«Тинькофф» запустил корпоративную программу поиска уязвимостей Data Guard

«Тинькофф» запустил корпоративную комплексную программу поиска уязвимостей, связанных с защитой данных, Data Guard. Об этом рассказал вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь на конференции по анализу данных и технологиям ИИ Data Fusion.

«Любой человек из 90-тысячной команды «Тинькофф» может получить вознаграждение за сообщение о различных уязвимостях и проблемах, связанных с безопасностью данных. Это могут быть технические уязвимости во внутренних сервисах и API, проблемы с разграничением доступа к данным, а также слабые места, связанные с процессами и бизнес-логикой», — говорится в сообщении.

Программа Data Guard поможет дополнительно ускорить выявление проблем, связанных в первую очередь с человеческим фактором, считают в «Тинькофф».

«Чтобы обеспечить защиту данных, можно использовать внутренние ресурсы компании по-разному. Как показывает наш опыт, после обучения сотрудники начинают внимательнее относиться к безопасности оборота данных, чаще обращают внимание на возможные нарушения и сообщают команде информационной безопасности про все случаи, которые вызывают у них вопросы. Поэтому мы решили ввести вознаграждение для сотрудников за сообщения о проблемах и уязвимостях безопасности данных внутри группы. По результатам запуска Data Guard внутри группы планируется сделать эту программу открытой для всех желающих — в дополнение к существующим bug bounty программам», — рассказал Дмитрий Гадарь.

«Тинькофф» уже много лет развивает программу bug bounty по поиску уязвимостей силами внешних исследователей — «белых хакеров», которые в публичном формате могут присоединиться к программе на всех доступных в России площадках по поиску уязвимостей, пояснили в компании.