АО «СОГАЗ», одна из крупнейших страховых компаний России, объявила о запуске программы по поиску уязвимостей в своих информационных системах. Программа, известная также как «bug bounty», призвана привлечь независимых исследователей безопасности для тестирования защищенности онлайн-ресурсов компании.
Основные положения программы:
— Участие открыто для физических лиц, не связанных трудовыми отношениями с «СОГАЗ» и его подрядчиками.
— В программу включены 14 сайтов и онлайн-сервисов компании, в том числе официальный сайт и личный кабинет клиента.
— Размер вознаграждения варьируется от 4 000 до 50 000 рублей, в зависимости от критичности обнаруженной уязвимости.
«Цель программы — совершенствование инструментов кибербезопасности и повышение устойчивости информационных систем компании к атакам», — сообщили в «СОГАЗ».
Правила участия и проведения тестирования
Компания установила строгие правила для участников программы. Исследователям запрещено нарушать конфиденциальность, целостность и доступность информации в сервисах «СОГАЗ». Также недопустимы действия, способные нанести вред приложениям, инфраструктуре, клиентам и партнерам компании.
«Для подтверждения наличия уязвимости разрешено использовать только минимально необходимый POC (Proof of Concept)», — говорится в правилах программы.
Критерии оценки уязвимостей
Решение о критичности обнаруженной уязвимости и размере вознаграждения принимается командой безопасности «СОГАЗ» на основе ряда факторов, включая:
— Влияние на общую безопасность системы
— Репутационные риски для компании
— Возможные бизнес-риски
— Сложность эксплуатации уязвимости
Максимальное вознаграждение в 50 000 рублей предусмотрено за обнаружение критических уязвимостей, таких как возможность выполнения произвольного кода или массовый обход авторизации.
Требования к отчетности
Компания установила четкие требования к отчетам об обнаруженных уязвимостях. Отчет должен содержать полное описание уязвимости, ее влияния на безопасность, шаги для воспроизведения, а также рекомендации по устранению.
«Несоблюдение требований может привести к снижению суммы вознаграждения», — предупреждает «СОГАЗ».
Запуск программы поиска уязвимостей демонстрирует стремление «СОГАЗ» к повышению уровня кибербезопасности своих систем. Привлечение независимых исследователей позволит компании выявить потенциальные угрозы и своевременно устранить их, обеспечивая тем самым защиту данных клиентов и бесперебойную работу онлайн-сервисов.
