Владимир Лапшин
Руководитель службы внутренней информационной безопасности «Инфосистемы Джет»
Окончил Университет Российской Академии Образования (УРАО) по специальности «Прикладная математика и информатика».
18 лет практики в кибербезопасности.
Прошёл путь от инженера по информационным технологиям, ведущего инженера, аналитика до руководителя отдела. Возглавляет службу внутренней безопасности в «Инфосистемы Джет» с 2022 года.
Главной целью большинства компаний (около 80 %), выходящих на баг-баунти, является получение независимой оценки защищённости своих систем. Такой подход воспринимается бизнесом как один из наиболее эффективных инструментов снижения рисков. При этом компании отмечают, что получаемая выгода существенно превышает затраты, что свидетельствует о высоком уровне возврата инвестиций (Return on Investment, ROI).
«Инфосистемы Джет» начала развитие этого направления с закрытого формата программ, а затем расширила практику, открыв поиск уязвимостей для широкого круга исследователей на Standoff Bug Bounty. В конце 2025 года компания запустила отдельную программу кибериспытаний, ориентированную на выявление недопустимых для бизнеса событий. О деталях запуска, опасениях и ценности проекта для бизнеса и заказчиков поговорили с Владимиром Лапшиным, руководителем службы внутренней информационной безопасности «Инфосистемы Джет».
Почему вы решили запустить программу баг-баунти?
В. Л.: Полностью защищённых систем не бывает: в операционных системах, прикладном ПО и веб-сервисах можно обнаружить уязвимости. Особенно высокий риск представляют уязвимости в сервисах, доступных из интернета. Некоторые из них сложно выявить с помощью автоматизированных средств: для их обнаружения требуются ручные проверки, которые желательно проводить как можно чаще.
С высокой вероятностью все публичные сервисы находятся под пристальным вниманием злоумышленников, которые рано или поздно попытаются найти в них слабые места. Учитывая, что даже одна критическая уязвимость может привести к серьёзным последствиям, мы пришли к выводу, что программа баг-баунти для нас необходима.
Долго ли вы готовились к запуску публичной программы? Насколько трудным был переход из приватной программы в публичный режим?
В. Л.: Переход к публичной программе прошёл достаточно гладко. Сначала мы запустили закрытую программу с участием небольшого круга исследователей. Это позволило нам оценить корректность настроек: объём поступающих отчётов, их качество, наши возможности по обработке и реагированию. После нескольких этапов расширения круга участников мы убедились, что всё работает стабильно, и перевели программу в публичный режим.
Каких результатов удалось достичь за время работы программы?
В. Л.: На мой взгляд, основной эффект от программы баг-баунти — это внедрение дополнительного уровня контроля и появление ещё одного канала получения информации об уязвимостях. В совокупности это повышает общий уровень безопасности и позволяет быстрее устранять выявленные проблемы.
Также выросло количество исследователей, изучающих наши системы, а это ключевой фактор. Чем больше глаз смотрит на код и архитектуру, тем выше вероятность обнаружить сложные и нетривиальные уязвимости.
В классической программе поиска уязвимостей компания выплатила уже более 600 тысяч рублей независимым исследователям. В программе кибериспытаний максимальное вознаграждение для багхантеров составляет 3 миллиона рублей за недопустимые события. Обе инициативы реализуются на площадке Standoff Bug Bounty.
Как вы в целом оцениваете эффективность программы с точки зрения бизнеса?
В. Л.: Сегодня многие компании требуют от своих ИТ-подрядчиков подтверждения того, что они уделяют внимание собственной ИБ, включая управление уязвимостями. Поэтому уровень защиты инфраструктуры становится одним из показателей качества оказываемых услуг. Открытая баг-баунти-программа и обработка отчётов от исследователей показывают заказчикам, что подрядчик действительно работает над безопасностью своих систем, а не ограничивается формальными заявлениями.
Для нас выход на баг-баунти — эффективная инвестиция. Мы оцениваем это как хорошее вложение в информационную безопасность с точки зрения соотношения затрат и выгоды (cost-benefit). После успешного запуска классической программы мы вышли на кибериспытания. Максимальное вознаграждение здесь составляет 1,5 млн рублей за каждое недопустимое событие.
В кибериспытаниях багхантерам пока не удалось реализовать ни одно из недопустимых событий: демонстрацию возможности захвата управления инфраструктурой с последующим шифрованием (первое НС) и демонстрацию получения нелегитимного доступа к системам заказчиков (второе НС).
Что бы вы посоветовали компаниям, которые только планируют выход на баг-баунти?
В. Л.: Главное — просто начать. Все, кто сегодня участвует в баг-баунти, когда-то делали это впервые, и это вполне выполнимая задача. В первую очередь определите, какие типы уязвимостей для вас наиболее критичны, установите приоритеты и чётко обозначьте границы программы: какие системы и компоненты включаются в неё, а какие нет.
Если у вашей организации есть отраслевая специфика, рекомендуем посетить профильные мероприятия, посвящённые баг-баунти. Там можно пообщаться со специалистами из смежных компаний и узнать, как они прошли этот путь.
Владимир, спасибо за интересную беседу. Желаем развития и процветания вашей компании!
