Cybersecurity – Test u de sterkte van uw cybersecurity al met een ‘bug bounty’-programma?

Hoe test u of uw cybersecuritymaatregelen robuust genoeg zijn om uw onderneming afdoende te beschermen? En of er geen achterpoortjes in uw computersystemen of netwerken zitten die een cybercrimineel kan misbruiken? Een van de manieren is een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden of een ‘bug bounty’-programma. Het Centrum voor Cyberveiligheid België (CCB) publiceerde recent een praktische gids waarin het toelicht hoe een onderneming zelf eenvoudig zo’n beleid of programma kan opstarten en dat uiteraard op een 100% wettelijke manier.


Anneleen Dammekens, COMPETENTIECENTRUM RECHT & ONDERNEMING
02 december 2020

Tijdens de meest recente Cybertalk, georganiseerd door de Cyber Security Coalition, in samenwerking met het VBO en Agoria, lichtten Valéry Vander Geeten (CCB) en Stijn Jans (Intigrity) toe waarom bedrijven gebaat zijn bij de gestructureerde hulp van ethische hackers in de vorm van een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden (BGBK) of een ‘bug bounty’-programma.

Wat is een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden?
Met een BGBK geeft een onderneming experts, ethische hackers, de toelating om, onder bepaalde voorwaarden, op zoek te gaan naar potentiële kwetsbaarheden binnen hun computersystemen en netwerken. De bedoeling is dat zij de onderneming inlichten van de kwetsbaarheden die ze vinden, zodat ze die kan aanpakken. Wanneer de onderneming de experts die haar op een kwetsbaarheid wijzen daar ook voor beloont (bv. met een klein bedrag dat bepaald wordt op basis van de ernst van de kwetsbaarheid), dan spreekt men van een ‘bug bounty’-programma.

Juridisch gezien is een BGBK of een ‘bug bounty’-programma een vorm van toetredingsovereenkomst waarin de voornaamste contractuele bepalingen worden vastgelegd door de onderneming zelf in het BGBK. De experts aanvaarden de voorwaarden van dit contract wanneer ze beslissen om deel te nemen aan het programma.

Hoe komt een onderneming in contact met ethische hackers?
Een onderneming kan haar BGBK eenvoudigweg op haar website publiceren. Heel wat experts gaan immers actief op zoek naar ondernemingen met een BGBK of een ‘bug bounty’-programma. In dat geval is het wel belangrijk dat er binnen de onderneming een contactpersoon is voor de experts die kwetsbaarheden melden en die er ook voor zorgt dat de gemelde kwetsbaarheden doorstromen naar de bevoegde personen binnen de onderneming. Een soort coördinator dus.

Er zijn vandaag ook een heel aantal platformen die de rol van coördinator op zich nemen. Die platformen hebben tot doel om de duizenden cyberexperts die geïnteresseerd zijn inbug bounties’ in contact te brengen met ondernemingen in een omgeving van vertrouwen. Voorbeelden van dergelijke platformen zijn Intigrity (België); YesWeHack en Yogosha (Frankrijk); Hackerone en Bugcrowd (VS).

Waarom een BGBK starten?
Een BGBK of een ‘bug bounty’-programma heeft het voordeel dat men op een preventieve en flexibele manier, en met een beperkt budget (men betaalt alleen een beloning als er echt een resultaat is) toch een groot aantal experts (duizenden) bereikt, die de sterkte van de cyberbeveiliging van de onderneming actief kunnen testen.

Hoe starten?
Het CCB heeft een handige gids gemaakt om ondernemingen op weg te helpen. De gids bestaat uit twee delen. In het eerste deel worden de basisbegrippen en de beste praktijken toegelicht. In het tweede deel worden alle wettelijke aspecten geduid. Kortom, met deze twee documenten bent u meteen op de goede weg. Blijft u nog zitten met vragen? Dan is er ook nog een website met antwoorden op de meest gestelde vragen.

Bron: CCB

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEVEN

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.