Москва, Россия — 18 апреля 2024 г.
Тинькофф запустил для всех своих сотрудников комплексную программу поиска уязвимостей, связанных с защитой данных, Data Guard. Это первая на российском рынке корпоративная программа с фокусом на безопасности данных, предусматривающая вознаграждение для каждого из команды Тинькофф, независимо от уровня. Об этом рассказал вице-президент, директор департамента информационной безопасности Тинькофф Дмитрий Гадарь на конференции по анализу данных и технологиям ИИ Data Fusion.

По программе Data Guard любой человек из 90-тысячной команды Тинькофф может получить вознаграждение за сообщение о различных уязвимостях и проблемах, связанных с безопасностью данных. Это могут быть технические уязвимости во внутренних сервисах и API, проблемы с разграничением доступа к данным, а также слабые места, связанные с процессами и бизнес-логикой (например, передача недостаточно защищенных или избыточных данных). Вознаграждение начисляется на личный счет в виде внутренней валюты T-Money, которую можно потратить на технику, гаджеты и мерч в Tinkoff Shop. Размер выплаты зависит от критичности найденной уязвимости.

В рамках обеспечения безопасности персональных данных Тинькофф выполняет все необходимые требования защиты банковской тайны, а также регулярно развивает новые финтех-инструменты информационной безопасности.

Программа Data Guard поможет дополнительно ускорить выявление проблем, связанных в первую очередь с человеческим фактором.

Также в рамках обеспечения безопасности в Тинькофф проводятся мероприятия и обучение:

• соревнования Month of Bugs — сотрудники в течение месяца активно ищут уязвимости в разных продуктах за вознаграждение;
• CTF (Capture The Flag) — чемпионат по спортивному хакингу среди сотрудников;
• собственный блог на внутреннем портале Space — в блоге публикуется информация о типовых уязвимостях в приложениях, реальные кейсы закрытия багов, а также рекомендации, как не стать жертвой хакеров и мошенников, развивается культура безопасности, которая помогает как на работе, так и дома.

Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности Тинькофф:

«Чтобы обеспечить защиту данных, можно использовать внутренние ресурсы компании по-разному. В Тинькофф мы постоянно ищем лучшие решения для обеспечения безопасности, развиваем собственные решения по контролю за оборотом данных, а также регулярно проводим обучение для всех сотрудников, работа которых связана с данными. Как показывает наш опыт, после обучения сотрудники начинают внимательнее относиться к безопасности оборота данных, чаще обращают внимание на возможные нарушения существующих в компании правил и протоколов — и сообщают команде информационной безопасности про все случаи, которые вызывают у них вопросы.

Поэтому мы решили ввести вознаграждение для сотрудников за сообщения о проблемах и уязвимостях безопасности данных внутри группы. Программа Data Guard успешно прошла несколько этапов тестирования с привлечением разных команд, с помощью сотрудников удалось обнаружить и решить интересные и неочевидные проблемы. Теперь мы расширили эту программу на всех — сообщить о проблеме за вознаграждение может каждый из команды Тинькофф (90 тысяч человек): от руководителей до линейных менеджеров и представителей. По результатам запуска Data Guard внутри группы мы также планируем сделать эту программу открытой для всех желающих — в дополнение к существующим bug-bounty-программам».

Тинькофф уже много лет развивает программу bug bounty по поиску уязвимостей силами внешних исследователей — «белых хакеров». В публичном формате хантеры могут присоединиться к программе на всех доступных в России площадках по поиску уязвимостей: Bi.Zone Bug Bounty, Standoff 365 BugBounty и Bugbounty.ru. В рамках программы Тинькофф выплатил «белым хакерам» более 25 млн рублей, а размер самой крупной выплаты составил 1,5 млн рублей.

Тинькофф также регулярно проводит мероприятия для исследователей, нацеленные на обмен опыт и сплочение сообщества специалистов в области информационной безопасности, например CTF (Capture The Flag) и Bug Bounty Cup.