Т-Технологии запустили программу, расширяющую существующие практики поиска уязвимостей. Помимо стандартного формата выявления багов компания запустила новое направление — тестирование «недопустимых событий». То есть тестирование сценариев, способных подтвердить устойчивость ключевых систем и процессов к критическим воздействиям.
Программа реализована по принципу pay-for-impact. Вознаграждение выплачивается не за найденную уязвимость, а за продемонстрированный сценарий, способный проверить реальную устойчивость экосистемы. Исследователям не ставятся жёсткие ограничения по вектору атак — разрешено искать слабые места в мобильных приложениях, API, бизнес-логике, интеграциях с партнерами и других элементах цифровой инфраструктуры.
«Мы запускаем новую программу исследовательских сценариев безопасности, которая выходит за рамки классического поиска уязвимостей. Наша задача — не заменить стандартный поиск багов, а дополнить его новым направлением: стимулировать исследователей искать комплексные сценарии, которые позволяют на практике подтвердить защищенность систем. Такой подход делает безопасность более прозрачной и технологичной. Сейчас программа работает в приватном режиме — она недоступна публично и открыта только для ограниченного круга исследователей. В дальнейшем мы планируем расширять участие, сохранив высокий уровень требований к качеству и надежности», — Дмитрий Гадарь, руководитель департамента информационной безопасности Т-Банка.
Ключевые параметры программы:
- Платформа: Standoff Bug Bounty
- Модель выплат: pay-for-impact — вознаграждение за воспроизведение PoC, приводящий к подтвержденному недопустимому событию. Размеры выплат — за недопустимое событие – 3 млн рублей, за реализацию промежуточных событий от 100 тыс рублей до 1,5 млн рублей в зависимости от влияния и сложности PoC.
- Промежуточные результаты запуска программы: 01.04.2026 года.
Что банк понимает под «недопустимыми событиями»
Это сценарии, которые проверяют устойчивость ключевых компонентов инфраструктуры, например:
- попытки несанкционированного доступа к внутренним сервисам;
- закрепление на сервере базы данных от привилегированной учетной записи;
- внедрение кода в цепочку релизов продуктов;
- обход механизмов защиты и мониторинга.
Новаторство и практический смысл подхода:
- Фокус на практической устойчивости. Программа позволяет не просто собирать отчеты об отдельных уязвимостях, а проверять и подтверждать на практике готовность инфраструктуры к серьезным инцидентам.
- Открытые вектора тестирования. Исследователи могут комбинировать уязвимости из разных областей (frontend + API + интеграции), что повышает шанс выявить сложные цепочки атак.
- Интеграция с операционной безопасностью. Все подтвержденные PoC автоматически передаются в triage-команду и в процессы IR (SOC) для верификации и усиления защиты.
«Для банковской отрасли важно не только находить уязвимости, но и уметь доказывать защищённость своих систем. Мы рассчитываем, что подобный подход станет отраслевым стандартом прозрачности и доверия в сфере финансовых технологий», — Дмитрий Гадарь, руководитель департамента информационной безопасности Т-Банка.