Бишкек, 28.02.22. /Кабар/. «Центр анализа и расследования кибератак» (ЦАРКА) и «Лаборатория Касперского» при поддержке Координационного центра по обеспечению кибербезопасности Государственного комитета национальной безопасности КР запустят программу по выявлению уязвимостей Bug Bounty*. Об этом говорится в меморандуме о сотрудничестве в области информационной безопасности, который подписали организации.
Цель соглашения — совместные действия по созданию платформы Bug Bounty для защиты информационных ресурсов и более гибкого реагирования на угрозы в финансовой сфере в Кыргызстане, а в перспективе — и во всей Центральной Азии. Платформа позволит находить и закрывать уязвимости до того, как они могут быть использованы злоумышленниками. Для этого создатели программы будут привлекать IT-энтузиастов со всего мира. Сумма вознаграждения за поиск и обнаружение эксплойтов и уязвимостей в зависимости от сложности угроз составит от 100 до 300 долларов.
Также, кроме создания платформы Bug Bounty, среди намерений участников меморандума — взаимодействие в части серверного и программного обеспечения, аутсорсинг информационной безопасности, сотрудничество в области компьютерной криминалистики, консультативная поддержка и разработка совместных проектов.
В настоящее время финансовый сектор остаётся одной из самых привлекательных целей для злоумышленников. В 2021 году, по данным отчета «Лаборатории Касперского», было зафиксировала более 250 миллионов попыток перехода по фишинговым ссылкам на компьютерах пользователей. Около 42% подобных инцидентов были связаны с финансовым фишингом.
Кроме того, жертвами финансовых вредоносных программ всё чаще становятся компании, а не физические лица. В 2020-2021 годах в мире доля корпоративных пользователей, атакованных банковскими зловредами, выросла почти на 2 процентных пункта. При этом с 2018 по 2021 годы данный показатель увеличился почти на 14%. Несмотря на эту тенденцию, общая доля пострадавших от финансового вредоносного ПО среди физических лиц всё ещё больше, чем в корпоративном секторе: 62% и 38% соответственно (по данным за 2021 год).
В Кыргызстане ситуация схожая: почти каждый 67-й пользователь подвергался атакам финансового вредоносного ПО. На корпоративных клиентов в стране пришлось 26,5%. Остальные угрозы (73,5%) были направлены на частных пользователей, совершающих банковские и финансовые операции.
«Объединение усилий крупнейших игроков IT-отрасли и обмен сведениями в рамках меморандума помогут быстрее и эффективнее выявлять компьютерные инциденты в Центральной Азии и пресекать деятельность киберпреступников, — прокомментировал Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Центральной Азии. — У „Лаборатории Касперского“ многолетний опыт поиска уязвимостей в критической информационной инфраструктуре. Компания регулярно участвует в операциях и расследованиях, проводимых совместно с глобальным сообществом специалистов по IT-безопасности, международными организациями, такими как Интерпол, правоохранительными органами и центрами реагирования на компьютерные инциденты».
«У наших компаний много общих ценностей и глубокая экспертиза по запуску программ Bug Bounty, — отметил Олжас Сатиев, президент «Центра анализа и расследования кибератак». — Создание такого инструмента для более гибкого реагирования на банковские угрозы в регионе поможет повысить уровень безопасности критической информационной инфраструктуры страны и станет продолжением международного опыта в этой сфере. Повышение прозрачности, а также сближение интересов пользователя, бизнеса и государства даёт возможность разным частям общества стать активными участниками создания безопасной экосистемы, в том числе в финансовой сфере».
* Bug Bounty – это концепция и программа поощрения поиска ошибок и уязвимостей (багов) в ПО. Bug Bounty, как правило, запускают разработчики IT-решений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Компании объявляют scope (объем) работ, а желающие из любой точки мира могут зарегистрироваться и принять участие в программе. Обычно сторонние энтузиасты (ресёчеры) получают за сообщение об ошибках денежное вознаграждение (баунти).
В последнее время различные государственные ведомства, чья деятельность связана с кибербезопасностью, всё чаще стали запускать свои открытые программы Bug Bounty. Например, на международной платформе Bug Bounty HackerOne о старте своих программ объявляли Национальный центр кибербезопасности Великобритании, Министерство внутренней безопасности США и Государственное технологическое агентство Сингапура.
Об опыте создания программ Bug Bounty компаниями ЦАРКА и «Лаборатория Касперского»
ЦАРКА запустила собственную программу Bug Bounty в 2016 году в партнёрстве с Министерством цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. В рамках проекта было найдено более 1000 уязвимостей, выплачено более 40 000 долларов вознаграждений при этом сохранено более 50 миллионов долларов. На данный момент зарегистрировано более 700 исследователей и в день обрабатывается более 100 уязвимостей.
«Лаборатории Касперского» запустила собственную программу Bug Bounty в 2016 году в партнёрстве с известной платформой HackerOne. В её рамках компания обозначает скоуп продуктов и решений для тестирования, который постепенно расширяется. Также в 2018 году «Лаборатория Касперского» объявила о готовности выплатить 100 тысяч долларов за наиболее критичные уязвимости (к слову, за почти 4 года не было получено ни одного подобного отчёта). Всего же с марта 2018 года был обнаружен 131 баг, авторы 53 отчётов получили вознаграждение, а общая сумма баунти составила 75 750 долларов.
Комментарии
Оставить комментарий