Компания «Тинькофф» запустила для всех своих сотрудников Data Guard — комплексную программу поиска уязвимостей, связанных с защитой данных. Вознаграждение по этой программе предусмотрено для каждого из сотрудников финансовой компании независимо от уровня. Об этом рассказал вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь на конференции по анализу данных и технологиям ИИ Data Fusion.
В рамках программы Data Guard сотрудники могут присылать сообщения о технических уязвимостях во внутренних сервисах и API, проблемах с разграничением доступа к данным и слабых местах, связанных с процессами и бизнес‑логикой (например, передача недостаточно защищённых или избыточных данных). Вознаграждение начисляется на личный счёт сотрудника в виде внутренней валюты T‑Money. Эту валюту можно потратить на технику, гаджеты и мерч во внутреннем магазине компании. Размер выплаты зависит от критичности найденной уязвимости.
Также в рамках обеспечения информационной безопасности в «Тинькофф» рассказали о проведении отдельных мероприятий:
соревнование Month of Bugs, где сотрудники в течение месяца активно ищут уязвимости в разных продуктах за вознаграждение;
CTF (Capture The Flag) — чемпионат по спортивному хакингу среди сотрудников;
ведение блога на внутреннем портале Space, где публикуется информация о типовых уязвимостях в приложениях, реальные кейсы закрытия багов и рекомендации, как не стать жертвой хакеров и мошенников, развивается культура безопасности, которая помогает как на работе, так и дома;
размещение программы Bug Bounty на платформах Bi.Zone Bug Bounty, Standoff 365 BugBounty и Bugbounty.ru.
