Политика ответственного сканирования

Responsible Scanning Policy

English version avaliable here.

1. Введение

Одно из главных направлений деятельности Акционерного общества «Сайбер ОК» (далее — Компания, мы) заключается в пилотировании технологий проведения аудита цифровой устойчивости, проверке корректности настроек сертификатов безопасности сайтов, DNS и почтовых серверов.

В нашей работе мы руководствуемся следующими принципами:
• заботимся о цифровой устойчивости и не используем полученную нами информацию каким-либо противоправным образом;
• прикладываем много усилий для того, чтобы сделать безопаснее цифровую часть нашего общества, обеспечивая прозрачность и доступность информации об открытых и потенциально небезопасных ресурсах;
• придерживаемся политики ответственного разглашения.

Все наши действия по анализу устройств в Интернете регулируются данным документом, который поясняет, как и зачем мы проводим анализ.

2. Методология анализа

2.1. При анализе мы используем инструменты, которые определяют:
• устройства, подключенные к сети Интернет, их типы и характеристики (например, используемые порты и версии программного обеспечения);
• сертификаты SSL и их связи с определенными IP-адресами или доменами.

2.2. Частота проведения анализа: анализ IP-адресов и доменов проводится не чаще одного раза в сутки.

2.3. Цели проведения анализа: пилотирование технологий проведения аудита цифровой устойчивости, корректности настроек сертификатов безопасности сайтов, DNS и почтовых серверов.

2.4. IP-адреса, с которых осуществляется анализ, имеют DNS имена вида scan-[dd].skipa.cyberok.ru, где dd — от 00 до 300. Проверить их принадлежность можно с помощью обратного DNS запроса ping -a [IP], host [IP] или dig [IP]. На данный момент все используемые IP-адреса принадлежат сети 85.142.100.0/24.

2.5. При проведении анализа мы также используем программное обеспечение СКИПА — Система Контроля и Информирования о Поверхности Атак (далее — СКИПА), нашей собственной разработки. СКИПА относится к классу программного обеспечения «Средства обнаружения угроз и расследования сетевых инцидентов», является системой контроля поверхности атак (attack surface management, ASM) и включает в себя механизмы контроля и анализа защищенности сети.

Программное обеспечение СКИПА:
• 05 сентября 2023 года зарегистрировано в Едином реестре российских программ для электронных вычислительных машин и баз данных (далее — Реестр) за регистрационным номером 18867. При регистрации каждый экземпляр программного обеспечения проходит всестороннюю проверку экспертами Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. Ознакомиться с информацией из Реестра о СКИПА можно здесь — https://reestr.digital.gov.ru/reestr/1765596/?sphrase_id=4356720.

• 10 мая 2023 года зарегистрировано в реестре программ для ЭВМ Федеральной службой по интеллектуальной собственности, патентам и товарным знакам, в подтверждении чего выдано свидетельство о государственной регистрации программы для ЭВМ № 2023619366.

3. Исключения из списка анализа

Если вы желаете исключить свои ресурсы из нашего списка анализа, то вы можете:
• самостоятельно запретить доступ с IP-адресов, с которых мы проводим анализа;
• написать нам на abuse@cyberok.ru, указав соответствующие IP-адреса или домены.

4. Процедура ответа на инциденты

В случае обнаружения активности со стороны Компании, которая вызывает какие-либо вопросы, просим немедленно связаться с нами по адресу: abuse@cyberok.ru. Мы гарантируем оперативное рассмотрение всех обращений и принятие необходимых мер.

5. Контакты

Для общих вопросов, пожалуйста, свяжитесь с нами по адресу info@cyberok.ru.

6. Гарантии конфиденциальности

Обнаруженная информация используется исключительно в исследовательских и аналитических целях.
Никакие персональные данные или конфиденциальная информация не обрабатываются и не передаются третьим лицам.

7. Заключение

Основываясь на этой политике, мы прилагаем все усилия для того, чтобы обеспечивать безопасность и надежность интернет-пространства, взаимодействуя с сообществом на принципах открытости и прозрачности.