| Разработчики: | InnoSTage (Инностейдж) |
| Дата премьеры системы: | 2023/09/22 |
| Отрасли: | Интернет-сервисы, Информационная безопасность |
Основная статья: Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей
2024: Добавление условий в программу открытых кибериспытаний
ИТ-компания Innostage дополнила свою программу открытых кибериспытаний новыми условиями. Они касаются вознаграждений за промежуточные действия на пути к реализации недопустимого события (НС). Об этом компания сообщила 10 июля 2024 года.
26 мая 2024 года при запуске открытых кибериспытаний на платформе для исследователей безопасности Standoff Bug Bounty Innostage в качестве НС обозначило кражу 2000 рублей из корпоративной финансовой системы и их перевод на подконтрольные счета хакеров. За успешную реализацию предложенного сценария и отчет о проведенных действиях компания обязуется выплатить 5 млн рублей.
Открытые кибериспытания – формат проверки на киберустойчивость, правила которого формируются в процессе проведения «пилотных» запусков. В будущем Innostage планирует внедрять практику открытых кибериспытаний максимально широко, формируя новый отраслевой стандарт. На предложение оценить уровень цифровой устойчивости бизнеса и его надежности для клиентов откликнулось свыше 360 хакеров.
По итогам полуторамесячного мониторинга действий независимых исследователей ИБ, Innostage решила поощрить их активность и готова дополнительно награждать не только за реализацию недопустимого события, но и другие значимые действия.80% организаций активно внедряют новые технологии автоматизации обработки документов для трансформации бизнес-процессов 
С 10 июля вводятся следующие условия вознаграждения:
- Компрометация корпоративной учетной записи пользователя компании с закреплением на корпоративной рабочей станции — 100 тыс. рублей.
- Преодоление сетевого периметра и закрепление на узле в инфраструктуре — 200–300 тыс. рублей (зависит от типа узла, учетной записи или сегмента, где это удалось сделать).
- Получение доступа в систему учета финансов и создания платежных поручений под релевантной для недопустимого события или привилегированной учетной записью — до 1 млн рублей.
 | Изначально мы поставили перед белыми хакерами очень сложную задачу. Наше недопустимое событие можно сравнить с установкой олимпийского рекорда, где, несмотря на сотни неудачных попыток, мотивация и упорство в конечном итоге помогают спортсменам достичь заветной цели. Мониторинг инцидентов показывает, что приглашение поучаствовать в наших открытых кибериспытаниях приняли опытные исследователи ИБ, и мы решили поддержать их, введя промежуточные вознаграждения на пути к реализации НС, - отметил Руслан Сулейманов, директор по цифровой трансформации Innostage. |  |
2023: Запуск программы bug bounty
Компания Innostage 22 сентября 2023 года сообщила о том, что проверит уровень защиты собственной информационной инфраструктуры при помощи программы bug bounty. Программа Innostage будет нацелена на реализацию недопустимых событий: таким образом, компания планирует публично продемонстрировать уровень практической экспертизы в ИТ и ИБ направлениях и безопасность работы для своих клиентов.
Innostage применяет концепцию киберустойчивости, которая заключается, в первую очередь, в синхронизации ИТ и ИБ-экспертов при создании устойчивой и эффективной для бизнеса ИТ-инфраструктуры. Цель компании - показать бизнесу, что слаженная и совместная работа ИТ и ИБ подразделений позволит топ–менеджерам компаний не переживать о безопасности, отказоустойчивости, импортозамещении и прочих рутинных задачах. В то же время для ИТ и ИБ-специалистов инфраструктура должна иметь функции автоматизации типовых задач, мониторинга 360, контроля изменений и прочих операционных задач, позволяющих закрывать любые бизнес-запросы.
Innostage на сентябрь 2023 года станет второй компанией из российской отрасли информационной безопасности с собственной программой bug bounty в части недопустимых событий: в ноябре 2022 года подобную программу анонсировала Positive Technologies.
Программы bug bounty реализуют компании, которые придерживаются современных подходов к разработке продуктов и организации защиты информационной инфраструктуры. Они позволяют организациям в реальных условиях проверить ее безопасность и предпринять такие меры, которые исключат возможность реализации недопустимых событий.
В программе смогут принять участие российские багхантеры («белые хакеры»). Запуск запланирован в приватном режиме (по приглашениям) с последующим переводом в открытую баунти-программу. В случае успешной реализации атак белые хакеры получат от компании денежное вознаграждение.
| | Для нас программа bug bounty — одно из реальных измерений собственной защищенности. Одна из главных визионерских задач Innostage — менять отношение отрасли к таким инструментам. Innostage начинает подготовку программы, и планирует вести её максимально публично — потому что мы сами разделяем идею про реальную кибербезопасность, которая требует не только выполнения регуляторных практик, но и постоянной самопроверки. Мы уверены в защищенности собственной инфраструктуры и делаем все, чтобы эта уверенность сохранялась всегда, — заявил Айдар Гузаиров, генеральный директор компании Innostage. | |
Подготовка описания программы и условий для публичной bug bounty началась в сентябре 2023 года. Запуск программы планируется в мае 2024 года.
