Бишкек, 28.02.22. /Кабар/. Киберчабуулдарды анализдөө жана иликтөө борбору (КАИБ), Касперский лабораториясы жана КРнын Улуттук коопсуздук мамлекеттик комитети (УКМК) Киберкоопсуздук боюнча координациялык борборунун колдоосу менен Bug Bounty талуу жерлерди аныктоо программасын ишке киргизет. Бул тууралуу уюмдар кол койгон маалымат коопсуздугу жаатында кызматташуу меморандумунда айтылат.
Макулдашуунун максаты маалыматтык ресурстарды коргоо жана Кыргызстанда, ошондой эле келечекте бүткүл Борбордук Азияда каржы секторундагы коркунучтарга ийкемдүү жооп кайтаруу үчүн Bug Bounty платформасын түзүү боюнча биргелешкен иш аракеттер болуп саналат.
Платформа талуу жерлерди чабуулчулар тапканга чейин жоюуга мүмкүндүк берет. Бул үчүн программанын жаратуучулары дүйнөнүн бардык бурчунан IT ышкыбоздорун тартат. Коркунучтардын татаалдыгына жараша эксплойтторду жана талуу жерлерди издөө жана аныктоо үчүн сый акынын өлчөмү 100 доллардан 300 долларга чейин болот.
Ошондой эле Bug Bounty платформасын түзүүдөн тышкары, меморандумдун катышуучулары сервердик жана программалык камсыздоо жагынан биргелешип иш алып барууга, маалыматтык коопсуздук аутсорсингине, компьютердик криминалистика жаатында кызматташууга, консультациялык колдоо көрсөтүүгө жана биргелешкен долбоорлорду иштеп чыгууга ниеттенишет.
Учурда каржы сектору кол салгандар үчүн эң ыңгайлуу тармактардын бири бойдон калууда. 2021-жылы “Касперский лабораториясынын” отчетуна ылайык, колдонуучулардын компьютерлериндеги фишингдик шилтемелерди ээрчүүгө 250 миллиондон ашык аракет катталган. Бул окуялардын 42%га жакыны каржылык фишингге байланыштуу болгон.
Мындан тышкары, компаниялар эмес, тескерисинче, жеке адамдар, барган сайын каржылык тузакка түшүрүүчү программалардын курманы болушууда. 2020-2021-жылдары дүйнөдө банктык зыяндуу программалардын чабуулуна кабылган корпоративдик колдонуучулардын үлүшү дээрлик 2 пайыздык пунктка өскөн. Ошол эле учурда 2018-жылдан 2021-жылга чейин бул көрсөткүч 14%га өскөн. Бул тенденцияга карабастан, каржылык зыяндуу программалардан жабыркаган адамдардын жалпы үлүшү корпоративдик секторго караганда дагы эле жогору: тиешелүүлүгүнө жараша 62% жана 38% (2021-жылга карата).
Кыргызстанда да абал ушундай: дээрлик ар бир 67-колдонуучу каржылык зыяндуу программанын чабуулуна кабылган. Өлкөдө корпоративдик кардарларга 26,5%ды түздү. Калган коркунучтар (73,5%) банктык жана каржылык операцияларды жүзөгө ашыруучу жеке колдонуучуларга багытталган.
“IT тармагындагы ири оюнчулардын күч-аракеттерин бириктирүү жана меморандумдун алкагында маалымат алмашуу Борбор Азиядагы компьютердик инциденттерди аныктоого жана киберкылмышкерлердин аракеттерин тезирээк жана эффективдүү токтотууга жардам берет”, - деп түшүндүрдү Касперскийдин Борбордук Азиядагы лабораториясынын коммерциялык директору Валерий Зубанов.
— Касперский лабораториясынын маанилүү маалымат инфраструктурасында талуу жерлерди табуу боюнча көп жылдык тажрыйбасы бар. Компания дүйнөлүк IT коопсуздук коомчулугу, Интерпол сыяктуу эл аралык уюмдар, укук коргоо органдары жана компьютердик инциденттерге жооп кайтаруу борборлору менен биргеликте жүргүзүлүүчү операцияларга жана иликтөөлөргө үзгүлтүксүз катышат.
