Security

08 sep, 2016

Ethische hackers, hoe ga je er mee om?

Nu steeds meer ethische hackers internet afstruinen op zoek naar kwetsbaarheden, neemt het risico dat je bedrijfssysteem gehackt wordt toe. Wat zijn ethische hackers en hoe ga je als bedrijf om met een ethische hacker die een melding maakt van een beveiligingslek?

3 minuten

Bedrijven verbinden steeds meer apparaten en systemen met internet. Daarmee groeit ook het risico dat kwaadwillenden systemen proberen binnen te dringen. Kwetsbaarheden in de ict-systemen komen op verschillende plaatsen in hard- en software voor en kennen verschillende gradaties.

Systemen kunnen uitvallen, data kunnen gewijzigd worden en gegevens kunnen toegankelijk worden voor personen die daar niet toe gemachtigd zijn. Daardoor staat zowel de beschikbaarheid van data en diensten, als de integriteit en vertrouwelijkheid van bedrijven op het spel. Ethische hackers kunnen uitkomst bieden. Maar hoe ga je daar op de juiste manier mee om?

De businesscase van goede security

Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In deze longread lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.

Downloaden
IWMW-MT Select-248x352px-1

Wat zijn ethische hackers?

In het speelveld van beveiliging van ict-systemen is een groeiende groep ethisch hackers actief. Anders dan hackers die werken in opdracht van criminele organisaties of inlichtingendiensten van bedenkelijke regimes, werken ethische hackers vanuit een meer ideologische inslag.

Ze willen bijvoorbeeld het internet veiliger maken of grote risico’s aankaarten door kwetsbaarheden in systemen die persoonsgegevens bevatten bloot te leggen. Soms werken ethische hackers op eigen initiatief, maar steeds vaker werken ze in opdracht van bedrijven en zoeken ze binnen geldende wet- en regelgeving naar kwetsbaarheden in systemen.

In essentie is een ethisch hacker dus een computer- en netwerk- beveiligingsconsultant die systemen en netwerkinfrastructuur met zogenoemde penetratietesten, ook wel pentesting of intrusion testing genoemd, onderzoekt op beveiligingsfouten die kwaadwillende hackers zouden kunnen misbruiken.

Hoe werkt een ethische hacker?

Tijdens een ethische hack worden computersystemen onderzocht op een manier die vergelijkbaar is met de wijze waarop criminele hackers te werk gaan. Het verschil tussen die kwaadwillende computerkrakers en de ethische hackers is de manier waarop ze omgaan met de ontdekte kwetsbaarheden.

Waar een computerkraker misbruik maakt van de aangetroffen zwakheden in de beveiliging, voorziet een ethisch hacker het bedrijf van een rapportage van de beveiligingsproblemen en geeft aan wat er moet gebeuren om de kwetsbaarheden weg te nemen.

Hoe reageer je op een ethische hack?

Om verantwoord om te gaan met het melden van kwetsbaarheden zijn richtlijnen opgesteld. Zo heeft het Nationaal Cyber Security Centrum (NCSC), een organisatie die valt onder het Ministerie van Veiligheid en Justitie, een leidraad opgesteld hoe bedrijven om kunnen gaan met meldingen van ethische hackers en kunnen zorgen dat een kwetsbaarheid op een verantwoorde manier openbaar wordt gemaakt.

Dat worden ook wel responsible disclosure genoemd. Doel is dat de bekendmaking van de kwetsbaarheid niet leidt tot onverantwoorde beveiligingsrisico’s, reputatieschade of financiële problemen.

In het document staan procedures omschreven over de wijze waarop het bedrijf reageert op een melding, op welke termijn er een reactie wordt gegeven, of er afspraken zijn over een financiële beloning voor het melden van een kwetsbaarheid, of een melder daar openbaar credits voor krijgt, enzovoort.

Wanneer maak je het beveiligingslek openbaar?

Eén van de concrete afspraken die NCSC in het document benoemt is de termijn waarop je een beveiligingslek eventueel bekend maakt. Uiteraard moet het lek eerst gedicht worden voor je openbaar maakt dat er een beveiligingslek was. 60 dagen is volgens NCSC een redelijke standaardtermijn voor kwetsbaarheden in software.

Het verhelpen van kwetsbaarheden in hardware is volgens de organisatie lastiger te realiseren. Daarom is hier een standaardtermijn van 6 maanden redelijk. Los daarvan adviseert NCSC om de melder en overige betrokkenen op de hoogte te houden van de voortgang van het proces.

Wat mogen ethische hackers doen?

Niet alleen het getroffen bedrijf krijgt te maken met bepaalde richtlijnen, ook een goede ethische hacker houdt zich aan bepaalde spelregels. Zo moeten ethische hackers gevonden lekken zo snel mogelijk melden om te voorkomen dat kwaadwillenden er misbruik van maken.

Daarnaast dient de ethische hacker het beveiligingslek in vertrouwen bij de organisatie te melden om te voorkomen dat anderen ook toegang kunnen krijgen tot deze informatie.

Geen data kopiëren, wijzigen of verwijderen

Andere belangrijke restrictie is dat ethische hackers het gevonden beveiligingslek niet verder uitnutten dan noodzakelijk is om de kwetsbaarheid vast te stellen. Zo mogen ze geen gegevens van het systeem kopiëren, wijzigen of verwijderen.

Een geboden alternatief hiervoor is het maken van een directorylisting van een systeem. Ook het herhaaldelijk toegang verkrijgen tot het systeem of de toegang delen met anderen is niet toegestaan.

De businesscase van goede security

Wil je als IT-manager graag genoeg geld en aandacht voor security binnen je bedrijf, maar weet je niet goed hoe je dit aan moet pakken? In deze longread lees je hoe je de directie kunt overtuigen met een ijzersterke businesscase.

Downloaden
IWMW-MT Select-248x352px-1