Компания Ozon на платформе HackerOne запустила программу Bug Bounty – с ее помощью онлайн-ритейлер планирует улучшить работу своего сайта и сервиса, найти все существующие уязвимости, баги, ошибки. Из отечественного сегмента e-commerce Ozon стала первой компанией, реализовавшей данную программу.
Компания Ozon предполагает инвестировать в созданную программу более 3 млн. рублей. Сообщается, что участвовать в Bug Bounty смогут как российские, так и иностранные исследователи, специалисты по информационной безопасности.
Руководитель ИБ-департамента компании Ozon Александр Болотов дал следующий комментарий: «Наша компания выступает с поддержкой изменения характера взаимодействия вендоров с ИБ-экспертами в направлении двустороннего, адекватного диалога. Запущенная программы Bug Bounty требуется любой крупной интернет-компания, которая заботится о кибербезопасности. Тем более, Ozon в ближайшее время планирует увеличить количество сервисов, которые будут участвовать в программы, чтобы максимально взаимодействовать с сообществом кибербезопасности».
На данный момент IT-департамент Ozon насчитывает более 1000 человек. Каждый день выпускаются обновления для различных сервисов и систем. Официальный сайт и мобильное приложение Ozon ежедневно посещают около 3,5 млн. человек. Поэтому неудивительно, что веб-пространство компании представляет повышенный интерес для киберпреступников. Наличие программы Bug Bounty – дополнительный процесс обеспечения кибербезопасности корпоративной инфраструктуры онлайн-ритейлера.
Программы Bug Bounty есть практически у всех крупных международных IT-компаний: Sony, Google, Apple и многих других. В РФ подобные программы реализуют редко – их распространение началось сравнительно недавно. Одними из первых в данном направлении стали отечественные компании QIWI, Яндекс, Mail.ru. Использование программы Bug Bounty для своего сервиса позволяет компании иметь постоянный мониторинг безопасности, который работает вместе с IT-отделением.
Например, компания Ozon имеет собственный IT-департамент, но учитывая масштаб профессиональной деятельности, ей просто необходимо иметь адекватную помощь со стороны российского и международного ИБ-сообщества в сфере поиска багов, ошибок, уязвимостей.
