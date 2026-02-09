«Инфосистемы Джет» заплатит 3 млн руб. за реализацию критически опасных сценариев на Standoff Bug Bounty

Компания «Инфосистемы Джет» запустила программу кибериспытаний на площадке Standoff Bug Bounty. Цель проекта — проверить киберустойчивость организации к наиболее опасным сценариям: полному захвату управления инфраструктурой и получению несанкционированного доступа к системам клиентов. Максимальная награда за подтверждение возможной реализации каждого из недопустимых событий — 1,5 млн руб. Об этом CNews сообщили представители Positive Technologies.

Программа кибериспытаний «Инфосистемы Джет» действует до конца 2026 г. или до первой успешной демонстрации одного из двух недопустимых событий: захвата управления инфраструктурой с последующей возможностью шифрования или получения нелегитимного доступа к системам заказчиков. Область исследования включает информационные системы и их компоненты, расположенные во внутренней корпоративной сети, а также в отдельном защищенном контуре, предназначенном для удаленной работы с системами клиентов. За реализацию критически опасных сценариев предусмотрено крупное вознаграждение — до 1,5 млн руб. за каждый. Кроме того, компания может дополнительно наградить специалиста за найденные уязвимости высокого уровня опасности, даже если ему не удалось продемонстрировать возможность реализации недопустимого события.

«Кибериспытания — это современный метод оценки киберустойчивости компаний. Такой подход позволяет посмотреть на инфраструктуру глазами реального злоумышленника и выявить риски, которые невозможно увидеть при анализе отдельных компонентов. Практика 2025 г. подтверждает эффективность формата: 61% недостатков, описанных в принятых отчетах по программам кибериспытаний на Standoff Bug Bounty, относились к критическому и высокому уровням опасности. Это на 30% больше, чем в традиционных программах по поиску уязвимостей. Суммарный объем выплат превысил 42 млн руб. В этом смысле кибериспытания представляют собой следующий этап эволюции программ багбаунти и финальную ступень их зрелости. Они переводят разговор о безопасности из плоскости отдельных уязвимостей в плоскость бизнес-рисков и позволяют принимать решения, опираясь на реальные сценарии компрометации», — отметил Иван Булавин, директор по продуктам платформы Standoff 365.

Запущенная программа кибериспытаний дополняет уже действующую классическую программу багбаунти «Инфосистемы Джет».

«Мы давно участвуем в классической программе bug bounty и считаем ее очень успешной. Однако нам хочется понять не то, можно ли проэксплуатировать какую-то уязвимость в нашей ИТ-инфраструктуре (рано или поздно взломают любого), а то, каков уровень киберустойчивости бизнеса. И для этого идеален формат кибериспытаний. Мы сформулировали недопустимые ИТ-события и поняли, что для кибериспытаний наиболее подходят полное уничтожение наших ИТ-систем без возможности быстрого восстановления и атака на клиентов через нашу инфраструктуру. Полсотни расследований инцидентов ИБ, которые мы провели за 2025 г., показывают, что это наиболее интересные для реальных злоумышленников результаты атаки. Выход на кибериспытания стал логичным шагом — особенно после того, как мы наладили регулярный внешний и внутренний пентест и успешно поработали с исследователями в формате bug bounty. В целом можно было бы выйти на кибериспытания и раньше: этот формат из-за большей, в сравнении с bug bounty, награды привлекает немалое число действительно квалифицированных исследователей. Мы будем бесконечно рады заплатить за демонстрацию возможности реализовать недопустимое событие, ведь никакая выплата не сравнится с ущербом от реального разрушительного инцидента», — сказал Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет».