СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Т-Банк
9 октября
#Dev#ИБ#Инфра

Т-Технологии первыми среди финтех компаний запускают новую программу в формате кибериспытаний

Т-Технологии объявляют о запуске новой программы, расширяющей существующие практики поиска уязвимостей. Помимо стандартного формата выявления технических багов, компания запускает принципиально новое направление — тестирование «недопустимых событий», то есть сценариев, способных подтвердить устойчивость ключевых систем и процессов к критическим воздействиям. Программа реализована по принципу pay-for-impact: вознаграждение выплачивается не просто за найденную уязвимость, а за продемонстрированный сценарий, который способен проверить реальную устойчивость экосистемы. При этом исследователям не ставятся жёсткие ограничения по векторам атак — разрешено искать слабые места в мобильных приложениях, API, бизнес-логике, интеграциях с партнерами и в других элементах цифровой инфраструктуры.

«Мы запускаем новую программу исследовательских сценариев безопасности, которая выходит за рамки классического поиска уязвимостей. Наша задача — не заменить стандартный поиск багов, а дополнить его новым направлением: стимулировать исследователей искать комплексные сценарии, которые позволяют на практике подтвердить защищенность систем. Такой подход делает безопасность более прозрачной и технологичной. Сейчас программа работает в приватном режиме — она недоступна публично и открыта только для ограниченного круга исследователей. В дальнейшем мы планируем расширять участие, сохранив высокий уровень требований к качеству и надежности», — Дмитрий Гадарь, руководитель департамента информационной безопасности Т-Банка.

Ключевые параметры программы:

  • Платформа: Standoff Bug Bounty
  • Модель выплат: pay-for-impact — вознаграждение за воспроизведение PoC, приводящее к подтвержденному недопустимому событию. Размеры выплат — за недопустимое событие – 3 млн рублей, за реализацию промежуточных событий от 100 тыс. рублей до 1,5 млн рублей в зависимости от влияния и сложности PoC.
  • Промежуточные результаты запуска программы: 01.04.2026 года.

Что банк понимает под «недопустимыми событиями»

Это сценарии, которые проверяют устойчивость ключевых компонентов инфраструктуры, например:

  • попытки несанкционированного доступа к внутренним сервисам;
  • закрепление на сервере базы данных с привилегированной учетной записи;
  • внедрение кода в цепочку релизов продуктов;
  • обход механизмов защиты и мониторинга.

Новаторство и практический смысл подхода:

  • Фокус на практической устойчивости. Программа позволяет не просто собирать отчеты об отдельных уязвимостях, а проверять и подтверждать на практике готовность инфраструктуры к серьезным инцидентам.
  • Открытые вектора тестирования. Исследователи могут комбинировать уязвимости из разных областей (frontend + API + интеграции), что повышает шанс выявить сложные цепочки атак.
  • Интеграция с операционной безопасностью. Все подтвержденные PoC автоматически передаются в triage-команду и в процессы IR (SOC) для верификации и усиления защиты.

«Для банковской отрасли важно не только находить уязвимости, но и уметь доказывать защищённость своих систем. Мы рассчитываем, что подобный подход станет отраслевым стандартом прозрачности и доверия в сфере финансовых технологий», — Дмитрий Гадарь, руководитель департамента информационной безопасности Т-Банка.

Т-Банк
Автор: Т-Банк
«Т-Банк» — российский коммерческий банк, сфокусированный полностью на дистанционном обслуживании, не имеющий розничных отделений. Крупнейший в мире онлайн-банк по количеству клиентов. Занимает 9-ое место по размеру активов среди банков в России. Штаб-квартира банка расположена в Москве.
Комментарии: