока не удалось сорвать куш.
По итогам полуторамесячного мониторинга действий независимых исследователей ИБ, Innostage решила поощрить их активность и готова дополнительно награждать не только за реализацию недопустимого события, но и другие значимые действия.
С 10 июля вводятся следующие условия вознаграждения:
• Компрометация корпоративной учетной записи пользователя компании с закреплением на корпоративной рабочей станции — 100 тыс. рублей.
• Преодоление сетевого периметра и закрепление на узле в инфраструктуре — 200–300 тыс. рублей (зависит от типа узла, учетной записи или сегмента, где это удалось сделать).
• Получение доступа в систему учета финансов и создания платежных поручений под релевантной для недопустимого события или привилегированной учетной записью — до 1 млн рублей.
«Изначально мы поставили перед белыми хакерами очень сложную задачу. Наше недопустимое событие можно сравнить с установкой олимпийского рекорда, где, несмотря на сотни неудачных попыток, мотивация и упорство в конечном итоге помогают спортсменам достичь заветной цели. Мониторинг инцидентов показывает, что приглашение поучаствовать в наших открытых кибериспытаниях приняли опытные исследователи ИБ, и мы решили поддержать их, введя промежуточные вознаграждения на пути к реализации НС», - отметил Руслан Сулейманов, директор по цифровой трансформации Innostage.