Hoe om te gaan met de melding van een ethische ("white hat") hacker?
Microsoft beloont hackers in een aantal gevallen, maar wat kunt u doen als een hacker zich bij u meldt met een digitale kwetsbaarheid in uw systeem? Zorg dat u hier over heeft nagedacht en er klaar voor bent.
Microsoft keerde onlangs een bedrag van $13.000 uit aan een ethische hacker die een ernstig lek meldde rondom het inloggen op e-mailaccounts in Hotmail en Office. Dit lek maakte het kwaadwillende mogelijk om zich voor te doen als een ander en op die manier toegang tot de e-mailaccount van die ander te krijgen. Microsoft dichtte het lek in twee dagen, middels een zogenaamde patch. Zodra u deze installeert, is het lek gedicht.
Een dergelijke melding kan een MKB bedrijf ook overkomen. Bijvoorbeeld, omdat een ethische hacker een fout in uw website ontdekt,omdat er een kwetsbaarheid zit in een product dat u verkoopt of in een product dat u heeft afgenomen. Ik geef u een voorbeeld uit onze eigen praktijk. Het betreft een productiemachine bij een bedrijf dat onze cyber security scan afnam. Deze machine bleek hun kroonjuweel te zijn. De machine bleek echter verbonden met het internet, zonder door een wachtwoord te zijn beschermd. Dit was bedoeld om extern onderhoud mogelijk te maken en was zo ingesteld door de leverancier/producent. Dat maakte echter niet alleen de machine, maar het gehele bedrijf kwetsbaar. Iedere kwaadwillende kon zich hierdoor digitaal toegang verschaffen tot de (instellingen van de) machine en de verdere bedrijfsvoering van het bedrijf.
Stel dat deze zwakheid door een hacker was opgemerkt en hij contact met het bedrijf had opgenomen? Hoe had men dat kunnen of moeten reageren? Het kan u ook overkomen. Wat zou u doen als u morgen wordt benaderd door een ethische hacker die u waarschuwt voor een kwetsbaarheid binnen uw bedrijf? Daarvan zult u wellicht schrikken, maar er zijn een aantal dingen die u kunt doen. Het begint met een dergelijke melding serieus te nemen. Zorg bijvoorbeeld voor één aanspreekpunt binnen uw bedrijf. Iemand die begrijpt waarom de melding wordt gedaan en die stappen op weg naar een oplossing kan zetten. Stappen gericht op het veiliger maken van uw bedrijf(svoering) en haar omgeving. Als laatste is er de hacker zelf. Maak ook daar een afspraak mee. Bijvoorbeeld over de tijd die u nodig heeft om de kwetsbaarheid te repareren en welke beloning er is. Dit hoeft geen geld te zijn. Erkenning en waardering zijn vaak ook erg belangrijk.
Zie het zo: Een melding is een cadeau aan u. Bereid u daarop voor. Een kwaadwillende meldt de zwakheid niet, hij buit haar uit. Op de website van het Nationale Cyber Security Centrum treft u een publicatie aan die uitgebreider op dit onderwerp (responsible disclosure) ingaat.
