Компания «Инфосистемы Джет» запустила программу кибериспытаний на площадке Standoff Bug Bounty. Цель проекта — проверить киберустойчивость организации к наиболее опасным сценариям: полному захвату управления инфраструктурой и получению несанкционированного доступа к системам клиентов. Максимальная награда за подтверждение возможной реализации каждого из недопустимых событий — 1,5 млн рублей.
Программа кибериспытаний «Инфосистемы Джет» действует до конца 2026 года или до первой успешной демонстрации одного из двух недопустимых событий: захвата управления инфраструктурой с последующей возможностью шифрования или получения нелегитимного доступа к системам заказчиков. Область исследования включает информационные системы и их компоненты, расположенные во внутренней корпоративной сети, а также в отдельном защищённом контуре, предназначенном для удалённой работы с системами клиентов. За реализацию критически опасных сценариев предусмотрено крупное вознаграждение — до 1,5 млн рублей за каждый. Кроме того, компания может дополнительно наградить специалиста за найденные уязвимости высокого уровня опасности, даже если ему не удалось продемонстрировать возможность реализации недопустимого события.
«Кибериспытания — это современный метод оценки киберустойчивости компаний. Такой подход позволяет посмотреть на инфраструктуру глазами реального злоумышленника и выявить риски, которые невозможно увидеть при анализе отдельных компонентов. Практика 2025 года подтверждает эффективность формата: 61% недостатков, описанных в принятых отчётах по программам кибериспытаний на Standoff Bug Bounty, относился к критическому и высокому уровням опасности. Это на 30% больше, чем в традиционных программах по поиску уязвимостей. Суммарный объём выплат превысил 42 млн рублей. В этом смысле кибериспытания представляют собой следующий этап эволюции программ багбаунтии финальную ступень их зрелости. Они переводят разговор о безопасности из плоскости отдельных уязвимостей в плоскость бизнес-рисков и позволяют принимать решения, опираясь на реальные сценарии компрометации», — отметил Иван Булавин, директор по продуктам платформы Standoff 365.
Запущенная программа кибериспытаний дополняет уже действующую классическую программу багбаунти «Инфосистемы Джет». «Мы давно участвуем в классической программе bug bounty и считаем её очень успешной. Однако нам хочется понять не то, можно ли проэксплуатировать какую-то уязвимость в нашей ИТ-инфраструктуре (рано или поздно взломают любого), а то, каков уровень киберустойчивости бизнеса. И для этого идеален формат кибериспытаний. Мы сформулировали недопустимые ИТ-события и поняли, что для кибериспытаний наиболее подходят полное уничтожение наших ИТ-систем без возможности быстрого восстановления и атака на клиентов через нашу инфраструктуру. Полсотни расследований инцидентов ИБ, которые мы провели за 2025 год, показывают, что это наиболее интересные для реальных злоумышленников результаты атаки. Выход на кибериспытания стал логичным шагом — особенно после того, как мы наладили регулярный внешний и внутренний пентест и успешно поработали с исследователями в формате bug bounty. В целом можно было бы выйти на кибериспытания и раньше: этот формат из-за большей, в сравнении с bug bounty, награды привлекает немалое число действительно квалифицированных исследователей. Мы будем бесконечно рады заплатить за демонстрацию возможности реализовать недопустимое событие, ведь никакая выплата не сравнится с ущербом от реального разрушительного инцидента», — говорит Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет».
.png)