Тинькофф запустил для своих сотрудников комплексную программу поиска уязвимостей, связанных с защитой данных, Data Guard.
Это первая на российском рынке корпоративная программа с упором на безопасности данных, предусматривающая вознаграждение для каждого из команды Тинькофф, независимо от уровня. Об этом рассказал вице-президент, директор департамента информационной безопасности Тинькофф Дмитрий Гадарь на конференции по анализу данных и технологиям ИИ Data Fusion.
По программе Data Guard любой из 90-тысячной команды Тинькофф может получить вознаграждение за сообщение о различных уязвимостях и проблемах, связанных с безопасностью данных. Это могут быть технические уязвимости во внутренних сервисах и API, проблемы с разграничением доступа к данным, а также слабые места, связанные с процессами и бизнес-логикой (например, передача недостаточно защищенных или избыточных данных). Вознаграждение начисляется на личный счет в виде внутренней валюты T-Money, которую можно потратить на технику, гаджеты и мерч в Tinkoff Shop. Размер выплаты зависит от критичности найденной уязвимости.
Для обеспечения безопасности персональных данных Тинькофф выполняет все необходимые требования защиты банковской тайны, а также развивает новые финтех-инструменты ИБ.
Программа Data Guard поможет ускорить выявление проблем, связанных в первую очередь с человеческим фактором.
Также для обеспечения безопасности в Тинькофф проводятся:
- соревнования Month of Bugs — сотрудники в течение месяца активно ищут уязвимости в разных продуктах за вознаграждение;
- CTF (Capture The Flag) — чемпионат по спортивному хакингу среди сотрудников;
- собственный блог на внутреннем портале Space — в блоге публикуется информация о типовых уязвимостях в приложениях, реальные кейсы закрытия багов, а также рекомендации, как не стать жертвой хакеров и мошенников, развивается культура безопасности, которая помогает как на работе, так и дома.
Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности Тинькофф, говорит: «Чтобы обеспечить защиту данных, можно использовать внутренние ресурсы компании по-разному. В Тинькофф мы постоянно ищем лучшие решения для обеспечения безопасности, развиваем собственные решения по контролю за оборотом данных, а также регулярно проводим обучение для тех сотрудников, работа которых связана с данными. Как показывает наш опыт, после обучения сотрудники начинают внимательнее относиться к безопасности оборота данных, чаще обращают внимание на возможные нарушения существующих в компании правил и протоколов — и сообщают команде информационной безопасности про все случаи, которые вызывают у них вопросы. Поэтому мы решили ввести вознаграждение для сотрудников за сообщения о проблемах и уязвимостях безопасности данных внутри группы. Программа Data Guard успешно прошла несколько этапов тестирования с привлечением разных команд, с помощью сотрудников удалось обнаружить и решить интересные и неочевидные проблемы. Теперь мы расширили эту программу на всех — сообщить о проблеме за вознаграждение может каждый из команды Тинькофф (90 тысяч человек): от руководителей до линейных менеджеров и представителей. По результатам запуска Data Guard внутри группы мы также планируем сделать эту программу открытой для всех желающих — в дополнение к существующим bug-bounty-программам».
Тинькофф уже много лет развивает программу bug bounty по поиску уязвимостей силами внешних исследователей — «белых хакеров». В публичном формате хантеры могут присоединиться к программе на всех доступных в России площадках по поиску уязвимостей: Bi.Zone Bug Bounty, Standoff 365 BugBounty и Bugbounty.ru. В рамках программы Тинькофф выплатил «белым хакерам» более 25 млн рублей, размер самой крупной выплаты составил 1,5 млн рублей.
Тинькофф регулярно проводит мероприятия для исследователей, нацеленные на обмен опыт и сплочение сообщества специалистов в области информационной безопасности, например CTF (Capture The Flag) и Bug Bounty Cup.