Flere udenlandske virksomheder udlover dusører til hackere, der kan finde sikkerhedshuller i deres systemer. Herhjemme er belønningen ofte en politianmeldelse
Kan du hacke Google, Facebook, Uber eller Microsoft? Eller hvad med Pentagon? Hvis svaret er ja, så kan der faktisk være penge at hente.
For finder du et sikkerhedshul hos en virksomhed, der har et såkaldt bug bounty-program, kan du gå i banken og indløse en check, der varierer meget i størrelsen afhængig af både virksomheden og fejlen størrelse. I sidste måned lancerede Apple et nyt dusørprogram, der belønner hjælpsomme hackere med en dusør på mellem 25.000 og 200.000 dollars. Og til sammenligning tilbyder Microsoft et beløb på minimum 1.500 dollars, hvis man finder fejl i den nye browsersatsning Edge, der har erstattet Internet Explorer. De allerbedste hackere kan lave som dusørjægere, mens det for andre er en hobby. Ideen er selvfølgelig at lukke sikkerhedshullerne, før ondsindende cyber-superskurkene misbruer dem.
I Danmark skal man dog kigge langt efter lignende dusørprogrammer hos store virksomheder. Hverken Nets, bankerne eller KMD tilbyder hackere dusører. Og da en far til et børnehavebarn gjorde it-huset Infoba opmærksom på en sikkerhedsfejl i børnehavernes fælles intra-system, udløste det bestemt ikke en belønning. Han blev tværtimod politianmeldt og kendt skyldig i hacking. For principielt er det nemlig altid ulovligt at hacke.
Det er dog ikke alle virksomheder, der går så langt som at politianmelde de mennesker, der opdager sikkerhedshuller. For nylig blev Rejsekort A/S opmærksom på et problem i deres systemer. I princippet har brugerne af rejsekortet i en periode på knap halvanden måned kunnet se, hvor andre passagerer har brugt sine kort, hvilket jo bestemt ikke er meningen. Ifølge Version2 svarer måden, som fejlen er blevet fundet på, til at dirke en dør op, uden at gå ind. Vedkommende der opdagede fejlen gik dog ikke direkte til Rejsekort, men henvendte sig i stedet til Mediehuset Ingeniøren. Men Rejsekorts administrerende direktør, Bjørn Wahlsten siger til Version2, at organisationen i udgangspunktet vil kvittere den slags henvendelser med et “tak for hjælpen” frem for en politianmeldelse.
Læs også: Dusørjægere skal bekæmpe cyberkriminalitet
Datingbureau for hackere og virksomheder
For tre år siden startede fire danskere virksomheden CrowdCurity (nu Cobalt.io) en platform, der via crowd sourcing forbinder virksomheder med sikkerhedstestere fra hele verden. Med andre ord sætter de hackere sammen med virksomheder, der vil betale for at blive hacket.
Ifølge Esben Friis-Jensen, der er en af stifterne og CPO i Cobalt, er det langt fra alle danske virksomheder, der er klar til at sætte deres systemfejl i udbud. I hvert fald ikke i offentligt udbud, som eksempelvis Facebook og Google gør. Han forklarer, at de startede Cobalt, fordi de regnede med, at det ville være en fordel for alle virksomheder at have et offentligt bug bounty-program. De blev dog klogere.
“At køre et offentligt bug bounty-program kræver ret meget. Især som det er i dag. Du får meget støj fra folk, der egentlig ikke har forstand på sikkerhed. Og hvis du ikke i forvejen har en solid sikkerhedsafdeling og ikke har en udviklingscyklus, der er hurtig og agil, så giver det ikke mening. For så kan ikke alligevel ikke fikse problemerne med det samme,” siger han.
Til gengæld bruger andre virksomheder – herunder Apple – et privat bug bounty-program. De adskiller sig fra de offentlige programmer, ved at det ikke alle og enhver, der kan få lov til at forsøge at hacke sig ind i virksomhedens systemer. Virksomheden udvælger i stedet nogle hackere, som de vurderer er dygtige og pålidelige nok.
“Vi har udbetalt 10-20 dusører”
En af de få danske virksomheder, der bruger dusører, er regnskabssoftwarevirksomheden Billy Billing. Siden slutningen af 2013 har de kørt et privat bug bounty program gennem Cobalt.
Læs også: Fremtidens soldater har tynde arme og drikker meget cola
“Vi har gode erfaringer med det, selvom vi godt kunne ønske os, at vi fik lidt flere rapporter. Men at vi ikke gør det, må jo betyde, at vores system er godt sikret,” siger marketingchef hos Billy Billing, Katrine Rasmussen og fortæller, at de ved flere lejligheder har udbetalt dusører.
“Vi har udbetalt dusører ved flere lejligheder, men det har aldrig været alvorlige brister, som er blevet fundet, og derfor har det ikke været specielt store dusører. Vi har udbetalt dusører mellem 10 og 20 gange totalt siden 2013,” siger hun.
Hun forklarer, at de besluttede sig for at crowd source sikkerhedstests i stedet for at hyre en sikkerhedsekspert.
“Vi føler, at det er bedre at mange prøver at finde brister, end at det kun er en enkelt person, der gør det,” siger Katrine Rasmussen.
Hackere skal ikke kunne gemme sig
Med private bug bounty programmer kan man lettere juridisk kontrollere, om vedkommende har ret til at teste systemerne. Et dilemma, som Center for Cybersikkerhed under Forsvarets Efterretningstjeneste i Danmark beskriver som et benspænd, hvis man vil indføre dusørordninger i myndighedernes systemer.
For ondsindede hackere kan ifølge Thomas Lund Sørensen, chef for Center for Cybersikkerhed, bortforklare mislykkede hackerangeb og gemme sig bag ordningen, hvis de bliver taget på fersk gerning.
“Hvis de bliver opdaget under eller efter et hackingforsøg, vil de således kunne sige, at de agerede som et led i et officielt program, og at de havde til hensigt at kontakte myndighederne, når de havde indsamlet det nødvendige grundlag for at få deres dusør,” skriver Thomas Lund Sørensen i en mail og forklarer desuden, at der også kan opstå problemer, hvis man som led i en dusørjagt får adgang til følsomme data eller får et system til at gå ned, hvis en række lovlige hackerforsøg overbelaster serverne.
Læs også: “Sådan hacker jeg din virksomhed”
Center for Cybersikkerhed vil dog løbende følge udviklingen hos udenlandske myndigheder, der laver bug bounty programmer for eksempel Pentagon i USA.
KMD: Du bliver nok ikke politianmeldt
Den danske softwarevirksomhed KMD, der står bag en lang række systemer, der bliver brugt i det offentlige, benytter sig ikke at dusører til bug bounty hunters. De mener, at deres servere indeholder for mange kritiske data.
“Vi er betroet med en masse kritisk data fra vores kunder. Det betyder for os, at vi skal tænke os om en ekstra gang, selvom der er stort potentiale i bug bounty programmer. Vi har en forpligtelse overfor vores kunder – vi skal behandle deres data på en god måde. Dermed ikke sagt, at du ikke kan få den sikkerhed, der skal til, hvis du bruger bug bounty,” siger Ole Haugaard Madsen, Vice President i Group Security i KMD.
Skulle man alligevel finde en bug i KMD’s systemer, vil man ifølge ham som udgangspunkt ikke kunne se frem til en retsforfølgelse.
“Hvis man henvender sig, vil vi kigge ind i den enkelte sag og meget hurtigt sørge for at lukke ned og sætte en udvikler på at udbedre fejlen. Man vil som udgangspunkt ikke blive anklaget for noget, og vi vil være glade, hvis nogen finder noget, vi ikke selv har fundet,” siger han.
Ole Haugaard Madsen forklarer dog, at man altid vil kigge på de enkelte sager og vurdere, om fejlen er fundet som følge af et hackerangreb.
Læs også: Vi har ingen våben mod cyberkriminelle
Han fortæller, at hvis man i en virksomhed som KMD beslutter sig for at lancere et dusørprogram, skal man først og fremmest vurdere, hvor man prøver det af.
Test selv først
Ifølge Esben Friis-Jensen fra Cobalt skal virksomheder allerede have en solid sikkerhedsafdeling, før de overvejer et offentligt bug bounty program. Dels så de kan agere hurtigt, hvis en brist bliver opdaget, og dels så de kan sortere spam fra seriøse henvendelser fra it-ferme privatpersoner. Og så kræver det selvfølgelig også penge på kistebunden, når dusørerne skal udbetales.
Men hvis man ikke har mulighed for at belønne, eller af andre grunde ikke vil opfordre hackere til at prøve systemerne af, er der andre initiativer, man ifølge Esben Friis-Jensen kan prøve af.
“Generelt synes jeg, der skal være mere fokus på sikkerhed, og at man bør gøre mere for at sikkerhedsteste sine produkter. Når man har styr på det internt, kan man begynde at overveje, om man skal have et bug bounty program, og om det skal køres offentligt eller privat. Hvis man ikke har ressourcerne til et bug bounty program, kan man i stedet give mulighed for at rapportere problemer, uden der bliver lagt sag an,” siger han.
For principielt ér det som nævnt strafbart at lede efter sikkerhedshuller. Også selvom man bare dirker døren op uden at gå ind.
Læs også
F5 er en ung og ambitiøs virksomhed, som stræber efter at være Danmarks foretrukne leverandør indenfor lederudvikling. Vi har gennem de seneste 6 år samlet ca. 2000 ledere fra Danmarks største organisationer til sparring via netværksgrupper, foredrag, konferencer og...
Er man som leder medlem af et internt organisationsnetværk, kan det til tider være svært at tale rent ud af posen. Det mener Henriete Siff Thomsen, der er centerleder i Frederikssund Kommune. Hun føler, at der er et andet fortrolighedsrum i hendes netværk hos F5...
Lederudvikling kommer i mange afskygninger, men der er stor forskel på udbyttet, mener Stefan Schlie, der er Head of WTG Engineering i Vattenfall. Han går både til workshops og konferencer, men peger på, at et netværk med kontinuitet og intimitet har mest at byde...
Som medlem hos F5 er du altid på forkant med de nyeste trends og tendenser indenfor ledelse og lederudvikling. Vi samler nysgerrige og ambitiøse ledere, der har fokus på personlig udvikling gennem sparring og faglige diskussioner.
Vil du være med i et professionelt ledernetværk eller blot have adgang til alle vores konferencer og foredrag, så bliv klogere på dine muligheder her.
Indtast dine oplysninger og få adgang til PDF'en.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi sender dig en rabatkode, der giver dig én gratis workbook.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi sender dig en rabatkode, der giver dig én gratis workbook.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Indtast dine oplysninger og vi vil kontakte dig.
Fill out the form and we will contact you.
Fill out the form and get access to the PDF about the network.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.
Indtast dine oplysninger og få adgang til PDF'en om netværksgruppen.