«Тинькофф »запустил для всех своих сотрудников комплексную программу поиска уязвимостей, связанных с защитой данных, Data Guard. Это первая на российском рынке корпоративная программа с фокусом на безопасности данных, предусматривающая вознаграждение для каждого из команды «Тинькофф», независимо от уровня. Об этом CNews сообщили представители «Тинькофф».
По программе Data Guard любой человек из 90-тысячной команды «Тинькофф» может получить вознаграждение за сообщение о различных уязвимостях и проблемах, связанных с безопасностью данных. Это могут быть технические уязвимости во внутренних сервисах и API, проблемы с разграничением доступа к данным, а также слабые места, связанные с процессами и бизнес-логикой (например, передача недостаточно защищенных или избыточных данных). Вознаграждение начисляется на личный счет в виде внутренней валюты T-Money, которую можно потратить на технику, гаджеты и мерч в Tinkoff Shop. Размер выплаты зависит от критичности найденной уязвимости.
В рамках обеспечения безопасности персональных данных Тинькофф выполняет все необходимые требования защиты банковской тайны, а также регулярно развивает новые финтех-инструменты информационной безопасности.
Программа Data Guard поможет дополнительно ускорить выявление проблем, связанных в первую очередь с человеческим фактором.
Также в рамках обеспечения безопасности в «Тинькофф» проводятся мероприятия и обучение: соревнования Month of Bugs — сотрудники в течение месяца активно ищут уязвимости в разных продуктах за вознаграждение; CTF (Capture The Flag) — чемпионат по спортивному хакингу среди сотрудников; собственный блог на внутреннем портале Space — в блоге публикуется информация о типовых уязвимостях в приложениях, реальные кейсы закрытия багов, а также рекомендации, как не стать жертвой хакеров и мошенников, развивается культура безопасности, которая помогает как на работе, так и дома.
Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности «Тинькофф»: «Чтобы обеспечить защиту данных, можно использовать внутренние ресурсы компании по-разному. В «Тинькофф» мы постоянно ищем лучшие решения для обеспечения безопасности, развиваем собственные решения по контролю за оборотом данных, а также регулярно проводим обучение для всех сотрудников, работа которых связана с данными. Как показывает наш опыт, после обучения сотрудники начинают внимательнее относиться к безопасности оборота данных, чаще обращают внимание на возможные нарушения существующих в компании правил и протоколов — и сообщают команде информационной безопасности про все случаи, которые вызывают у них вопросы. Поэтому мы решили ввести вознаграждение для сотрудников за сообщения о проблемах и уязвимостях безопасности данных внутри группы. Программа Data Guard успешно прошла несколько этапов тестирования с привлечением разных команд, с помощью сотрудников удалось обнаружить и решить интересные и неочевидные проблемы. Теперь мы расширили эту программу на всех — сообщить о проблеме за вознаграждение может каждый из команды «Тинькофф» (90 тысяч человек): от руководителей до линейных менеджеров и представителей. По результатам запуска Data Guard внутри группы мы также планируем сделать эту программу открытой для всех желающих — в дополнение к существующим bug-bounty-программам».
«Тинькофф» уже много лет развивает программу bug bounty по поиску уязвимостей силами внешних исследователей — «белых хакеров». В публичном формате хантеры могут присоединиться к программе на всех доступных в России площадках по поиску уязвимостей: Bi.Zone Bug Bounty, Standoff 365 BugBounty и Bugbounty.ru. В рамках программы «Тинькофф» выплатил «белым хакерам» более 25 млн руб., а размер самой крупной выплаты составил 1,5 млн руб.
«Тинькофф» также регулярно проводит мероприятия для исследователей, нацеленные на обмен опыт и сплочение сообщества специалистов в области информационной безопасности, например CTF (Capture The Flag) и Bug Bounty Cup.
***
Тинькофф — финансовая онлайн-экосистема, объединяющая полный спектр финансовых услуг для частных лиц и бизнеса. Особое внимание «Тинькофф» уделяет развитию лайфстайл-банкинга: экосистема дает клиентам возможность анализировать и планировать личные траты, инвестировать сбережения, получать бонусы в рамках программ лояльности, бронировать путешествия, покупать билеты в кино, бронировать столики в ресторанах и делать многое другое. «Тинькофф» не имеет отделений. Сеть собственных представителей позволяет доставлять продукты клиентам компании в любой регион страны в кратчайшие сроки, в онлайн-каналах и контакт-центре клиенты получают все необходимые консультации и сервис 24/7. «Тинькофф» реализует стратегию AI Banking и активно задействует технологии искусственного интеллекта и машинного обучения. Все продукты и большинство внутренних ИТ-систем «Тинькофф» разработаны самой компанией. 70% сотрудников штаб-квартиры — ИТ-специалисты. Ядром экосистемы является основанный в 2006 г. «Тинькофф Банк». «Тинькофф» реализует экосистемный подход к образованию и сотрудничает с ведущими вузами России. В 2019 г. Тинькофф получил образовательную лицензию. В 2022 г. компания запустила ежегодную стипендиальную программу для талантливых студентов технических факультетов российских вузов.
Поделиться