Компания «Инфосистемы Джет» запустила программу кибериспытаний на площадке Standoff Bug Bounty. Цель проекта — проверить киберустойчивость организации к наиболее опасным сценариям: полному захвату управления инфраструктурой и получению несанкционированного доступа к системам клиентов. Максимальная награда за подтверждение возможной реализации каждого из недопустимых событий — 1,5 млн рублей.

Программа кибериспытаний «Инфосистемы Джет» действует до конца 2026 года или до первой успешной демонстрации одного из двух недопустимых событий: захвата управления инфраструктурой с последующей возможностью шифрования или получения нелегитимного доступа к системам заказчиков. Область исследования включает информационные системы и их компоненты, расположенные во внутренней корпоративной сети, а также в отдельном защищенном контуре, предназначенном для удаленной работы с системами клиентов. За реализацию критически опасных сценариев предусмотрено крупное вознаграждение — до 1,5 млн рублей за каждый. Кроме того, компания может дополнительно наградить специалиста за найденные уязвимости высокого уровня опасности, даже если ему не удалось продемонстрировать возможность реализации недопустимого события.

«Кибериспытания — это современный метод оценки киберустойчивости компаний. Такой подход позволяет посмотреть на инфраструктуру глазами реального злоумышленника и выявить риски, которые невозможно увидеть при анализе отдельных компонентов. Практика 2025 года подтверждает эффективность формата: 61% недостатков, описанных в принятых отчетах по программам кибериспытаний на Standoff Bug Bounty, относились к критическому и высокому уровням опасности. Это на 30% больше, чем в традиционных программах по поиску уязвимостей. Суммарный объем выплат превысил 42 млн рублей. В этом смысле кибериспытания представляют собой следующий этап эволюции программ багбаунти и финальную ступень их зрелости. Они переводят разговор о безопасности из плоскости отдельных уязвимостей в плоскость бизнес-рисков и позволяют принимать решения, опираясь на реальные сценарии компрометации», — отметил Иван Булавин, директор по продуктам платформы Standoff 365.

Запущенная программа кибериспытаний дополняет уже действующую классическую программу багбаунти «Инфосистемы Джет».

«Мы давно участвуем в классической программе bug bounty и считаем ее очень успешной. Однако нам хочется понять не то, можно ли проэксплуатировать какую-то уязвимость в нашей ИТ-инфраструктуре (рано или поздно взломают любого), а то, каков уровень киберустойчивости бизнеса. И для этого идеален формат кибериспытаний.

Мы сформулировали недопустимые ИТ-события и поняли, что для кибериспытаний наиболее подходят полное уничтожение наших ИТ-систем без возможности быстрого восстановления и атака на клиентов через нашу инфраструктуру. Полсотни расследований инцидентов ИБ, которые мы провели за 2025 год, показывают, что это наиболее интересные для реальных злоумышленников результаты атаки. Выход на кибериспытания стал логичным шагом — особенно после того, как мы наладили регулярный внешний и внутренний пентест и успешно поработали с исследователями в формате bug bounty. В целом можно было бы выйти на кибериспытания и раньше: этот формат из-за большей, в сравнении с bug bounty, награды привлекает немалое число действительно квалифицированных исследователей. Мы будем бесконечно рады заплатить за демонстрацию возможности реализовать недопустимое событие, ведь никакая выплата не сравнится с ущербом от реального разрушительного инцидента», — говорит Андрей Янкин, директор центра информационной безопасности «Инфосистемы Джет».

Standoff Bug Bounty — крупнейшая российская площадка для поиска уязвимостей в системах компаний. После запуска в мае 2022 года площадка привлекла свыше 32 тысяч исследователей кибербезопасности. Всего на платформе было опубликовано более 300 программ по поиску уязвимостей, а общий объем вознаграждений превысил 340 млн рублей.