"Биздин компаниялар көптөгөн жалпы баалуулуктарга жана Bug Bounty программаларын ишке киргизүүдө терең тажрыйбага ээ", - деди Киберчабуулдарды анализдөө жана иликтөө борборунун президенти Олжас Сатиев.
“Аймактагы банктык коркунучтарга ийкемдүү жооп кайтаруу үчүн мындай инструментти түзүү жана үчүнчү тараптын IT энтузиасттарын тартуу өлкөнүн маанилүү маалымат инфраструктурасынын коопсуздук деңгээлин жогорулатууга жардам берет жана бул жааттагы эл аралык тажрыйбанын уландысы болуп калат. Ачык-айкындуулуктун жогорулашы, ошондой эле колдонуучунун, бизнестин жана мамлекеттин кызыкчылыктарынын биригиши коомдун ар кыл бөлүктөрү үчүн коопсуз экосистеманы, анын ичинде каржы секторун түзүүгө активдүү катышуучуларга айланууга мүмкүндүк берет”.
Bug Bounty - бул программалык камсыздоодогу мүчүлүштүктөрдү жана талуу жерлерди (каталарды) табуу үчүн концепциясы жана сыйлык программасы. Bug Bounty адатта IT чечимдерин жана тармактык платформаларды иштеп чыгуучулар тарабынан өз продуктуларындагы коопсуздук маселелерин табуу үчүн ишке киргизилет. Компаниялар иштин көлөмүн (scope) жарыялап, дүйнөнүн каалаган жеринен каалагандар катталып, программага катыша алышат. Адатта, үчүнчү жактын энтузиасттары (ресурсчулар) мүчүлүштүктөрдү кабарлоого акчалай сыйлык (баунти) алышат.
Акыркы убакта киберкоопсуздук менен байланышкан ар кандай мамлекеттик ведомстволор ачык мүчүлүштүктөр үчүн сыйлык программаларын ишке киргизе башташты. Мисалы, Bug Bounty Hacker One эл аралык платформасында Улуу Британиянын Улуттук киберкоопсуздук борбору, АКШнын Улуттук коопсуздук департаменти жана Сингапурдун Мамлекеттик технологиялык агенттиги өз программаларын ишке киргизгенин жарыялашты.
КАИБ жана Касперский лабораториясы тарабынан Bug Bounty программаларын түзүү тажрыйбасы жөнүндө
КАИБ 2016-жылы Казакстан Республикасынын Санариптик өнүктүрүү, инновациялар жана аэрокосмостук өнөр жай министрлиги менен өнөктөштүктө өзүнүн Bug Bounty программасын ишке киргизген. Долбоор 1000ден ашык талуу жерлерди таап, 40 000 доллардан ашык сыйлык төлөнгөндөн кийин 50 миллион доллардан ашык каржы үнөмдөлгөн. Учурда 700дөн ашык изилдөөчүлөр каттоодон өтүп, күнүнө 100дөн ашык талуу жерлер каралып турат.
Касперский лабораториясы 2016-жылы белгилүү Hacker One платформасы менен биргеликте өзүнүн Bug Bounty программасын ишке киргизген. Анын алкагында компания акырындык менен кеңейип жаткан тестирлөө үчүн продуктулардын жана чечимдердин көлөмүн белгилөөдө. Ошондой эле 2018-жылы Касперский лабораториясы эң олуттуу талуу жерлерди аныктагандарга 100 миң доллар төлөөгө даяр экенин жарыялаган (баса, дээрлик 4 жылдан бери бир дагы мындай отчет келе элек). Бардыгы болуп 2018-жылдын март айынан бери 131 талуу жерлер аныкталып, 53 отчеттун авторлору сыйлыктарды алышты жана жалпы баунти өлчөмү 75 миң 750 долларды түздү.
Пикир
Оставить комментарий