В программу Positive Education включен лабораторный практикум по анализу защищенности систем дистанционного банковского обслуживания (ДБО). В практикум вошли примеры типичных уязвимостей, обнаруженных экспертами компании Positive Technologies в ходе тестирования систем ДБО ведущих российских и зарубежных финансовых институтов.
В основу практикума «Анализ защищенности ДБО» легла собственная тестовая система дистанционного банковского обслуживания PHDays I-Bank, созданная с нуля ведущим специалистом Positive Technologies Сергеем Щербелем для целей проведения хакерского конкурса «Большой ку$h» на форуме Positive Hack Days 2012. Система PHDays I-Bank представляет собой типичный интернет-банк с веб-интерфейсом, процессингом и PIN-кодами для доступа к счету. На сегодняшний день в PHDays I-Bank заложено около двухсот уязвимостей, встречающихся в современных системах ДБО.
Практикум расширяет программу Positive Education, целью которой является содействие вузам в подготовке кадров в области информационной безопасности (ИБ). В настоящее время в программу входят более трех десятков лабораторных работ по темам «Тестирование на проникновение», «Инструментальный анализ защищенности» и «Анализ безопасности веб-приложений».
Программа Positive Education была представлена в июне 2012 года. Менее чем за три месяца к ней подключились ведущие высшие учебные заведения России и Украины, включая Московский государственный технический университет им. Н. Э. Баумана, Московский инженерно-физический институт (МИФИ), Московский технологический институт (МТИ), Санкт-Петербургский государственный инженерно-экономический университет (СПбГИЭУ «ИНЖЭКОН»), Томский государственный университет, кафедра управления инновациями (УИ ТГУ), Институт безопасности бизнеса Национального исследовательского университета «Московский энергетический институт» (ИББ НИУ МЭИ), Дальневосточный государственный университет путей сообщения (ДВГУПС) и многие другие.
В рамках программы компания Positive Technologies предоставляет необходимые компоненты для создания практических учебных программ, включая стенды виртуальных инфраструктур, программные продукты для проведения работ, теоретический материал к практикумам, пошаговое описание лабораторных работ и др. Компания обеспечивает партнерские вузы поддержкой своих экспертов, имеющих богатый практический опыт в области информационной безопасности.
«Практикум по анализу защищенности систем ДБО позволит будущим специалистам по-новому взглянуть на актуальную задачу защиты банковских систем, — пояснил технический директор Сергей Гордейчик. — На примере PHDays I-Bank студенты смогут изучить большинство реально существующих уязвимостей в системах ДБО, присутствующих на российском рынке. В этом смысле наш проект — это концентрированная модель того, с чем, возможно, придется столкнуться молодым людям на практике в своей будущей профессиональной деятельности. Анализ защищенности платежных приложений — один из неотъемлемых элементов выполнения требований передовых стандартов в области ИБ, таких как PCI DSS, СТО БР ИББС и требования по защите Национальной платежной системы».
Образовательные проекты Positive Technologies — это не только программа Positive Education, но и бесплатные вебинары по актуальным вопросам информационной безопасности, конкурс молодых ученых Young School на международном форуме PHDays 2012, семинары и спецкурсы для студентов российских технических вузов и т. п.
Летом 2012 года эксперты Positive Technologies также приняли участие в проведении межвузовских соревнований Приволжского федерального округа VolgaCTF и организации летней школы по информационной безопасности БФУ им. И. Канта и соревнований BaltCTF.