Новости

В Кыргызстане повторят казахстанский опыт внедрения платформы по поиску киберуязвимостей

ЦАРКА, «Лаборатория Касперского» и ГКНБ договорились о сотрудничестве

«Центр анализа и расследования кибератак» (ЦАРКА) и «Лаборатория Касперского» при поддержке Координационного центра по обеспечению кибербезопасности Государственного комитета национальной безопасности Кыргызской Республики подписали меморандум о запуске Bug Bounty – программы по выявлению уязвимостей в информационных системах.

Цель соглашения – защита информационных ресурсов и более гибкое реагирование на угрозы в финансовой сфере в Кыргызской Республике, а в перспективе – и во всей Центральной Азии. Платформа Bug Bounty позволит находить и закрывать уязвимости до того, как их используют злоумышленники. Для этого создатели программы будут привлекать IT-энтузиастов со всего мира. Сумма вознаграждения за поиск и обнаружение эксплойтов и уязвимостей в зависимости от их сложности составит от $100 до $300.

Фото: changepr.kz

Что за Bug Bounty

Bug Bounty – это концепция и программа поощрения поиска ошибок и уязвимостей (багов) в программном обеспечении. Разработчики IT-решений и сетевых платформ запускают Bug Bounty для того, чтобы обнаружить проблемы в безопасности IT-продуктов. Компании объявляют scope (объем) работ, а желающие из любой точки мира могут зарегистрироваться и принять участие в программе. Обычно сторонние энтузиасты (ресечеры) получают за сообщение об ошибках денежное вознаграждение (баунти).

В последнее время различные государственные ведомства, чья деятельность связана с кибербезопасностью, все чаще стали запускать открытые программы Bug Bounty. Например, на международной платформе Bug Bounty HackerOne о старте таких программ объявляли Национальный центр кибербезопасности Великобритании, Министерство внутренней безопасности США и Государственное технологическое агентство Сингапура.

В Казахстане программу Bug Bounty в партнерстве с Министерством цифрового развития, инноваций и аэрокосмической промышленности РК ЦАРКА запустил в 2016 году. В рамках проекта было найдено более 1000 уязвимостей, выплачено более $40 тыс. вознаграждений и сохранено более $50 млн. На платформе зарегистрировано более 700 исследователей, которые обрабатывают более 100 уязвимостей ежедневно.

«Лаборатория Касперского» запустила собственную программу Bug Bounty в 2016 году (в партнерстве с HackerOne). В 2018 году компания объявила о готовности выплатить $100 тыс. за наиболее критичные уязвимости (к слову, за почти четыре года не было получено ни одного подобного отчета). Всего же с марта 2018 года был обнаружен 131 баг, авторы 53 отчетов получили вознаграждение, а общая сумма баунти составила $75 750.

Зачем все это нужно

Финансовый сектор остается одной из самых привлекательных целей для злоумышленников. В 2021 году «Лаборатория Касперского» зафиксировала более 250 млн попыток перехода по фишинговым ссылкам на компьютерах пользователей. Около 42% подобных инцидентов были связаны с финансовым фишингом.

Кроме того, по данным «Лаборатории Касперского», жертвами финансовых вредоносных программ все чаще становятся компании, а не физические лица. В 2020–2021 годах в мире доля корпоративных пользователей, атакованных банковскими зловредами, выросла почти на 2 процентных пункта. При этом с 2018 по 2021 год этот показатель увеличился почти на 14%. Несмотря на эту тенденцию, общая доля пострадавших от финансового вредоносного ПО среди физических лиц все еще больше, чем в корпоративном секторе: 62% и 38% соответственно (по данным за 2021 год).

В Кыргызстане ситуация схожая: почти каждый 67-й пользователь подвергался атакам финансового вредоносного ПО. На корпоративных клиентов в стране пришлось 26,5%. Остальные угрозы (73,5%) были направлены на частных пользователей, совершающих банковские и финансовые операции.

«Объединение усилий крупнейших игроков IT-отрасли и обмен сведениями в рамках меморандума помогут быстрее и эффективнее выявлять компьютерные инциденты в Центральной Азии и пресекать деятельность киберпреступников», – прокомментировал Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Центральной Азии.

«У «Лаборатории Касперского» многолетний опыт поиска уязвимостей в критической информационной инфраструктуре. Компания регулярно участвует в операциях и расследованиях, проводимых совместно с глобальным сообществом специалистов по IT-безопасности, международными организациями, такими как Интерпол, правоохранительными органами и центрами реагирования на компьютерные инциденты».

Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Центральной Азии

«У наших компаний много общих ценностей и глубокая экспертиза по запуску программ Bug Bounty. Создание такого инструмента для более гибкого реагирования на банковские угрозы в регионе поможет повысить уровень безопасности критической информационной инфраструктуры страны и станет продолжением международного опыта в этой сфере. Повышение прозрачности, а также сближение интересов пользователя, бизнеса и государства дает возможность разным частям общества стать активными участниками создания безопасной экосистемы, в том числе в финансовой сфере», – сказал Олжас Сатиев, президент «Центра анализа и расследования кибератак».