Компания SmartTender поделилась наблюдениями о том, как развивалось внедрение bug bounty в Украине. Исследователи рассмотрели несколько примеров привлечения сторонних специалистов по информационной безопасности к поиску уязвимостей в крупных предприятиях страны. Также они написали о том, насколько улучшилась техническая защита информации обучение Тбилиси в этих компаниях после запуска bug bounty.
Зачем нужна эта программа, техническая защита информации обучение Тбилиси
Программа bug bounty пользуется широким спросом среди государственных и коммерческих организаций по всему миру. Именно она позволяет многократно усилить безопасность любой компании и улучшить сопротивляемость сетевой системы хакерской угрозе. Чаще всего исследователи, принимающие в ней участие, находят:
- уязвимости;
- бэкдоры;
- вредоносные программы;
- вредоносный код.
Однако украинские компании начали внедрять bug bounty совсем недавно. Тем не менее, именно в Украине находится банк. Тот, который первым в мире решился на использование помощи сторонних специалистов для поиска уязвимостей. При этом, в своей системе безопасности. Этой финансовой организацией стал «ПриватБанк», в 2012 году развернувший bug bounty. Участие в программе приняли различные исследователи, которые прошли обучение информационная безопасность и защита информации Тбилиси и хотели применить свои знания на практике.
Результаты работы программы
За первые пять лет аналитики смогли обнаружить почти две тысячи уязвимостей. При этом общая сумма вознаграждения, выплаченного за помощь в поиске этих багов, составила почти 3 миллиона гривен. Примеру «ПриватБанк» последовало множество украинских компаний. В их числе находится и известный оператор мобильной связи «Киевстар». К тому же, он решил воспользоваться услугами сторонних специалистов в 2017 году. За первые два года те, кто прошел обучение ответственного за защиту информации Тбилиси, смогли получить свыше 31 тысячи долларов в качестве награды. А специалисту, который обнаружил наиболее опасную уязвимость, выдали вознаграждение в размере полутора тысяч долларов.
Однако наиболее интересным представляется опыт системы госзакупок Prozorro. По всей видимости, она решила предоставить возможность искать на своих сервисах уязвимости. Более того, абсолютно всем исследователем. Дело в том, что законодательство Украины не регламентирует программу bug bounty в полной мере. Поэтому компании либо нанимают специалистов по обеспечению кибербезопасности в штат, либо же приглашают к сотрудничеству только определенных исследователей, чья квалификация была подтверждена. Тогда как в Prozorro искать уязвимости могут абсолютно все. Это отличная возможность для молодых специалистов, которые только прошли обучение по защите информации Тбилиси, но еще не имеют достаточного опыта работы в этой сфере.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.