Bug bounty-hackere er etiske hacker

Når du velger bedriftens systemer, velger du også en systemleverandør. Hver systemleverandør har en rekke tiltak som styrker IT-sikkerheten i systemet ditt.

Bug bounty-program øker systemenes IT-sikkerhet

Et slikt tiltak er å engasjere uavhengige etiske hackere og slippe dem løs i jakten på svakheter i systemene.

I Visma Net har vi et Bug bounty-program som setter klare vilkår, både for hackerne og for hva vi gjør med de sikkerhetshullene de finner. Når en bedrift etablerer et Bug bounty-program, samarbeider de gjerne med en tredjeparts bug bounty-plattform. Visma Nets plattform er Intigriti, Europas beste bug bounty-plattform. Testene foregår i kontrollerte miljøer, og hackerne respekterer våre retningslinjer, personvernerklæringer, vilkår og betingelser.

Les mer: Derfor bør IT-sikkerhet være det første du tenker på når du bytter ERP-system.

Transparens og tillit mellom bug bounty-hackerne og systemleverandøren

Så hvordan fungerer et Bug bounty-program rent praktisk?

Velmenende hackere får lovlig tilgang til å utfordre applikasjoner i systemene våre. Når de finner sårbarheter, rapporterer de disse tilbake til oss. Vi informerer utviklerne, som fikser problemet.

Hackerne bidrar til kjærkommen ukontrollert sjekk av systemene våre. Vi tester kontinuerlig systemene våre selv, også med hjelp fra eksterne aktører. Men etiske hackere som ser etter svakheter, og revisorer som sjekker at sikkerhetskontrollene og prosessene er fulgt og logget korrekt, er spesielt verdifulle.

Dette er vårt løfte til hackerne:

Tid vi bruker på hastegradsvurdering etter innlevert rapport: Maks fire arbeidsdager.
Tid til utbetalt dusør fra hastegradsvurderingen: Maks fire arbeidsdager.
Tid til fiksing av sårbarheten: Nitti dager.

Hackernes løfte til oss:

Gi detaljerte, men poengterte rekonstrueringer av produksjonsstegene.
Gi et tydelig angrepsscenario: Hvordan vil det berøre oss?
Kvalitet over kvantitet!
Ikke diskuter eller del sårbarheter uten vårt samtykke, inkludert PoCs på YouTube og Vimeo.

Les mer: Da Visma ble rammet av cyberangrep.

Dusøren

Hackerne kan levere rapporter i to ulike programmer: Enten i Responsible Disclosure-programmet eller i Bug bounty-programmet. I ekte westernstil får de etiske hackerne en dusør. Hva dusøren er, avhenger av hvilket program de rapporterer i, og alvorlighetsgraden de avdekker.

Når de leverer rapport for programmet Responsible Disclosure valid, eller ansvarsformidling, får hackerne en plass i vårt æresgalleri. I æresgalleriet hylles de under fullt navn og brukernavn. Dette er et bevis på at de har bidratt til å avdekke og rapportere sårbarheter i et system på en tillitsvekkende og ansvarlig måte. De får også gavekuponger for alle gyldige funn som har en bestemt alvorlighetsgrad.

Når de leverer rapport i Bug bounty-programmet, er dusøren annerledes fordi omfanget er begrenset. Bare visse domener og applikasjoner er en del av det. Hackerne belønnes med et beløp i henhold til alvorlighetsgraden – alt fra 100 euro for lav alvorlighetsgrad og helt opp til 7500 euro for de ekstremt kritiske.

Les mer: Derfor bør IT-sikkerhet være det første du tenker på når du velger ERP-system

Forpliktelser i ansvarsformidlingen

Ansvarsformidlingen inneholder forventninger som begge parter forplikter seg til å følge opp. Programreglene sier blant annet at de etiske hackerne skal:

Følge spillereglene og respektere Intigritis vilkår og betingelser.
Unngå å diskutere eller avsløre sårbar informasjon uten skriftlig tillatelse.
Avbryte test og umiddelbart levere rapport hvis de støter på brukerdata under testen, som for eksempel informasjon som kan avsløre noens identitet eller kredittkortinformasjon.
Avstå totalt fra phishing, vishing og smishing.
Avstå fra å utføre utpressing ved å forlange belønning før avdekking av sårbarhetsdetaljer,
Umiddelbart rapportere sårbarhetene de finner.

Til gjengjeld kan de vennligsinnede hackerne forvente at vi:

Skaper en trygg havn for sårbarhetsforskning i henhold til retningslinjene.
Samarbeider for å forstå og validere rapporten som leveres, inkludert en respons på bidraget innen tolv arbeidstimer.
Innenfor et rimelig tidsrom jobber med å rette opp sårbarhetene som er funnet.

De etiske hackerne er bare ett av flere viktige sikkerhetstiltak som styrker IT-sikkerheten i systemleverandørens produkter.

La oss ta en prat!

Lurer du på noe, eller ønsker du en demo av løsningen?

Fornavn *

Etternavn *

E-post *

Telefonnummer *

Firmanavn *

Rolle *

Når du oppgir dine personopplysninger ovenfor, vil Visma behandle disse i samsvar med vår personvernerklæring. Ja, jeg vil motta relevant informasjon basert på mine interesseområder fra Visma på e-post. Jeg kan når som helst melde meg av eller oppdatere mine interesser på Visma sin abonnementsside.

Tusen takk! Din henvendelse har blitt mottatt, og vi vil kontakte deg så fort som mulig!

Oi oi! Her ser det ut til å ha skjedd en feil!
Vennligst prøv å fyll ut, og send skjemaet på nytt!

Bug bounty-hackere er etiske hackere

Bug bounty-hackere er etiske hackere

Bug bounty-program øker systemenes IT-sikkerhet

Transparens og tillit mellom bug bounty-hackerne og systemleverandøren

Dusøren

Forpliktelser i ansvarsformidlingen

Kategorier

Siste artikler

Automatisert fakturahåndtering

Slik effektiviserer KI oppgavene i lønnssystemet

Slik sikres personvernet i det skybaserte lønnssystemet

La oss ta en prat!