Op veilig spelen? Cybersecurity is makkelijker gezegd dan gedaan

Denk je dat het met de cybersecurity binnen jouw bedrijf wel goed zit? Ethisch hacker Inti De Ceukelaire, een van de sprekers die Talent-IT uitgenodigd had voor hun allereerste Security Essentials Seminarie, durft dat in twijfel trekken.

Security Essentials Seminarie

De steeds verder toenemende digitalisering van data en bedrijfsprocessen maakt digitale veiligheid en beveiliging tot een ‘gloeiendheet’ topic. Vandaar dat het de groep Talent-IT, Talent2Test, Team4Talent en Pro-Cured een logische keuze leek om hier een seminarie aan te wijden. De ruime opkomst en gevarieerde samenstelling van het publiek wees erop dat ze de nagel op de kop sloegen.

Moderator Anthony Ex, zelf Cyber Security Consultant, leidde het onderwerp in en kondigde de sprekers aan. Zijn gouden raad: vooral niet te wachten om in security te investeren. Hij gaf de bekende rederij Maersk als voorbeeld. Niet eens bedoeld werd ze het slachtoffer van Russische hackers en de schade herstellen kostte zo’n $ 300 miljoen.

Crowdsourced Cyber Security: Get Hacked Before You Get Hacked

Gelukkig bestaat er ook zoiets als ethical hacking en bug bounty hunting. Enter: Inti De Ceukelaire, met een uiteenzetting over hacken. Deze 24-jarige leidt als ‘Head of hackers’ bij Intigriti, één van de georganiseerde platformen die ethical hackers verenigt, een community van 6 à 7.000 hackers in goede banen.

Laat je hacken

Wil je weten of jouw bedrijf digitaal safe zit? Dan kan je, al dan niet via dergelijk platform, ethische hackers inschakelen om de veiligheidslekken in je IT-voorzieningen te ontmaskeren.

Waarom?

Inti gaf een aantal redenen waarom dit een goed idee kan zijn:

1. Ze zijn vaak gemotiveerder dan conventionelere instanties en methodes om bugs en inbreuken op de beveiliging te detecteren.
   • Pas betaling bij detectie van een veiligheidsprobleem.
2. De wet van Linus stelt: ‘Als vele ogen meekijken, komt elke fout wel aan de oppervlakte’.
   • De globale ethical hackers- en bug bounty hunterscommunity telt zo’n 400.000 ‘leden’.
   • In België alleen al zijn er een 7.000-tal.
   • Samen verzamelen die heel wat meer kennis dan één enkele cybersecurityspecialist.
3. Je schakelt een consistentere, niet-tijdsgebonden veiligheidscontrole.
   • Andere methodes geven een momentopname, vaak slechts eenmaal per jaar. Nochtans kan één verkeerde druk op de knop tussendoor ogenblikkelijk een lek veroorzaken.
4. Ethische hackers gaan vaak creatiever tewerk en hanteren soms, puur voor de fun, nieuwe methodes of componenten.
   • Ze zullen dus sneller op minder gebruikelijke zwakke plekken stoten.

Hoe?

Recht uit de praktijk bracht Inti een aantal praktische tips aan voor bedrijven die met ethical hackers in zee willen gaan.

Tip 1: Zorg voor duidelijke communicatie

• Maak jezelf bereikbaar voor ethical hackers: waar kunnen ze zich veilig aanmelden?
• Stippel een transparante responsible disclosure en/of safe harbor policy met duidelijke grenzen uit, ook naar eventuele ver-/be-loning toe.
• Ga in dialoog met je hackers.
• Neem elk rapport serieus.

Tip 2: Creëer een veilig kader

• Ethical hacking balanceert op het randje van de legaliteit.
• Bouw een zakelijke vertrouwensrelatie op.
• Help en bescherm je hackers.
• Hacken kan tijd kosten.
• Ontmoedig misbruik.
• Zet tegenover de ontdekking van een bug of lek een ver-/be-loning.
• Een (groot) geldbedrag werkt stimulerend, maar is niet altijd een absolute must.

Tip 3: Ga niet halsoverkop tewerk, groei mee

• Start met een privéprogramma.
• Kies voor een kleine, maar interessante scope.
• Evalueer regelmatig de samenwerking met ethical hackers, hun activiteiten en resultaten.
• Vraag extra hulp indien nodig.

Tegenargumenten?

Tot slot weerlegde Inti ook een aantal argumenten om dit soort cybersecuritymaatregelen niet te nemen.

• Tijd en infrastructuur ontbreken
  • De bug bounty platformen ‘ontzorgen’ je.
    • Ze creëren een veilige omgeving en staan in voor validatie en betaling.
    • Je hoeft enkel nog de gevonden bugs te fixen.
• Geen budget
  • Betalen hoeft pas bij de vondst van een bug.
  • Bij een georganiseerd platform kan je zelf de limieten van het budget bepalen.
• Hackers vertrouwen?
  • Te veel vertrouwen schenken is af te raden, maar de ethical hackerplatformen zijn gekend en werken met een puntensysteem om de aangesloten hackers te ranken op validiteit.
  • Er zijn een aantal manieren om de identificeerbaarheid van ‘white hat hackers’ te verzekeren:
    • Vragen om een extra header toe te voegen in alle verkeer.
    • Hackers limiteren op VPN.
    • Met afgesloten omgevingen werken waarop geen productiedata aanwezig zijn.
    • Een aangepast e-mailadres vragen.
• Niet klaar
  • Voor een vijandelijke hack ben je als bedrijf nooit ‘klaar’.
• Slecht voor de reputatie
  • Je kan een georganiseerde bounty hunt net zo goed uitspelen als PR-argument.
• GDPR
  • GDPR vraagt om inbreuken op de veiligheid te rapporteren, geen bugs. Hackers zoeken naar bugs die tot inbreuken kunnen leiden.

Kortom, ethical hackers kunnen heel wat betekenen voor wie hen het leven niet te moeilijk maakt.

Wat spreker twee, cryptograaf en cryptoanalyst prof. Bart Preneel, nog meer te vertellen had over cybersecurity, lees je in ons volgende blogartikel.