- «Т‑Технологии» запустили новую программу поиска уязвимостей в формате кибериспытаний с акцентом на тестирование «недопустимых событий».
- В основе программы лежит принцип pay-for-impact: вознаграждение выплачивается за сценарии, проверяющие реальную устойчивость систем, а не просто за найденные баги.
- Программа действует на платформе Standoff Bug Bounty, предусматривая вознаграждения до 3 млн рублей за подтверждённые критические сценарии, и будет работать в приватном режиме до апреля 2026 года.
Компания «Т‑Технологии» объявила о расширении своей программы поиска уязвимостей, внедрив уникальное направление кибериспытаний, нацеленное на выявление и проверку «недопустимых событий». Эта инициатива позволяет обнаружить комплексные сценарии атак, способные проверить устойчивость критически важных систем и процессов компании к серьезным угрозам.
Главной особенностью новой программы является модель вознаграждения pay-for-impact. Это означает, что вознаграждение участникам не просто присуждается за обнаружение уязвимости, а за подтверждённый сценарий, который демонстрирует, насколько бесперебойно функционирует экосистема «Т‑Технологий» под воздействием потенциальных атак. При этом исследователи свободны в выборе направлений поиска — им разрешено работать с мобильными приложениями, API, бизнес-логикой, а также с интеграциями с партнёрами и другими элементами цифровой инфраструктуры.
По словам Дмитрия Гадаря, руководителя департамента информационной безопасности «Т‑Банка», расширение программы не ставит цель заменить традиционный поиск уязвимостей, а скорее дополнить его. Новое направление ориентировано на стимулирование специалистов к поиску сценариев, которые реально демонстрируют безопасность систем компании. Такой подход способствует повышению прозрачности и технологической зрелости информационной безопасности.
Программа пока работает в приватном режиме и доступна ограниченному числу исследователей. Её технической платформой выступает Standoff Bug Bounty. Вознаграждения варьируются в зависимости от сложности и влияния выявленных событий: максимальная сумма достигает 3 миллионов рублей за сценарии недопустимых событий, промежуточные же достижения оцениваются от 100 тысяч до 1,5 миллиона рублей.
«Недопустимыми событиями» в контексте программы считаются попытки несанкционированного доступа к внутренним сервисам, закрепление на сервере базы данных с правами привилегированной учётной записи, внедрение вредоносного кода в цепочку релизов, а также обход механизмов защиты и мониторинга.
Компания планирует подвести промежуточные итоги работы новой инициативы 1 апреля 2026 года, что позволит оценить её эффективность и потенциальное развитие.
