БКС Банк запускает открытую программу для поиска уязвимостей в ключевых цифровых сервисах. Этот шаг стал логичным продолжением закрытого этапа тестирования на площадке Standoff Bug Bounty, подтвердив последовательный подход бизнеса к укреплению безопасности своих ресурсов. В течение первых трех недель запуска максимальный уровень вознаграждения исследователям составит 500 тысяч рублей.
По прогнозам экспертов Positive Technologies, в 2025–2026 годах наибольшую угрозу для кибербезопасности финансовой отрасли будут представлять эксплуатация уязвимостей в программных интерфейсах (API) и атаки на поставщиков и партнеров. В таких условиях специалисты рекомендуют финансовым компаниям проактивно защищать свою инфраструктуры и запускать собственные программы багбаунти. Это позволит выявлять и устранять уязвимости до того, как ими воспользуются киберпреступники.
БКС Банк (банк для инвесторов) работает на рынке с 1989 года, предоставляет частным и корпоративным клиентам полный спектр финансовых сервисов. Запуск публичной программы стал для БКС Банка логичным шагом после успешного проведения закрытой багбаунти. За 4 месяца тестирования в приватном режиме компания приняла более 20 отчетов от багхантеров и выплатила около миллиона рублей за подтвержденные находки. В рамках закрытого этапа около 200 специалистов тестировали защищенность инфраструктуры и приложений. Теперь же тысячи независимых исследователей получат доступ для исследования основных веб-сайтов, поддоменов, личных кабинетов, мобильных приложений БКС Банка и других ресурсов.
Максимальное вознаграждение за выявление критически опасной уязвимости в программах БКС Банка достигает 250 тысяч рублей. Для дополнительной мотивации исследователей в первые три недели после запуска компания удвоит размер выплат: за уязвимость критического уровня можно будет получить до 500 тысяч рублей, а высокого — до 240 тысяч.
«Багбаунти — общепризнанная мировая практика, которая помогает нам повысить реальную безопасность приложений и взглянуть на наши сервисы глазами сотен исследователей с уникальными навыками. Эта программа является для нас одним из наиболее приоритетных проектов, нацеленных на безопасность клиентских данных. После проведения приватной части багбаунти эффективность подхода была подтверждена. Теперь мы решили сделать эту программу публичной», — комментирует Андрей Анчугов, руководитель направления аудита кода и приложений БКС Банка.
Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года площадка привлекла свыше 30 тысяч исследователей кибербезопасности: за последние полтора года их число выросло более чем втрое, а активность (по количеству сданных отчетов) — в пять раз. Всего на платформе было размещено больше 300 программ багбаунти, а общий объем выплат превысил 310 миллионов рублей.
Источник: habr.com