Бизнес под защитой: как 100 компаний прошли «Кибериспытание Экспресс»

Осенью 2024 года мы задумались: что мешает компаниям проверить свою реальную защищенность? На рынке уже существует ряд привычных инструментов, но по отдельности все они не дают многогранной и объективной картины защищенности бизнеса. Кроме того, эти подходы не всегда понятны для «непрофильного» топ-менеджмента. Например, если CEO захочет узнать реальный уровень защищенности своего бизнеса, то ему придется либо полностью довериться своему ИБ-директору, либо разбираться в сложных технических отчетах самому. 

Поэтому мы предложили формат «Кибериспытание Экспресс». Он дает понятный критерий измерения и оценки уровня информационной безопасности — в деньгах, а также отвечает на вопрос «Сколько стоит взломать ваш бизнес». 

Вместо абстрактных аудитов мы предложили бизнесу настоящий краш-тест, в рамках которого организация предлагает белым хакерам публичное задание — продемонстрировать возможность реализации определенного недопустимого события (НС), которое может нанести критический ущерб бизнесу.

Мы выделили 100 млн рублей для награды белым хакерам, чтобы стимулировать участие в программе. Эта сумма позволила сформировать грантовый фонд в 100 млн рублей и вывели 100 компаний на Кибериспытание Экспресс, что составляет почти 50% от всех Bug Bounty программ в России на 2024 год. Деньги направлены на вознаграждение исследователей, которые продемонстрируют реализацию недопустимого события для бизнеса.

Формат оказался рабочим. За два месяца мы получили более 1000 заявок. 100 компаний вышли на испытания. Среднее число хакеров на одну компанию — 116. Некоторые программы собирали более 200 участников.

Что показали первые результаты: 

• большинство НС реализованы по простым сценариям, атаки заняли менее суток и не требовали от исследователей серьезной экспертизы;
• конверсия во взлом в три раза превысила ожидаемую;
• этичные хакеры готовы сдавать полноценные векторы атак, а не только атомарные уязвимости;
• в большинстве случаев для защиты от атак было достаточно внедрения базовых правил цифровой гигиены.

Кибериспытания меняют рынок: исследователи переходят от поиска багов к работе над критическими бизнес-рисками. Белые хакеры объединяются в команды, чтобы пройти путь от разведки до атаки. Выплаты выше, а задачи — сложнее. Так, один из исследователей смог реализовать 3 недопустимых события за новогодние праздники и получил за это внушительное вознаграждение в 3 миллиона рублей. 

Важно: более половины запросов на участие в Кибериспытаниях поступили от CEO и топ-менеджеров. Кибербезопасность перестала быть только задачей технических специалистов — теперь ее воспринимают как часть общей стратегии бизнеса. 

«Мы с удивлением отметили, что низкий уровень защищенности встречается в компаниях разного размера. И многие взломы происходят из-за элементарных ошибок», — говорит Ольга Махова, заместитель генерального директора АО «Кибериспытание». 

Программа только набирает обороты. В настоящий момент компании получают конкретные результаты и внедряют рекомендации по защите. А данные, полученные в ходе Кибериспытаний Экспресс, лягут в основу исследования, которое поможет сформулировать общее понимание объективной оценки защищенности и единого стандарта для всей индустрии.