Разработчики: | Т-Банк (Тинькофф Банк) |
Дата премьеры системы: | 2024/04/18 |
Отрасли: | Информационная безопасность |
2024: Анонс корпоративной программы поиска уязвимостей
18 апреля 2024 года компания Тинькофф сообщила о запуске для всех своих сотрудников комплексной программы поиска уязвимостей, связанных с защитой данных, Data Guard. Это корпоративная программа с фокусом на безопасности данных, предусматривающая вознаграждение для каждого из команды Тинькофф, независимо от уровня. Об этом рассказал вице-президент, директор департамента информационной безопасности Тинькофф Дмитрий Гадарь.
Как сообщалось, по программе Data Guard любой человек из 90-тысячной команды (по данным на апрель 2024 года) Тинькофф может получить вознаграждение за сообщение о различных уязвимостях и проблемах, связанных с безопасностью данных. Это могут быть технические уязвимости во внутренних сервисах и API, проблемы с разграничением доступа к данным, а также слабые места, связанные с процессами и бизнес-логикой (например, передача недостаточно защищенных или избыточных данных). Вознаграждение начисляется на личный счет в виде внутренней валюты T-Money, которую можно потратить на технику, гаджеты и мерч в Tinkoff Shop.
Размер выплаты зависит от критичности найденной уязвимости. В рамках обеспечения безопасности персональных данных Тинькофф выполняет все необходимые требования защиты банковской тайны, а также регулярно развивает финтех-инструменты информационной безопасности.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Программа Data Guard поможет дополнительно оптимизировать выявление проблем, связанных в первую очередь с человеческим фактором. Также в рамках обеспечения безопасности в Тинькофф проводятся мероприятия и обучение:
- соревнования Month of Bugs — сотрудники в течение месяца активно ищут уязвимости в разных продуктах за вознаграждение;
- CTF (Capture The Flag) — чемпионат по спортивному хакингу среди сотрудников;
- собственный блог на внутреннем портале Space — в блоге публикуется информация о типовых уязвимостях в приложениях, реальные кейсы закрытия багов, а также рекомендации, как не стать жертвой хакеров и мошенников, развивается культура безопасности, которая помогает как на работе, так и дома.
Чтобы обеспечить защиту данных, можно использовать внутренние ресурсы компании по-разному. В Тинькофф мы постоянно ищем решения для обеспечения безопасности, развиваем собственные решения по контролю за оборотом данных, а также регулярно проводим обучение для всех сотрудников, работа которых связана с данными. Как показывает наш опыт, после обучения сотрудники начинают внимательнее относиться к безопасности оборота данных, чаще обращают внимание на возможные нарушения существующих в компании правил и протоколов — и сообщают команде информационной безопасности про все случаи, которые вызывают у них вопросы. Поэтому мы решили ввести вознаграждение для сотрудников за сообщения о проблемах и уязвимостях безопасности данных внутри группы. Программа Data Guard прошла несколько этапов тестирования с привлечением разных команд, с помощью сотрудников удалось обнаружить и решить интересные и неочевидные проблемы. Теперь мы расширили эту программу на всех — сообщить о проблеме за вознаграждение может каждый из команды Тинькофф (90 тысяч человек): от руководителей до линейных менеджеров и представителей. По результатам запуска Data Guard внутри группы мы также планируем сделать эту программу открытой для всех желающих — в дополнение к существующим bug-bounty-программам. поведал Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности Тинькофф |
Тинькофф уже много лет развивает программу bug bounty по поиску уязвимостей силами внешних исследователей — «белых хакеров». В публичном формате хантеры могут присоединиться к программе на всех доступных в России площадках по поиску уязвимостей: Bi.Zone Bug Bounty, Standoff 365 BugBounty и Bugbounty.ru. В рамках программы Тинькофф выплатил «белым хакерам» более 25 млн рублей, а размер самой крупной выплаты составил 1,5 млн рублей.