ЦАРКА и "Лаборатория Касперского" создали программу Bug Bounty
"Центр анализа и расследования кибератак" (ЦАРКА) и "Лаборатория Касперского" при поддержке Координационного центра по обеспечению кибербезопасности Государственного комитета национальной безопасности Кыргызской Республики запустят программу по выявлению уязвимостей Bug Bounty*. Об этом говорится в меморандуме о сотрудничестве в области информационной безопасности, который подписали организации.
Цель соглашения - совместные действия по созданию платформы Bug Bounty для защиты информационных ресурсов и более гибкого реагирования на угрозы в финансовой сфере в Кыргызстане, а в перспективе - и во всей Центральной Азии.
Платформа позволит находить и закрывать уязвимости до того, как они могут быть использованы злоумышленниками. Для этого создатели программы будут привлекать IT-энтузиастов со всего мира. Сумма вознаграждения за поиск и обнаружение эксплойтов и уязвимостей в зависимости от сложности угроз составит от 100 до 300 долларов.
Также, кроме создания платформы Bug Bounty, среди намерений участников меморандума - взаимодействие в части серверного и программного обеспечения, аутсорсинг информационной безопасности, сотрудничество в области компьютерной криминалистики, консультативная поддержка и разработка совместных проектов.
В настоящее время финансовый сектор остается одной из самых привлекательных целей для злоумышленников. В 2021 году, по данным отчета "Лаборатории Касперского", было зафиксировано более 250 миллионов попыток перехода по фишинговым ссылкам на компьютерах пользователей. Около 42% подобных инцидентов были связаны с финансовым фишингом.
Кроме того, жертвами финансовых вредоносных программ все чаще становятся компании, а не физические лица. В 2020-2021 годах в мире доля корпоративных пользователей, атакованных банковскими зловредами, выросла почти на 2 процентных пункта. При этом с 2018 по 2021 год данный показатель увеличился почти на 14%. Несмотря на эту тенденцию, общая доля пострадавших от финансового вредоносного ПО среди физических лиц все еще больше, чем в корпоративном секторе: 62% и 38% соответственно (по данным за 2021 год).
В Кыргызстане ситуация схожая: почти каждый 67-й пользователь подвергался атакам финансового вредоносного ПО. На корпоративных клиентов в стране пришлось 26,5%. Остальные угрозы (73,5%) были направлены на частных пользователей, совершающих банковские и финансовые операции.
"Объединение усилий крупнейших игроков IT-отрасли и обмен сведениями в рамках меморандума помогут быстрее и эффективнее выявлять компьютерные инциденты в Центральной Азии и пресекать деятельность киберпреступников, - прокомментировал Валерий Зубанов, коммерческий директор "Лаборатории Касперского" в Центральной Азии. - У "Лаборатории Касперского" многолетний опыт поиска уязвимостей в критической информационной инфраструктуре. Компания регулярно участвует в операциях и расследованиях, проводимых совместно с глобальным сообществом специалистов по IT-безопасности, международными организациями, такими как Интерпол, правоохранительными органами и центрами реагирования на компьютерные инциденты".
"У наших компаний много общих ценностей и глубокая экспертиза по запуску программ Bug Bounty, - отметил Олжас Сатиев, президент "Центра анализа и расследования кибератак". - Создание такого инструмента для более гибкого реагирования на банковские угрозы в регионе поможет повысить уровень безопасности критической информационной инфраструктуры страны и станет продолжением международного опыта в этой сфере. Повышение прозрачности, а также сближение интересов пользователя, бизнеса и государства дает возможность разным частям общества стать активными участниками создания безопасной экосистемы, в том числе в финансовой сфере".
*Bug Bounty – это концепция и программа поощрения поиска ошибок и уязвимостей (багов) в ПО. Bug Bounty, как правило, запускают разработчики IT-решений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Компании объявляют scope (объем) работ, а желающие из любой точки мира могут зарегистрироваться и принять участие в программе. Обычно сторонние энтузиасты (ресечеры) получают за сообщение об ошибках денежное вознаграждение (баунти).
В последнее время различные государственные ведомства, чья деятельность связана с кибербезопасностью, все чаще стали запускать свои открытые программы Bug Bounty. Например, на международной платформе Bug Bounty HackerOne о старте своих программ объявляли Национальный центр кибербезопасности Великобритании, Министерство внутренней безопасности США и Государственное технологическое агентство Сингапура.
Об опыте создания программ Bug Bounty компаниями ЦАРКА и "Лаборатория Касперского"
ЦАРКА запустила собственную программу Bug Bounty в 2016 году в партнерстве с Министерством цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. В рамках проекта было найдено более 1 000 уязвимостей, выплачено более 40 000 долларов вознаграждений при этом сохранено более 50 миллионов долларов. На данный момент зарегистрировано более 700 исследователей и в день обрабатывается более 100 уязвимостей.
"Лаборатория Касперского" запустила собственную программу Bug Bounty в 2016 году в партнерстве с известной платформой HackerOne. В ее рамках компания обозначает скоуп продуктов и решений для тестирования, который постепенно расширяется. Также в 2018 году "Лаборатория Касперского" объявила о готовности выплатить 100 тысяч долларов за наиболее критичные уязвимости (к слову, за почти 4 года не было получено ни одного подобного отчёта). Всего же с марта 2018 года был обнаружен 131 баг, авторы 53 отчетов получили вознаграждение, а общая сумма баунти составила 75 750 долларов.