Провайдер цифровой устойчивости, IT-компания Innostage, стала первой компанией, прошедшей кибериспытания на платформе Standoff Bug Bounty. Успешное прохождение полугодовой программы подтвердил сертификат АО «Кибериспытания». Количество исследователей, пытавшихся взломать инфраструктуру Innostage, превысило 930 человек, включая 4 Red team команды, победителей российских кибербитв. Вознаграждение за успешную атаку составляло 10 млн рублей.

Программа кибериспытаний на платформе Standoff Bug Bounty длится 6 месяцев. За это время белые хакеры должны реализовать одно из недопустимых событий, которое может критически отразиться на работе компании. Заключение о результатах кибериспытаний выносит экспертный совет, включающий специалистов отрасли из ведущих компаний России. За полгода Innostage выдержала сотни тысяч таргетированных атак, столкнулась с несколькими крупными инцидентами, но это не привело к реализации недопустимого события – краже денег со счета.

«За полгода участия в программе Innostage продемонстрировала высокий уровень защиты своей ИТ-инфраструктуры. Мы первыми прошли через это независимое тестирование, чтобы показать партнерам и клиентам высокий уровень цифровой устойчивости Innostage. Получив сертификат, компания подтвердила свой уровень экспертизы в области информационной безопасности и способность эффективно защищать данные своих клиентов», — отметил генеральный директор Innostage Айдар Гузаиров.

За шесть месяцев со старта кибериспытаний специалисты Innostage отразили около 780 тысяч атак. В пиковые периоды (июнь-июль и октябрь–ноябрь), число атак достигало 120–130 тысяч в неделю. Эти атаки наглядно демонстрируют текущую угрозу для ИТ-систем и необходимость усиленной защиты.

«Innostage первыми решились пройти через «Кибериспытания», не побоявшись встретиться с хакерами лицом к лицу. Этот смелый шаг не только подтвердил их высокий уровень киберустойчивости, но и стал примером для всей отрасли, демонстрируя клиентам и партнерам, что можно построить безопасность, гарантирующую реальный результат. Для того, чтобы таких примеров стало больше, мы запустили Кибериспытания в экспресс-формате, в рамках которых готовы выплачивать вознаграждения исследователей вместо заказчиков за счет собственных средств», – прокомментировала генеральный директор проекта «Кибериспытание» Наталья Воеводина.

Два инцидента, зарегистрированные специалистами Innostage, не привели к успешной реализации недопустимых событий. Так, в июле один из хакеров организовал фишинговую рассылку, маскируясь под официальную переписку компании. В ноябре ещё один исследователь попытался проникнуть в компанию, используя фейковую wi-fi точку в бизнес-центре, где расположен один из офисов Innostage.

Аналогичные угрозы оказывают влияние на всю отрасль. По данным группы OSINT Центра противодействия киберугрозам Innostage SOC CyberART, с января по декабрь 2024 года в России произошло свыше 450 утечек чувствительных данных. Каждая выявленная утечка содержала от 3 строк при взломе малого бизнеса до 315 миллионов записей — при краже клиентских баз данных крупных компаний и онлайн-сервисов.

Суммарно к концу 2024 года было украдено свыше 525 миллионов уникальных записей российских пользователей. 118 миллионов строк, или 23% от годового количества, приходится на осень. Аналитики OSINT отмечают, что рост числа утечек данных часто связан с действиями хактивистов, которые тщательно изучают отечественное ПО, чтобы провести целенаправленные атаки.