Cyber security: Bug Bounty-program

Joda, det er sant. Dette er faktisk en veldig bra måte å få innsikt i hvorvidt nettkriminelle med onde intensjoner kan hacke sin vei inn i bedriftens informasjon, eller ei. De profesjonelle hackerne kalles gjerne sikkerhetsetterforskere eller etiske hackere. Dersom de klarer å hacke seg inn i systemet, vil en nettkriminell også klare det. 

Ideen er basert på prinsippet “Flere hoder tenker bedre enn ett”. For jo flere smarte hjerner som jobber sammen for å utfordre bedriftens sikkerhet, desto bedre. Også er det selvfølgelig en fordel at de som utfører dette er “the good guys” i en verden av hackere. Felles visjon er at vi sammen gjør internett til et sikrere sted. Både for privatpersoner og bedrifter.

Når det er sagt, er det viktig å understreke og ha i bakhodet at det finnes flere ulike type hackere. Det er “black hat”-hackere, som er nettkriminelle, men det finnes også “white hat”-hackere. Det er altså de sistnevnte hackerne som gjerne defineres som etiske hackere eller sikkerhetsetterforskere. De bruker sin erfaring til å utføre noe godt – altså å bedre bedrifters sikkerhet på nett.

LES OGSÅ: Cyber security – passord

Hva er egentlig et Bug Bounty-program?

Et Bug Bounty-program er et program satt i gang av en bedrift. Profesjonelle white hat-hackere inviteres til å prøve å angripe bedriften ved å lete etter og identifisere svakheter i bedriftens software, nettside eller IT-infrastruktur som kan utnyttes av kriminelle. Med andre ord; de prøver å hacke seg inn i bedriften, akkurat slik nettkriminelle ville gjort. På denne måten kan bedriften oppdage og fikse bugs, svakheter og feil i systemene sine, før nettkriminelle potensielt oppdager og utnytter det. 

Et slik program skjer alltid under lovlige, kontrollerte omstendigheter. Målet og reglene for testing blir bestemt og avklart på forhånd. Det er viktig at bedriftens rammer respekteres. Det betyr at det er enkelte regler eller områder “angrepet” kan skje som er forutbestemt av bedriften. Dersom oppdraget eksempelvis er å angripe en spesifikk nettside eller software, må hackeren holde seg til dette målet. De har med andre ord ikke lov til å se etter svakheter andre steder i bedriften. For å sikre dette og forklare svakheter bør hackeren også avgi bedriften en rapport som beskriver hvilke steg hackeren tok. Deretter kan bedriften minimere svakhetene og lære av det. 

Hovedmålet med alt dette er naturligvis å forhindre ulykker, og opprettholde høyest mulig sikkerhet og det gir en vinn-vinn situasjon for alle parter; bedriften får målt og kontrollert sin sikkerhet og de får erfart hvor godt rustet de er dersom et real-life nettangrep skulle funnet sted. White hat-hackeren vil få anerkjennelse og (naturligvis) betalt for jobben. 

Et software eller en nettside er vanligvis komplekst strukturert med flere millioner linjer med koder. Det vil nærmest alltid finnes bugs og svakheter – svakheter som kan åpne en dør inn i produktet. De er ikke alltid så enkle å finne nå som sikkerheten blir stadig mer kompleks. Ekspertise utenfra er derfor veldig verdifullt.

LES OGSÅ: Cyber security – finansiell kriminalitet 

Prosessen

Når en bedrift setter i gang et Bug Bounty-program, er det ikke uvanlig å koble på en tredje partner – en Bug bounty-plattform. Deres rolle er å koordinere og koble sammen bedriften og hackerne, og de skal sørge for at samarbeidet dere i mellom fungerer best mulig. 

Når man starter opp vil bedriften avklare hvilke typer svakheter de vil varsles om, hvilken type testing som er lov og på hvilken del av bedriften de får lov å teste eller angripe. Bedriften vil også avgjøre hvor mye et funn er verdt, og plattformen vil koordinere betalingen. Plattformen kan også hjelpe til med å følge opp så svakheten fikses. 

På sin side får hackerne betalt for deres funn og får en score, eller det de kaller “omdømme poeng” på plattformen, som igjen gir hackerne god synlighet og anerkjennelse. Poeng som med andre ord kan åpne flere dører for fremtidige prosjekter. 

Hva er målet og fordelene? 

En stor fordel med Bug Bounty-program er at det muliggjør kontinuerlig testing av bedriftens sikkerhet. Et program som dette vil derfor styrke bedriftens innsats med å luke ut svakheter. I tillegg tilfører det et ekstra lag med sikkerhet som bedriften trolig ikke kunne tilført selv. 

Et tiltak som dette vil også vise omverden at bedriften tar sikkerhet på alvor, og at bedriften er bevisst og åpen om deres sikkerhet som lar etiske hackere ta en titt på systemene. Dette bidrar i kampen med å skape en transparent kultur hvor det å ta ansvar og å spille med åpne kort er avgjørende. 

Og selvfølgelig: å samarbeide med profesjonelle og anerkjente white hat-hackere for å bedre den helhetlige sikkerheten, gir mulighet til å alltid være et hestehode foran nettkriminelle og til å fikse svakheter før de kriminelle finner dem.