Publisert:
26.6.2024
Sist endret:
26.6.2024
Forfatter:
Stian Estil

Bug bounty-hackere er etiske hackere

Etiske hackere styrker IT-sikkerheten i Visma Softwares forretningssystemer i vårt Bug bounty-program.

Når du velger bedriftens systemer, velger du også en systemleverandør. Hver systemleverandør har en rekke tiltak som styrker IT-sikkerheten i systemet ditt. 

Bug bounty-program øker systemenes IT-sikkerhet 

Ett av disse er å engasjere uavhengige etiske hackere, og slippe dem løs  i jakten på svakheter i systemene. 

I Visma Software har vi et Bug bounty-program som setter klare vilkår, både for hackerne, og for hva vi gjør med de sikkerhetshullene de finner. Når en bedrift etablerer et Bug bounty-program, samarbeider de gjerne med en tredjepart bug bounty-plattform. Vismas er Intigriti. Intigriti er Europas beste bug bounty-plattform. Testene foregår i kontrollerte miljøer og hackerne respekterer våre retningslinjer, personvernerklæringer, vilkår og betingelser.

Les mer: Derfor bør IT-sikkerhet være det første du tenker på når du bytter ERP-system.

Transparens og tillit mellom bug bounty-hackerne og systemleverandøren

Så. Hvordan fungerer et Bug bounty-program rent praktisk? 

Velmenende hackere får lovlig tilgang til å utfordre applikasjoner i systemene våre. Når de finner sårbarheter, rapporterer hackeren disse tilbake til oss, og vi informerer utviklerne som fikser problemet.

Hackerne bidrar til kjærkommen ukontrollert sjekk av systemene våre. Vi tester kontinuerlig systemene våre selv, også med hjelp fra eksterne aktører. Men etiske hackere som ser etter svakheter, og revisorer som sjekker at sikkerhetskontrollene og prosessene som skal være der er fulgt og logget korrekt, er spesielt verdifulle.

Les mer: Det spøker for datasikkerheten i norske bedrifter.

Visma Softwares løfte til hackerne:

  • Tid vi bruker på hastegradsvurdering etter innlevert rapport: Maks fire arbeidsdager.
  • Tid til utbetalt dusør fra hastegradsvurderingen: Maks fire arbeidsdager.
  • Tid til fiksing av sårbarheten: Nitti dager.

Hackernes løfte til oss: 

  • Gi detaljerte, men rett-til-poenget rekonstruering av produksjonssteg.
  • Gi et tydelig angrepsscenario. Hvordan vil det berøre oss?
  • Kvalitet over kvantitet!
  • Ikke diskuter eller del sårbarheter uten vårt samtykke, inkludert blant annet PoCs på YouTube og Vimeo.

Les mer: Da Visma ble rammet av cyberangrep.

Dusøren

Hackerne kan levere rapporter i to ulike program. Enten i Responsible Disclosure-programmet eller i Bug bounty-programmet. I kjent western-stil, får de etiske hackerne en dusør. Hva dusøren er, avhenger av hvilket program de rapporterer i og alvorlighetsgraden de avdekker.

Når de leverer rapport for programmet Responsible Disclosure valid, eller ansvarsformidling, får hackerne en plass i vårt æresgalleri. I æresgalleriet anerkjennes deres prestasjoner, samt deres fulle navn, og brukernavn.

Dette er et bevis på at de har bidratt til å avdekke og rapportere sårbarheter i et system på en tillitsfull og ansvarlig måte. De får også gavekuponger for alle valide funn som har en bestemt alvorlighetsgrad. 

Når de leverer rapport i Bug bounty-programmet, er dusøren annerledes fordi omfanget er begrenset. Bare visse domener og applikasjoner er en del av det. Hackerne belønnes med et beløp i henhold til alvorlighetsgraden, i alt fra 100 euro for lav alvorlighetsgrad, og helt opp til 7500 euro for de ekstremt kritiske.

Les mer: Krav og spørsmål du bør stille din systemleverandør.

Forpliktelser i ansvarsformidlingen

Ansvarsformidlingen inneholder forventninger som begge parter forplikter seg til å følge opp. Programreglene sier blant annet at de etiske hackerne skal:

  • Følge spillereglene og respektere Intigritis vilkår og betingelser.
  • Hackerne skal ikke diskutere eller avsløre sårbar informasjon uten skriftlig tillatelse.
  • Avbryte test og umiddelbart levere rapport hvis de støter på brukerdata under testen, som for eksempel informasjon som kan avsløre noens identitet eller kredittkortinformasjon.
  • Phishing, vishing og smishing er forbudt.
  • Ikke tillatt å utføre utpressing ved å forlange belønning før avdekking av sårbarhetsdetaljer,
  • Rapportere de sårbarhetene de finner umiddelbart.

Til gjengjeld, kan de vennligsinnede hackerne forvente at vi:

  • Skaper en trygg havn for sårbarhetsforskning, relatert til retningslinjene.
  • Samarbeider for å forstå og validere rapporten som leveres, inkludert en respons på bidraget innen tolv arbeidstimer.
  • Vil jobbe med å rette opp sårbarhetene som er funnet innenfor et rimelig tidsrom.

De etiske hackerne er bare ett av flere viktige sikkerhetstiltak som styrker IT-sikkerheten i systemleverandørens produkter.  Se også hvordan styringssystem for informasjonssikkerhet ivaretar systemenes datasikkerhet.