«БКС Банк» запускает открытую программу для поиска уязвимостей в ключевых цифровых сервисах. Этот шаг стал логичным продолжением закрытого этапа тестирования на площадке Standoff Bug Bounty, подтвердив последовательный подход бизнеса к укреплению безопасности своих ресурсов. В течение первых трёх недель максимальный уровень вознаграждения исследователям составит 500 тысяч рублей.
По прогнозам экспертов Positive Technologies, в 2025–2026 годах наибольшую угрозу для кибербезопасности финансовой отрасли будут представлять эксплуатация уязвимостей в программных интерфейсах (API) и атаки на поставщиков и партнёров. В таких условиях специалисты рекомендуют компаниям проактивно защищать свою инфраструктуру и запускать собственные программы багбаунти. Это позволит выявлять и устранять уязвимости до того, как ими воспользуются киберпреступники.
«БКС Банк» (банк для инвесторов) работает на рынке с 1989 года, предоставляет частным и корпоративным клиентам полный спектр финансовых сервисов. За четыре месяца тестирования багбаунти в приватном режиме компания приняла более 20 отчётов от багхантеров и выплатила около миллиона рублей за подтверждённые находки. В рамках закрытого этапа около 200 специалистов тестировали защищённость инфраструктуры и приложений финорганизации. Теперь же тысячи независимых экспертов получат доступ для исследования основных веб-сайтов, поддоменов, личных кабинетов, мобильных приложений «БКС Банка» и других ресурсов.
Максимальное вознаграждение за выявление критически опасной уязвимости в программах банка достигает 250 тысяч рублей. Для дополнительной мотивации участников в первые три недели после запуска компания удвоит размер выплат: за уязвимость критического уровня можно будет получить до 500 тысяч рублей, а высокого — до 240 тысяч.
«Багбаунти — общепризнанная мировая практика, которая помогает нам повысить реальную безопасность приложений и взглянуть на наши сервисы глазами сотен исследователей с уникальными навыками. Эта программа является для нас одним из наиболее приоритетных проектов, нацеленных на безопасность клиентских данных. После проведения приватной части багбаунти эффективность подхода была подтверждена. Теперь мы решили сделать эту программу публичной», — отметил Андрей Анчугов, руководитель направления аудита кода и приложений «БКС Банка».
Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей в системах компаний. С момента запуска в мае 2022 года площадка привлекла свыше 30 тысяч ИБ-исследователей: за последние полтора года их число выросло более чем втрое, а активность (по количеству сданных отчётов) — в пять раз. Всего на платформе было размещено больше 300 программ, а общий объём выплат превысил 310 млн рублей.
