Белые хакеры проверят «СОГАЗ-Жизнь»: до 200 тыс. р. за уязвимость на BI.ZONE BugBounty

Финансовый сектор усиливает защиту: 28 ноября «СОГАЗ» объявил о расширении программы охоты за уязвимостями на платформе BI.ZONE BugBounty, приглашая независимых исследователей протестировать защищенность дочерней компании «СОГАЗ-Жизнь» (а также «СОГАЗ-ЖИЗНЬ»). Выплаты за найденные уязвимости определяются уровнем критичности и могут достигать 200 тысяч рублей. На фоне активности атакующих и опыта коллег по рынку страхование активно интегрирует практики киберустойчивости, важные для клиентов из сегментов банки, кредиты, ипотека, лизинг и инвестиции.

“Дочку” будут тестировать на поиск уязвимостей, а тот, кто их найдет, получит до 200 тыс. р.

Что именно объявлено

Компания расширяет периметр тестирования на BI.ZONE BugBounty и открывает для проверки «СОГАЗ-Жизнь». Награды за найденные проблемы безопасности будут варьироваться в зависимости от критичности и достигать 200 тысяч рублей. Цель — повысить устойчивость ИТ-ландшафта к атакам и системно улучшить кибербезопасность, что особенно важно для экосистемы, где страхование тесно связано с банками, а также сервисами под кредиты, ипотека, лизинг и инвестиции.

Контекст: уроки рынка

Кажется, история с «ВСК» заставила задуматься других страховщиков. По теме: В «ВСК» признали неготовность к кибератаке, назвав её беспрецедентной.

Опыт взаимодействия с BI.ZONE BugBounty

«СОГАЗ» сотрудничает с BI.ZONE BugBounty уже более года. Ранее под тестирование были открыты 14 цифровых ресурсов — от официального сайта и личного кабинета клиента до ряда внутренних сервисов. За это время компания накапливала практику, релевантную и для смежных финансовых направлений, где используются страхование и банковские продукты, включая инвестиции и ипотека.

«За время совместной работы было принято более 60 отчетов от независимых исследователей, — рассказал страховщик. — Компания выплачивает вознаграждения за следующие уязвимости: выполнение произвольного кода, массовый обход авторизации, инъекции SQL (SQLi), local/Remote File Inclusion (LFI, RFI), внедрение внешних сущностей XML (XXE) и т. д.».

Руководитель продукта BI.ZONE BugBounty Андрей Лёвкин констатирует, что финансовый сектор остается одной из наиболее атакуемых отраслей, поэтому компании усиливают требования к уровню защиты своих ресурсов.

Зачем это клиентам и бизнесу

Устойчивые ИТ-системы — основа доверия к страхование как отрасли, где ежедневно обрабатываются платежи, полисы и данные клиентов. Для пользователей, у которых кредиты, ипотека, лизинг или инвестиции, надежная защита каналов обслуживания критична. Компании, работающие с персональными данными и финансовыми транзакциями, всё чаще комбинируют управленческие и технологические меры с полисами по киберрискам.

• Снижение вероятности инцидентов и потерь для клиентов из сегментов банки и инвестиции.
• Более прозрачное управление рисками на стыке страхование и ИТ.
• Дополнительные гарантии ответственности менеджмента и улучшение корпоративного комплаенса.

Что можно сделать уже сейчас

Бизнесу стоит оценить свои риски и рассмотреть специализированные решения: полис по Киберстрахование для компенсации ущерба от инцидентов и Страхование ответственности директоров и руководителей (D&O) — на случай претензий к менеджменту после киберсобытий. Такой подход дополняет процессы выявления уязвимостей и повышает общую финансовую устойчивость.