Het gebruik van ‘ethical hacking’ zet zich door in ons land. Begin volgend jaar zullen ook Belgische banken ermee te maken hebben. Dit op vraag van de Nationale Bank. Ethical hacking breekt dus verder door in ons land, maar wat kan je ermee verdienen?
De Nationale Bank is bezig met het opzetten van een zogenaamd Tiber-team, dat de testhackings bij de financiële instellingen in goede banen moet leiden. Dat bericht staat in De Tijd.
Controle van buitenaf
De tests worden gedaan door externe consultants die de banken en andere financiële instellingen mee mogen aanstellen. Een tien- à vijftiental bedrijven komen in aanmerking om die tests uit te voeren. Legaal is het intussen wel. Zo keurde de Europese Centrale Bank recent een kader goed waardoor de testaanvallen in het heel Europa kunnen plaatsvinden.
Het it-personeel van de bank die cyberaanvallen monitoren en moeten afweren, zullen niet weten wanneer men de betreffende testaanvallen zal uitvoeren. Enkel een controleteam houdt een oogje in het zeil. Het gaat dus om een test of controle van buitenaf. ‘Dergelijk testen zie ik als aanvullend op het klassieke penetration testing’, zo liet oprichter Stijn Jans van het platform Intigriti zich onlangs ontvallen in een interview met Computable.
Etentje de dag erna
Intigriti kan je omschrijven als een uitzendkantoor voor (ethische) hackers. Ook al wil Stijn Jans zijn initiatief zo niet noemen. ‘Wij zijn een communicatieplatform waar we beveiligingsexperten in contact brengen met bedrijven die hiervoor openstaan’, zo klinkt het.
Nieuw is het verschijnsel dus zeker niet. Enkele maanden geleden vertelde Bjorn Van Reet, cio van Kinepolis, al in het Computable Café op de Infosecurity Belgium en Data & Cloud Expo-beurzen over het gebruik van ethische hackers.
Kinepolis maakt hiervoor ook gebruik van de diensten van Intigriti, dat naast Kinepolis ook al zijn diensten aanbiedt aan Bpost, Colruyt, Mobile Vikings en Telenet. Ethische hackers halen fouten uit systemen die voorheen onder de radar bleven. Die fouten duiken voor de buitenwereld vaak snel op. ‘Ik had bij aanvang een etentje beloofd als er een beveiligingsfout zou worden gevonden. De dag erna kreeg ik al telefoon met de vraag of ik mijn agenda kon bovenhalen om dat etentje in te plannen’, vertelde Bjorn Van Reet bij wijze van anekdote in het Computable Café.
Het was volgens Van Reet geen al te zware securityfout, maar wel interessant om te signaleren en er een mouw aan te passen.
Beloningen tot 5.000 euro
Los van de anekdote bij Kinepolis, kunnen de hackers, die bij Belgische bedrijven onderzoek doen via Intigrity, ook effectief iets verdienen. Om te beginnen zijn er de ‘reputatiepunten’ die hackers kunnen opstrijken op het platform.
Al gaat het ook om harde cash. Als hackers binnen het programma slagen fouten te vinden, krijgen ze daar bij sommige ondernemingen beloningen tot vijfduizend euro voor. De beloning hangt ook af van de grootte van de gesignaleerde securityfout.
Niet iedereen betaalt (evenveel)
Organisaties als Brussels Airlines, Colruyt, Kinepolis, KU Leuven en Test Aankoop betalen, volgens een rondvraag van De Tijd, vierhonderd à vijfhonderd euro voor een securityfout van gemiddeld niveau. Voor een kritische securityfout, zoals toegang tot persoonsgegevens, situeert de beloning tussen tweeduizend à 2500 euro. Buitengewone fouten of fouten met een brede impact leveren dus zelfs vijfduizend euro op.
Toch stapt niet elk bedrijf in dit beloningssysteem. Een bedrijf als Telenet geeft bijvoorbeeld zo goed als geen beloningen aan ethische hackers. En als de telecomoperator dat wel deed, dan ging het om ‘enkele honderden euro’s’. Maar alleen bij heel ernstige beveiligingslekken.
