Begreppet hackare förknippas i regel med cyberbrottslighet och skadliga intrång, men alla hackare är inte av ondo. Det finns etiska hackare som använder sina kunskaper till att hjälpa företag att upptäcka svagheter i IT-säkerheten, något som också hjälper företagen att stärka sina säkerhetsåtgärder och leverera så säkra produkter som möjligt. Ett företag som arbetar på det här sättet är Visma, vars affärssystem Visma Net och Visma Business vi på WH Group utgår ifrån i våra systemlösningar. Så här fungerar deras bug bounty-program där de samarbetar med goda hackare för att förbättra IT-säkerheten i systemen.
Svarta hattar och vita hattar
Inom hackervärlden används begreppen black hat- och white hat-hackare. Det är en terminologi som har lånats från gamla västernfilmer där hjälten i regel bar en vit hatt medan de onda karaktärerna bar svarta hattar.
Black hat-hackare är skickliga cyberbrottslingar som använder sina IT-kunskaper för att hitta svagheter i IT-system och attackera dem för egen vinning. Det kan till exempel vara genom att stjäla finansiell eller känslig information, genomföra olovliga transaktioner, utföra identitetsbedrägerier eller ransomware-attacker. En del black hat-hackare saboterar också IT-system hos organisationer de inte gillar för att orsaka kaos. Det finns en vanlig bild av brottsliga hackare som enstöringar som jobbar ensamma, men det är inte ovanligt att black hat-hackare verkar som ett företag, komplett med licensavtal och kundtjänst, där de säljer skadlig programvara och sina tjänster till brottsliga organisationer. Enligt undersökningsföretaget Cybersecurity Ventures förutspås den globala cyberbrottsligheten att kosta 7 biljoner USD under 2022. Skulle den kostnaden räknas som ett land skulle cyberbrottslighet vara världens tredje största ekonomi efter USA och Kina.
White hat-hackare, som även kallas för etiska eller goda hackare, använder istället sina kunskaper till att identifiera säkerhetsbrister i IT-system så att de som utvecklar eller använder systemen kan göra förbättringar och därmed öka säkerheten. En del av de etiska hackarna är anställda medan andra arbetar som frilansande säkerhetsspecialister åt företag som vill ha hjälp med att hitta eventuella hål i säkerheten. Att etiska hackare samarbetar med företag för att bemöta cyberhot är något som blir allt vanligare. Antalet goda hackare som rapporterar sårbarheter till företag har ökat med 143 % sedan 2018. De här samarbetena sker i regel under organiserade omständigheter, så kallade bug bounty-program.
Så här fungerar ett bug bounty-program
En orsak till varför det kan uppstå säkerhetssvagheter inom IT-system är att de innehåller enorma mängder kod. Modern mjukvara är så pass komplex att inte ens automatiserade tester och kontroller har möjlighet att fånga upp alla buggar i koden. För att kunna göra jakten på säkerhetsproblem snabbare och effektivare tar många företag hjälp av externa experter för att testa säkerheten. Tanken bakom samarbetet är att om en etisk hackare kan ta sig in i systemet så kan en cyberbrottsling också göra det.
Det här något som oftast sker via ett så kallat bug bounty-program. Det är ett program där en organisation bjuder in white hat-hackare som säkerhetsexperter för att söka efter svagheter i mjukvaran, webbplatsen eller IT-infrastrukturen som skulle kunna utnyttjas för attacker. Det gör att det går att upptäcka och åtgärda buggar och sårbarheter i systemen innan cyberbrottslingarna kan utnyttja bristerna. Ett bug bounty-program sker i en lagligt kontrollerad miljö där målet och reglerna för testningen bestäms i förväg. Den hackare som upptäcker en svaghet lämnar en rapport som förklarar de steg hackaren tog för att utnyttja sårbarheten, dessa kan beställaren sen använda för att förbättra säkerheten.
När ett företag sätter upp ett bug bounty-program sker det i regel i samarbete med en tredjeparts plattform, exempelvis Intigriti, HackerOne, Bugcrowd och OpenBugBounty. Plattformens roll är att samordna och koppla samman de företag som behöver hjälp med de hackare som agerar säkerhetsspecialister. Företagen betalar för att använda plattformen medan de goda hackarna kan använda den gratis. Det här vinner båda parter på. Det beställande företaget får testa sin säkerhet i praktiken och se hur deras system klarar sig i en verklig cyberattack. Den hacker som upptäcker en svaghet får i regel ekonomisk kompensation samt erkännande (reputation points, Bug Bounty Hall of Fame etc.). Det här erkännandet har ett värde genom att det gör hackaren synlig som säkerhetsexpert och öppnar dörrar för framtida jobb och uppdrag.
Så arbetar Visma med etiska hackare och IT-säkerhet
På WH Group utgår vi från affärssystem från Visma i våra lösningar. Visma är ett av de företag som förstärker säkerheten i sina produkter med hjälp av bug bounty-program och etiska hackare. Infrastrukturen för programmet sker via plattformen Intigriti som är den ledande plattformen i Europa för bug bounty och etiskt hackande.
I bug bounty-programmet uppmanas etiska hackare att testa och utmana Vismas applikationer. Om en hacker hittar en sårbarhet eller bugg rapporteras det tillbaka till Visma som åtgärdar bristen. Den här processen kallas ofta för en ”äkta kvalitetskontroll” av utvecklare och ingenjörer. Hackaren belönas med en plats i Bug Bounty Hall of Fame – ett kvalitetserkännande som värderas mycket högt av rekryterare och företag.
Joona Hoikkala som är Application Security Architect hos Visma säger så här om programmet: ”Bug bounty-programmet låter oss utnyttja den enorma kraften hos tusentals briljanta hjärnor över hela världen. Dessa personer har incitament att kontinuerligt leta efter och ansvarsfullt avslöja säkerhetsfrågor för Visma.”
Som ett komplement till bug bounty-programmet har Visma även ett så kallat Responsible disclosure-program. Det innebär att etiska hackare som råkar upptäcka en sårbarhet kan varna företaget direkt och rapportera sina resultat utan att det orsakar några problem för dem. Responsible disclosure är inte organiserat på samma sätt som ett bug bounty-program där mål och riktlinjer är satta på förhand. Det ses mer som en öppen kanal för hur etiska hackare kan rapportera upptäckta brister, något som stärker IT-säkerheten ytterligare hos företaget.
På det här sättet utnyttjar Visma den samlade kraften och kompetensen hos de goda hackarna för att förstärka säkerheten så mycket som möjligt i sina produkter.
Cybersäkerhet handlar även mycket om hur system och tjänster används på ett säkert sätt i det dagliga arbetet. Vill du veta mer om vad du själv kan göra för att öka din IT-säkerhet rekommenderar vi att du läser vårt inlägg ”Så skyddar du ditt affärssystem med cyber-security”
Funderar du över ditt systemstöd?
Vi är proffs på affärssystem och att utveckla våra kunders verksamhet. Ta hjälp av oss att analysera era behov så matchar vi er med den affärssystemlösningen som passar just er.