zondag, juni 24, 2018
Keuze van de Redactie
U bent hier: Home / Rubrieken / Economie & Financiën / Als een tandarts op het web
Als een tandarts op het web

Als een tandarts op het web

  • Nederland
  • 'White hat hackers' op zoek naar gaatjes voor beloning Een betrouwbare en foutloze website is een essentiële succesfactor in dit digitale tijdperk. Dat geldt voor alle grote bedrijven en zeker voor banken. Cybersecurity is dan ook een topprioriteit. Maar zoals inbrekers er soms in slagen zelfs de best beveiligde gebouwen binnen te komen, zo is ook de best beveiligde website nooit 100% waterdicht. ‘Waar wij elk gaatje moeten dichten, heeft een hacker maar één gaatje nodig om binnen te komen.’
  • Rabobank
  • info@rabobank.nl

Sinds een paar jaar heeft de Rabobank daarom een meldpunt waar goedwillende hackers melding kunnen maken van vermeende zwakke plekken in onze websites en systemen. Securityspecialisten van de bank beoordelen de melding en lossen het probleem indien nodig op. In dat geval krijgt de melder als dank een passende vergoeding – mits hij zich aan de voorwaarden heeft gehouden en geen schade heeft aangericht. White hat hackers worden deze goedwillende hackers genoemd – een verwijzing naar oude cowboyfilms, waar de good guys doorgaans een witte cowboyhoed droegen en zo te onderscheiden waren van de bad guys met zwarte hoed.

 

Ander soort kennis

‘Het meldpunt is een manier om kennis van buiten naar binnen te halen’, vertelt Bart Steijlen. Als security tester bij de Rabobank is hij onderdeel van het team dat de binnenkomende meldingen onderzoekt: door het probleem na te bootsen kijken ze of de gemelde kwetsbaarheid daadwerkelijk een probleem vormt. ‘Via de white hat hackers hebben we toegang tot een ander soort kennis, het lijntje tussen hen en de ‘zwarte kant’ is dunner. Zij hebben andere informatiebronnen dan de bank en weten vaak beter wat er in de digitale onderwereld speelt, waardoor ze de nieuwste aanvalstactieken kennen. Daar probeer je als organisatie op te anticiperen bij het beveiligen van je sites.’

 

Meldpunt is geen zwaktebod

In zijn vrije tijd speurt Steijlen zelf als white hat hacker sites van andere bedrijven af. ‘Het is een hobby, het gaat me vooral om de uitdaging. Als een bedrijf een meldpunt heeft, denk ik: eens kijken hoe ver we kunnen komen…’ Het is namelijk allesbehalve een zwaktebod, om als bedrijf hackers te vragen je site te testen. ‘Integendeel’, stelt Steijlen, ‘zo’n meldpunt geeft juist aan dat een bedrijf al heel veilig is en zijn security op orde heeft. Als je website nog een gatenkaas is, ga je dat eerst oplossen met je eigen mensen. Je wilt namelijk niet dat hobbyende pubers je site binnenkomen, zogenaamde scriptkiddy’s. Die weten eigenlijk niet wat ze doen, ze zijn zich niet bewust van de risico’s. Voor je het weet hebben ze bijvoorbeeld een hele database verwijderd… Een professional doet dat niet.’

 

‘Zo’n meldpunt geeft juist aan dat een bedrijf zijn security op orde heeft. Als je website nog een gatenkaas is, ga je dat eerst oplossen met je eigen mensen.’

Bart Steijlen, security tester

Bounty hunters

Er zijn meer white hat hackers die, net als Steijlen, professioneel ICT’er zijn en het vooral leuk vinden om in hun vrije tijd op zoek te gaan naar gaatjes in de online beveiliging van bedrijven – voor hen is de kick veel belangrijker dan de beloning. Maar een groot deel van de meldingen bij het Rabo-meldpunt is afkomstig uit het buitenland. Steijlen: ‘We krijgen veel meldingen uit India, Joegoslavië, Italië… die melders zijn vaak meer geïnteresseerd in het geld dan in de uitdaging. We krijgen ook regelmatig geautomatiseerde scans – afkomstig van ‘bounty hunters’, meestal Indiërs, die op grote schaal geautomatiseerde scripts op sites afsturen en zo hopen wat geld te verdienen. Die meldingen leveren vooral ‘lage bevindingen’ op, kleine foutjes die zo goed als geen risico vormen, en zijn voor ons niet zo interessant. Echt interessante meldingen, zogenaamde ‘hoge bevindingen’, zijn vrijwel nooit afkomstig van robots. Daar is mensenwerk voor nodig.’

 

Vaak een T-shirt, soms een klapper

De beloning die een melder ontvangt, is afhankelijk van de mogelijke impact van de gemelde bug. Voor een lage bevinding krijgt de melder hooguit een paar tientjes, voor een hoge bevinding zijn de bedragen vanzelfsprekend hoger. ‘We hebben een tabel waarin de beloningen per soort melding zijn vastgelegd. Maar het idee is vooral dat je een bedankje krijgt met wat geld’, zegt Steijlen, met de nadruk op ‘bedankje’. ‘Bij kleinere bedrijven krijg je bijvoorbeeld een T-shirt of een cadeaubon.’ Toch kun je soms een flinke klapper maken als white hat hacker: de 10-jarige Jani uit Finland meldde onlangs een lek in Instagram en ontving 10.000 euro voor zijn melding. Jani ontdekte dat hij met een code in staat was alle berichten te wissen, ongeacht de afzender. Steijlen: ‘Zulke grote lekken hebben wij gelukkig nog niet gehad.’

 

Samenwerken en best practices delen

De Rabobank heeft inmiddels een aantal jaren ervaring met het meldpunt. Wim Hafkamp is Chief Information Security Officer bij de Rabobank en stond aan de wieg van het meldpunt: ‘Sinds 2013 heeft dit enkele honderden meldingen opgeleverd, waaronder een aantal goede tips. Vier andere banken in Nederland hebben eenzelfde meldpunt; hierover hebben we destijds samen afspraken gemaakt. Zowel de Rabobank als de andere banken zijn heel positief over het meldpunt.’

‘Wij willen deze ‘best practice’ graag delen en andere organisaties stimuleren een vergelijkbaar meldpunt in te stellen’, vertelt Hafkamp. Daarom heeft de Rabobank samen met het CIO Platform Nederland (een onafhankelijke vereniging voor ICT van publieke en private organisaties) het initiatief genomen tot het ‘Coordinated Vulnerablity Disclosure Manifesto’. Dit is een intentieverklaring waarmee organisaties verklaren dat zij het principe van een meldpunt voor ICT-veiligheidslekken ondersteunen en zelf een meldpunt zullen gaan inrichten.

Tientallen organisaties hebben het manifest inmiddels ondertekend. Zij deden dit op 12 mei 2016 tijdens de ‘High Level Meeting Cybersecurity’, een bijeenkomst die door het Ministerie van Veiligheid en Justitie werd georganiseerd in het kader van het EU-voorzitterschap. Onder de ondertekenaars bevinden zich grote spelers op het gebied van zorg, transport, energie en financieel. Meer informatie over het manifest is te vinden op de site van het CIO Platform en bij het National Cyber Security Centre.

Over Content Editor V

Content editor of PressCenter website.

Schrijf Uw Reactie

Verplichte velden zijn gemarkeerd met een *

*

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Kies de person met
de hand omhoog *

Scroll To Top