Til fagbloggen Cyber security: Bug Bounty-programFagbloggTripletex forklarerPublisert31.03.2021Sist oppdatert10.01.2024Visste du at mange bedrifter får hjelp fra eksterne parter for å sjekke om bedriftens sikkerhet holder dagens mål når det kommer til nettangrep? Eksterne hackere, for å være mer konkret. Bedrifter lar altså profesjonelle hackere hacke systemene deres i jobben med å bedre og styrke sin egen sikkerhet.Joda, det er sant. Dette er faktisk en veldig bra måte å få innsikt i hvorvidt nettkriminelle med onde intensjoner kan hacke sin vei inn i bedriftens informasjon, eller ei. De profesjonelle hackerne kalles gjerne sikkerhetsetterforskere eller etiske hackere. Dersom de klarer å hacke seg inn i systemet, vil en nettkriminell også klare det. Ideen er basert på prinsippet “Flere hoder tenker bedre enn ett”. For jo flere smarte hjerner som jobber sammen for å utfordre bedriftens sikkerhet, desto bedre. Også er det selvfølgelig en fordel at de som utfører dette er “the good guys” i en verden av hackere. Felles visjon er at vi sammen gjør internett til et sikrere sted. Både for privatpersoner og bedrifter.Når det er sagt, er det viktig å understreke og ha i bakhodet at det finnes flere ulike type hackere. Det er “black hat”-hackere, som er nettkriminelle, men det finnes også “white hat”-hackere. Det er altså de sistnevnte hackerne som gjerne defineres som etiske hackere eller sikkerhetsetterforskere. De bruker sin erfaring til å utføre noe godt – altså å bedre bedrifters sikkerhet på nett.LES OGSÅ: Cyber security – passordHva er egentlig et Bug Bounty-program?Et Bug Bounty-program er et program satt i gang av en bedrift. Profesjonelle white hat-hackere inviteres til å prøve å angripe bedriften ved å lete etter og identifisere svakheter i bedriftens software, nettside eller IT-infrastruktur som kan utnyttes av kriminelle. Med andre ord; de prøver å hacke seg inn i bedriften, akkurat slik nettkriminelle ville gjort. På denne måten kan bedriften oppdage og fikse bugs, svakheter og feil i systemene sine, før nettkriminelle potensielt oppdager og utnytter det. Et slik program skjer alltid under lovlige, kontrollerte omstendigheter. Målet og reglene for testing blir bestemt og avklart på forhånd. Det er viktig at bedriftens rammer respekteres. Det betyr at det er enkelte regler eller områder “angrepet” kan skje som er forutbestemt av bedriften. Dersom oppdraget eksempelvis er å angripe en spesifikk nettside eller software, må hackeren holde seg til dette målet. De har med andre ord ikke lov til å se etter svakheter andre steder i bedriften. For å sikre dette og forklare svakheter bør hackeren også avgi bedriften en rapport som beskriver hvilke steg hackeren tok. Deretter kan bedriften minimere svakhetene og lære av det. Hovedmålet med alt dette er naturligvis å forhindre ulykker, og opprettholde høyest mulig sikkerhet og det gir en vinn-vinn situasjon for alle parter; bedriften får målt og kontrollert sin sikkerhet og de får erfart hvor godt rustet de er dersom et real-life nettangrep skulle funnet sted. White hat-hackeren vil få anerkjennelse og (naturligvis) betalt for jobben. Et software eller en nettside er vanligvis komplekst strukturert med flere millioner linjer med koder. Det vil nærmest alltid finnes bugs og svakheter – svakheter som kan åpne en dør inn i produktet. De er ikke alltid så enkle å finne nå som sikkerheten blir stadig mer kompleks. Ekspertise utenfra er derfor veldig verdifullt.LES OGSÅ: Cyber security – finansiell kriminalitet ProsessenNår en bedrift setter i gang et Bug Bounty-program, er det ikke uvanlig å koble på en tredje partner – en Bug bounty-plattform. Deres rolle er å koordinere og koble sammen bedriften og hackerne, og de skal sørge for at samarbeidet dere i mellom fungerer best mulig. Når man starter opp vil bedriften avklare hvilke typer svakheter de vil varsles om, hvilken type testing som er lov og på hvilken del av bedriften de får lov å teste eller angripe. Bedriften vil også avgjøre hvor mye et funn er verdt, og plattformen vil koordinere betalingen. Plattformen kan også hjelpe til med å følge opp så svakheten fikses. På sin side får hackerne betalt for deres funn og får en score, eller det de kaller “omdømme poeng” på plattformen, som igjen gir hackerne god synlighet og anerkjennelse. Poeng som med andre ord kan åpne flere dører for fremtidige prosjekter. Hva er målet og fordelene? En stor fordel med Bug Bounty-program er at det muliggjør kontinuerlig testing av bedriftens sikkerhet. Et program som dette vil derfor styrke bedriftens innsats med å luke ut svakheter. I tillegg tilfører det et ekstra lag med sikkerhet som bedriften trolig ikke kunne tilført selv. Et tiltak som dette vil også vise omverden at bedriften tar sikkerhet på alvor, og at bedriften er bevisst og åpen om deres sikkerhet som lar etiske hackere ta en titt på systemene. Dette bidrar i kampen med å skape en transparent kultur hvor det å ta ansvar og å spille med åpne kort er avgjørende. Og selvfølgelig: å samarbeide med profesjonelle og anerkjente white hat-hackere for å bedre den helhetlige sikkerheten, gir mulighet til å alltid være et hestehode foran nettkriminelle og til å fikse svakheter før de kriminelle finner dem. Prøv Tripletex gratis i 14 dager!Over 130 000 bedrifter bruker Tripletex, og det er ikke uten grunn! Prøv du også – uforpliktende og kostnadsfritt. Se priserAndre relevante artikler FagbloggLover og reglerPublisert20.09.2024Sist oppdatert23.09.2024Derfor er bærekraftsrapportering viktig for små og mellomstore bedrifter Bærekraftsrapportering blir stadig mer relevant for alle typer virksomheter, inkludert små og mellomstore bedrifter (SMB). Selv om mange ikke direkte er underlagt strenge rapporteringskrav, er det flere gode grunner til… FagbloggFor regnskapsførerePublisert19.09.2024Sist oppdatert23.09.2024Derfor er automatisering en selvfølge for regnskapsbyrået Ny teknologi gjør regnskapet mer effektiv, gir dypere innsikt og legger grunnlaget for bedre beslutninger. – Dette er en no-brainer, sier statsautorisert regnskapsfører Stian Andersen. FagbloggFor regnskapsførerePublisert19.09.2024Sist oppdatert19.09.2024Regnskapsbyrået sparer tid – og øker bondens produktivitet Wahlstrøm Regnskap og Rådgivning har opplevd betydelige forbedringer i arbeidsflyten etter at de byttet til Tripletex. Nå oppfordrer de andre regnskapsbyråer med landbrukskunder til å gjøre det samme.Prøv Tripletex gratisÅ prøve Tripletex er helt gratis og uforpliktende. Kontoen krever ikke betalingsdetaljer og utløper automatisk etter prøveperioden på 14 dager dersom du ikke ønsker å fortsette. Hei 👋 Lurer du på noe? Send meg en melding!