Wat is ethisch hacken? Waarom is het interessant voor je kmo? Hoe engageer je een ethisch hacker?

Wat is ethisch hacken?

Ethisch hacken is bedoeld om de cyberbeveiliging van bedrijven en overheden te verhogen. Een ethisch hacker zoekt naar veiligheidslekken of kwetsbaarheden (zoals een ontwerp- of uitvoeringsfout, het gebrek aan een update,…) in websites, mobiele applicaties en (draadloze) bedrijfsnetwerken. 

Eens een probleem gevonden, brengt de hacker het bedrijf of de overheid op de hoogte van het beveiligingsprobleem. Deze kan de kwetsbaarheid oplossen om te voorkomen dat die wordt misbruikt en tot datalekken leidt.

Waarom is het voor een kmo interessant?

Een ethisch hacker spoort kwetsbaarheden op voordat een beveiligingsincident zich voordoet. Daardoor dragen de meldingen van kwetsbaarheden bij aan het verbeteren van de beveiliging van informaticasystemen. 

Zeker voor kmo’s kan dit een meerwaarde betekenen. Het laten opsporen van kwetsbaarheden door een ethisch hacker is fors goedkoper dan een cybersecurity -audit laten uitvoeren.

Waar vind je een ethisch hacker?

Ethische hackers opereren meestal vanuit een organisatie met digitaal platform. Deze screenen hun hackers, controleren de kwaliteit van het werk, communiceren met jouw organisatie en belonen de hackers als ze kwetsbaarheden vinden.

Enkele betrouwbare platformen zijn:

• www.intigriti.com (België)
• www.yeswehack.com en  www.yogosha.com (Frankrijk)
• www.hackerone.com en  www.bugcrowd.com (VS)

Wanneer betaal je een ethisch hacker?

Een ethische hacker zal enkel een beloning verdienen wanneer hij/zij effectief kwetsbaarheden vindt.

Dit is een groot verschil met het inhuren van een externe auditor. Want deze persoon zal steeds vergoed moeten worden voor alle prestaties, ook al heeft hij of zij geen kwetsbaarheden of enkel minder belangrijke kwetsbaarheden gevonden.

Hoeveel betaal je een ethisch hacker?

De beloning voor ethische hackers kan verschillen naargelang de hoeveelheid, het belang of de kwaliteit van de overgemaakte informatie. Deze resultaatsverbintenis is aantrekkelijker voor eventuele deelnemers en leidt vaak tot betere resultaten voor de organisatie.

De beloning kan een geldsom zijn die je uitlooft via een bug bounty program. Maar ook vergoedingen in natura kunnen: een geschenk of een publieke erkenning, bijvoorbeeld een rangschikking onder de beste deelnemers, publicatie, conferentie, enzovoort.

Bespreek deze bounty vooraf met het platform dat als tussenpersoon fungeert tussen je kmo en de hackers. Of stem je af op de beloningen die anderen uitloven.

Hoe communiceer je met hackers?

Het platform neemt de communicatie tussen jou en de hackers van je over. Verder wordt er aangeraden om een 'coordinated vulnerable disclosure policy' (CVDP) op je website te posten.

Een CVDP is een 'gecoördineerde bekendmaking van kwetsbaarheden'. Het is een soort instapcontract dat de regels verduidelijkt. Bovendien geeft het ethische hackers de toestemming om mogelijke kwetsbaarheden op te sporen en je alle relevante informatie hierover te bezorgen.

Het Center for Cybersecurity België helpt je bij het uitzetten van zo'n algemeen beleid met de Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Zeker voor kmo’s is het een interessante keuze om een CVDP in te voeren. Dit is immers doorgaans budgetvriendelijker dan de uitvoering van audits door externe bedrijven. Tegelijkertijd toont je organisatie aan dat het zich inspant om de wettelijke verplichtingen in verband met cyberbeveiliging na te leven.

Hoe stel je een CVDP op? Dat lees je in het artikel Ethisch hacken: interessant voor uw onderneming? Het artikel van Eva Houtave & Sofie Royer (CiTiP, KU Leuven) op Cyberecurity-bites vormt ook de bron van dit artikel.