Naast software as a service is er ook zoiets als ‘hacker as a service’. Steeds meer platformen in binnen- en buitenland leveren ethische hackers of digitale premiejagers (officieel: security specialisten) op bestelling. Ook in ons land. Maar werkt het ook?
Recent opende in ons land de dienst Intigriti de virtuele deuren. Intigriti kan je omschrijven als een uitzendkantoor voor (ethische) hackers. Ook al wil oprichter Stijn Jans zijn initiatief zo niet noemen. ‘Wij zijn een communicatieplatform waar we beveiligingsexperten in contact brengen met bedrijven die hiervoor openstaan’, vertelt hij aan Computable.
Beloning met euro’s én punten
Die securityspecialisten worden ingezet om beveiligingsgaten te vinden, deels een maatstaf op basis waarop ze worden beloond. ‘De deelnemende bedrijven kunnen een omschrijving opgeven wat er getest kan worden en indien hackers iets vinden, kunnen ze het rapporteren. En eventueel inderdaad een beloning ontvangen, via het platform’, legt Jans uit.
De beloning blijkt zich deels ook uit het leaderboard waar je een rankschikking vindt van een tiental hackers. Hij of zij (maar meestal is het een ‘hij’) die bugs vindt in een computersysteem en dit op een kwalitatieve manier doet, wordt beloond met punten. Hoe meer punten, hoe hoger op de rankschikking. ‘Na de eerste weken hebben zich toch al een dertigtal hackers aangemeld en voldoende resultaat geboekt om in de lijst te verschijnen.’
Wie zijn de klanten van Intigriti, en van welke sectoren?
Jans: ‘We werken al samen met verschillende klanten voor publieke en private programma’s. De publieke klanten zijn onder andere Kinepolis, Telenet, UZ Leuven en Mobile Vikings,…’
Iis dit volgens u de toekomst van security en security services?
Jans: ‘Je kan onze testen zien als aanvullend op klassieke testen (penetration testing). Het testen gebeurt niet alleen continu, maar je creëert op deze manier vanuit de markt ook een rechtstreeks communicatiekanaal naar de juiste mensen voor het rapporteren van securityfouten. Daarnaast zal je door het werken met honderden researchers er wel altijd enkele hebben die een probleem van een andere hoek benaderen. Dankzij die verschillende invalshoeken kunnen securityfouten, die anders over het hoofd worden gezien, ontdekt worden.’
Internationaal bestaat het concept al, met platformen als Bugcrowd. In België is het eerder nieuw. Waarmee willen jullie het verschil maken?
Jans: ‘Er zijn inderdaad al internationale platformen die dit ook aanbieden, vooral in de Verenigde Staten. Denk aan Bugcrowd en Hackerone. Onze focus ligt echter niet op de supergrote of bekende bedrijven als Twitter, Uber of aanverwante, maar op Europese bedrijven, groot en klein. We willen toegankelijk zijn voor iedereen.’
Zit ethische hacking soms op een dunne lijn? in hoeverre zijn ‘uw’ hackers ook ethisch?
Jans: ‘Enerzijds kan ethisch hacken op een legale manier, volgens de regels van bijvoorbeeld het Centre for Cybersecurity Belgium. Zij geven duidelijke richtlijnen over wat ethisch is en wat niet. Daarnaast zorgen we er ook voor dat alles voor beide partijen contractueel wordt vastgelegd. Het zijn net onze researchers die de bedrijven willen helpen om zich te verbeteren, en dit door mee te zoeken naar mogelijke fouten.’
De logische vraag: hoeveel kan je als interim-hacker verdienen?
Jans: ‘De beloning hangt af van de opdracht en de bug die gevonden wordt. Het bedrijf bepaalt vooraf hoeveel de waarde is van een bepaald veiligheidsrisico. De beloningen voor de publieke opdrachten bedragen op dit moment maximum 2.500 euro.’
De hacker als uitzendarbeider, het lijkt eens iets anders. Eerder werden hackers als geheime agenten omschreven. En onlangs ook als ambtenaren.
Professioneel heb ik het altijd wel ‘wat’ gevonden. Huur een hacker in. Maak ze deelgenoot van jouw product, dienst en laat ze vooral de gaten vinden waarvan niet vast staat of alles ook daadwerkelijk zal worden gemeld en later er toch niet onverhoopt iets negatief op duikt.
Op het net zijn er tal van hacktechnieken en manieren waarbij ik me kan voorstellen dat IT professionals zich uit professionele interesse in zouden verdiepen, zoals dat vroeger overigens ook al gebeurde. De tijd van alleen je eigen winkeltje en vooral niet verder kijken ligt al ver achter ons.
Nu de zelfstandige autodidactische instelling van de komende generaties IT professionals nog.