De beste manier om software en IT-systemen te beveiligen, is als je begrijpt hoe cybercriminelen te werk gaan. Ethische hackers, ook wel white hat hackers , weten dat. Zij hebben dezelfde kennis als black hat hackers die de digitale samenleving willen ontregelen. Ethische hackers willen de digitale samenleving juist veilig maken en houden.

De bestrijding van cybercriminaliteit kan effectief als technologiebedrijven externe ethische hackers inhuren die de beveiliging testen op kwetsbaarheden. Ethische hackers vinden het een sport om veiligheidslekken op te sporen. Softwarebedrijven stimuleren dit via bug bounty en responsible disclosure programma’s.

Wat is een bug bounty programma?

Bij een bug bounty programma mogen externe ethische hackers bepaalde onderdelen in software, website of IT-infrastructuur testen op kwetsbaarheden. Met andere woorden, deze specialisten proberen binnen te dringen zoals cybercriminelen dat zouden doen. Op deze manier komen bugs aan het licht die ze vervolgens kunnen oplossen.

Een bug bounty programma beschrijft het doel en de regels van het testen binnen een wettelijk gecontroleerde omgeving. Het is belangrijk dat de door het bedrijf vastgestelde scope wordt gerespecteerd. Dat betekent dat penetratie uitsluitend in vooraf vastgestelde gebieden mag plaatsvinden. Penetratie is een geautoriseerde, gesimuleerde cyberaanval op een computersysteem, die wordt uitgevoerd om de veiligheid van dat systeem te evalueren.

Een bug bounty programma levert een win-winsituatie op

De onderzoeker legt uit welke stappen hij heeft genomen om de kwetsbaarheid te misbruiken. Dit levert een win-winsituatie op. Het bedrijf kan zijn beveiliging meten en ervaren hoe die zich houdt tijdens een echte cyberaanval. De beveiligingsonderzoeker krijgt erkenning; via een notering in de bug bounty hall of fame van het bedrijf en een financiële vergoeding.

Wat zijn bug bounty platforms?

De expertise van externe specialisten in het opsporen van kwetsbaarheden in software is zeer waardevol. Om deze specialisten aan te trekken, werken bedrijven met gespecialiseerde bug bounty platforms als Intigriti, HackerOne, Bugcrowd en OpenBugBounty. Deze platforms verbinden bedrijven met penetratietesters en cyberbeveiligingsonderzoekers. Goed om te weten is dat bedrijven betalen voor aanwezigheid op bug bounty platforms terwijl de ethische hackers gratis toegang krijgen. Zij kunnen vervolgens meedoen met openbare bug bounty programma’s.

Bij een openbaar bug bounty programma kan iedereen op het platform zijn bevindingen indienen

Bij de start van een bug bounty platform maken de bedrijven duidelijk van welke soorten kwetsbaarheden ze op de hoogte willen worden gebracht. Ook melden ze welk soort testen is toegestaan en op welk deel van de bedrijfsmiddelen. Ze bepalen daarnaast hoeveel een bevinding waard is. Het platform coördineert de uitbetalingen en de vervolgstappen van het oplossen van de gevonden kwetsbaarheden.

Privéprogramma’s

Hackers die kwetsbaarheden blootleggen, ontvangen een financiële vergoeding voor hun bevindingen. Ook krijgen ze via het platform scores, zogenaamde reputatiepunten, die zichtbaarheid en erkenning geven. Die dragen bij tot deelname aan toekomstige projecten en uitnodigingen voor privéprogramma’s. Daarbij nodigt een bedrijf specifieke ethische hackers uit om hun IT-middelen te testen. Dit leidt vaak tot betere kwaliteit van de rapporten. Het bedrijf kan immers kiezen uit de beste ethische hackers binnen het vakgebied. Bij een openbaar bug bounty programma kan iedereen op het platform zijn bevindingen indienen.

Wat is responsible disclosure?

Bij een responsible disclosure programma geeft een bedrijf ethische hackers de gelegenheid om direct te waarschuwen en kwetsbaarheden te melden. Dit is dus anders dan een bug bounty programma dat regels en doelen bevat voor het binnendringen van bepaalde IT-middelen.

Bij een responsible disclosure vertrouwt het bedrijf erop dat mensen hun bevindingen op een ethische manier rapporteren. Als onderdeel van de overeenkomst krijgt het bedrijf een tijdsbestek om het probleem te verhelpen voordat de beveiligingsonderzoeker zijn of haar bevindingen openbaar maakt. Het responsible disclosure beleid is vaak te vinden op de website van een bedrijf.

Doelen en voordelen

• Een bug bounty programma maakt continu testen mogelijk. Dit verloopt immers via het platform in plaats van traditioneel geplande penetratietests door het bedrijf.
• Een bug bounty programma en een responsible disclosure programma voegen een continue beveiligingslaag toe die een bedrijf zelf niet kan leveren.
• Een ander belangrijk voordeel is de kracht van de menigte. Meer onderzoekers leiden tot meer bevindingen en dus een betere beveiliging.
• Een bedrijf laat zien dat het de beveiliging van IT-middelen serieus neemt.

Visma’s bug bounty en responsible disclosure

Sinds januari 2019 heeft Visma een bug bounty een responsible disclosure programma om de beveiliging van de IT-middelen te versterken. Door ethische hackers de kans te geven onze systemen binnen te dringen, krijgen we voortdurend waardevolle informatie over hoe onze beveiliging zich houdt. We werken samen met Intigriti , het grootste en bekendste bug bounty platform in Europa. Meer dan 150 ethische hackers over de hele wereld hebben we uitgenodigd voor onze privé programma’s en ons responsible disclosure programma. Succesvolle ethische hackers krijgen een financiële beloning en een eervolle vermelding in de Hall of Fame for Responsible Disclosure . Daar staan hun naam en prestaties op vermeld. Gevonden kwetsbaarheden verhelpen we zo snel mogelijk. Als er niets gevonden wordt, weten we dat de kans vrij groot is dat er niets te vinden is. Ons bug bounty programma en responsible disclosure zijn aanvullingen op onze interne inspanningen om onze beveiliging voortdurend te versterken.