Waarom Torfs, Telenet en bpost zich laten hacken door intigriti
'Nodig vrijwillig een bende hackers uit!' Dit advies klinkt tegenstrijdig met alle cybersecurity -tips op dit platform. En toch stelt Stijn Jans, oprichter van het ethische hackersplatform intigriti, dit voor. Waarom en hoe?
Enkel een hacker kan denken als een hacker. Dat is meteen de voornaamste reden om hackers op een gecontroleerde manier los te laten op je app, je software en je websites. Enkel zij kunnen de bugs en kwetsbaarheden opsporen die hackers met minder koosjere bedoelingen proberen te misbruiken.
Ethische hackers als wapen tegen criminele hackers. Zo zien Stijn Jans en zijn bedrijf intigriti het.
Intigriti is het eerste Vlaamse platform dat ethische hackers inzet om op zoek te gaan naar veiligheidsproblemen in online diensten van diverse bedrijven.
Stijn richtte het op in 2017 naar analogie met de Amerikaanse platformen HackerOne en Bugcrowd. De medestichters van intigriti zijn Wim Bijnens (ondernemer), Wouter Joosen (KU Leuven en ex-Ubizen) en Lieven Desmet (KU Leuven).
De bekende ethische hacker Inti De Ceukelaire is het hoofd van het hackerscollectief. Hij won in 2018 het officieuze WK voor hackers. "Ik ben de man van de zeer vreemde bugs", lacht Inti in de video hieronder. "De meeste bugs vind ik tijdens het douchen."
Liever hackers dan consultants
“Vroeger organiseerde ik penetration testing bij bedrijven”, vertelt Stijn. “Een bedrijf vertelde me welk budget het had voor veiligheidstesten. Vervolgens ging een consultant aan de slag voor dit budget, om aan het einde een rapport te schrijven over de gevonden fouten.”
Deze aanpak klopte niet meer met de realiteit, vond Stijn. “Je vertrouwt er op dat één iemand alle problemen vindt binnen een vastgelegde tijd”, zegt hij. “Maar wie zegt dat de toegemeten tijd voldoende is? Wie zegt dat die consultant altijd uiterst alert werkt? En dat hij gespecialiseerd is in de fouten die jij hebt gemaakt in software, website of apps?”
Nee, het moest anders. Meer outside-the-box. Minder eenmalig. Meer continu.
➡ Voorkom dat jouw onderneming slachtoffer wordt. Start met deze 10 tips om je onderneming beter te beveiligen tegen hackers
Stijn vond de oplossing in het professioneel inzetten van ethische hackers. “Er zijn heel wat mensen die als hobby zoeken naar fouten in software van bedrijven”, zegt de ondernemer. “Zij zijn creatief en gepassioneerd, helemaal wat nodig is fouten op te sporen. Er bestaan namelijk geen typische problemen in cybersecurity .”
Eens ethische hackers een bug vinden, melden ze dit in de hoop een mooie premie te ontvangen. Hoe groter het probleem, hoe groter de beloning.
Maar toen dacht ik: wat als we deze premiejagers nu eens verenigen, hun identiteit controleren en aan het werk zetten bij bedrijven die hierom vragen?”
150% meer hackers
Vandaag verenigt het Vlaamse platform 25.000 ethische hackers uit 130 landen. Dit is een stijging van 150% ten opzichte van de 10.000 ethische hackers in het Intigriti-netwerk vorig jaar.
Van een groot aantal onder hen werd de identiteit gecontroleerd. Zij speuren permanent naar fouten in software, apps en websites van bedrijven uit België, Nederland, Duitsland, het Verenigd Koninkrijk en de Verenigde Staten.
Enkele bekende namen van Belgische bedrijven die zich maar al te graag laten hacken? Schoenen Torfs, Hoplr, KU Leuven, Telenet, Base, Tomorrowland, Brussels Airlines, Argenta, Tempo-Team, Kinepolis, Itsme en bpost.
Op een jaar tijd ging het Belgische ethische hackersplatform Intigriti van 10.000 naar 25.000 aangesloten ethische hackers.
“Grote namen en grote premies lokken ethische hackers”, zegt Stijn. “Zo hebben we ooit een premie van 45.000 euro uitgeloofd, al kan ik niet zeggen of de premie ook verdiend werd."
"Anderzijds zijn er ook bedrijven die enkel een virtuele dankjewel beloven, zoals het sociaal netwerk voor je buurt Hoplr. En ja, ook dat wordt geholpen door onze hackers.”
Hoe nodig je een hacker uit?
01. Creëer je programma. Bepaal het doel en je totale premie. Splits deze beloningen volgens moeilijkheid. Leg de regels vast waaraan ethische hackers zich moeten houden.
02. Selecteer hackers. Je kiest zelf aan wie je je problemen voorlegt: enkel aan goedgekeurde hackers? Enkel op uitnodiging? Aan iedereen? “Veel bedrijven stellen hun programma voor iedereen open”, zegt Stijn. “Ze weten dat Jan en alleman ook gebruik maakt van hun software, apps en website. Dus waarom ze niet laten testen door iedereen?”
03. Ontdek kwetsbaarheden. De rapporten van de hackers duiden je digitale kwetsbaarheden aan. Je weet dat het reële problemen zijn omdat een platform zoals intigriti ze dubbelcheckt.
04. Verbeter je beveiliging. Verbeter je code op basis van de rapporten. Doe dit continu. Zo timmer je alle lekken dicht voor criminele hackers.
Vraag je groeisubsidie zoals intigriti
Intigriti zette de kmo-groeisubsidie van VLAIO in om te groeien. Deze steunmaatregel is in te zetten voor strategisch advies van een externe dienstverlener of de bruto loonkost van de aanwerving van een strategisch profiel. Iets voor jouw onderneming?