Hackers inhuren om de kans op cybercriminaliteit te verkleinen? Veel grote organisaties doen het. Het ethische hackersplatform Intigriti speurt non-stop naar gaten en zwakheden in digitale bedrijfsbeveiligingen. ‘Zelfs de Europese Commissie is klant bij ons.’
Bug bounty-programma’s: in de Verenigde Staten bestaan ze al langer, bij ons zijn ze vrij nieuw. Volgens dat principe loven grote ondernemingen geldpremies uit aan externe IT-specialisten die erin slagen om gaten in hun digitale bedrijfssystemen te ontdekken. De experts noemen zichzelf ethische hackers: ze gebruiken hun computerkraakkennis op een constructieve manier, en houden daar een aardige duit aan over.
17.000 ethische hackers
Zo ook in ons land. Het Belgische Intigriti haalde in juni van dit jaar in een eerste investeringsronde meer dan vier miljoen euro aan groeikapitaal op. De start-up beheert een internationaal platform waarbij inmiddels 17.000 ethische hackers uit 130 landen zijn aangesloten. Omdat ze met zoveel zijn, blijven ze de malafide – vaak solo opererende – hackers een stap voor. ‘Onze mensen testen doorlopend websites, applicaties en de online-infrastructuur van 75 aangesloten organisaties op veiligheidsfouten’, zegt CEO en oprichter Stijn Jans. Intigriti mag onder meer bpost, Telenet, Colruyt, Kinepolis en andere beursgenoteerde bedrijven tot zijn cliënteel rekenen.
Sommige bedrijven loven premies tot 50.000 euro uit voor het vinden van een beveiligingsgat in hun digitale systemen.
Gratis tickets?
‘Die bedrijven bepalen de regels van wat er mag getest worden, en hoever we daarin mogen gaan’, zegt Stijn Jans. ‘Onze researchers vallen die doelwitten online aan, op de meest uiteenlopende manieren.’
Door creatief na te denken en inventief te speuren, ontdekken ze technische fouten, kwetsbaarheden en gevaarlijke achterpoortjes. Die kunnen de bedrijven wegwerken of extra beveiligen. Zo wilde Brussels Airlines graag weten of malafide hackers erin zouden slagen om gratis tickets te boeken, of reizigersinformatie op te vragen en te wijzigen.
Prijzengeld
Intigriti biedt zijn dienstverlening aan via een abonnement. Klanten betalen een maandelijkse prijs om hun online targets onafgebroken te laten monitoren en testen. Wordt er niets gevonden, dan betalen ze niks.
Maar grote organisaties beloven ook prijzengeld voor gevonden fouten. Hoe groter, crucialer of belangrijker die fout, hoe groter de bonus. ‘Sommige bedrijven loven premies tot 50.000 euro uit voor het vinden van een beveiligingsgat in hun digitale systemen’, zegt Inti De Ceukelaire. Hij is head of hackers bij Intigriti en zopas uitgeroepen tot IT Person of the Year door Computable.
Dat geld gaat integraal naar de specialist die de fout of het risico gevonden heeft. Zo houdt Intigriti zijn medewerkers extra scherp, klinkt het. En dat loont blijkbaar. ‘Een van onze mensen is pas vorig jaar afgestudeerd, maar rijdt vandaag al rond in zijn eigen Tesla’, zegt Stijn Jans. ‘Die kocht hij met de beloningen die hij verzamelde via ons ethische hackersplatform.’
Onze leden kiezen in de eerste plaats uit overtuiging voor onze manier van werken: omdat ze de wereld veiliger willen maken
Malafide hackers
Hoe kan Intigriti garanderen dat er zich onder hun duizenden aangesloten medewerkers geen malafide hackers verschuilen? ‘Dat zou dom zijn, mochten ze dat proberen’, stelt Inti De Ceukelaire. ‘Voor leden zich kunnen aansluiten, moeten ze hun identiteit bewijzen. Ook hun IP-adres wordt gecontroleerd. Alleen wanneer er geen enkele twijfel bestaat, worden ze toegelaten.’
Mensen met slechte intenties zouden meteen ontmaskerd worden. Maar ook: Intigriti-leden ontvangen geen geheime informatie waarmee ze toegang kunnen krijgen tot bedrijfsnetwerken. Daar moeten ze zelf naar op zoek.
Beroep met toekomst
Malafide hackers winnen er dus niks mee door zich proberen aan te sluiten op het platform. Intigriti ontkent ook dat de beste ethische hackers een carrière als cybercrimineel achter de rug hebben.
Stijn Jans: ‘Je moet ook niet eerst een boef geweest zijn om een goeie politieman te kunnen worden. Onze leden beschikken over de juiste vaardigheden. Veel van hen zijn softwareontwikkelaar of programmeur van beroep. Ze kiezen in de eerste plaats uit overtuiging voor onze manier van werken: omdat ze de wereld veiliger willen maken.’
En om hun maandloon aan te dikken, natuurlijk. Sommige Intigriti-hackers zijn na hun studie- of werkuren actief op het platform. Anderen hebben er hun hoofdberoep van gemaakt. Het afgelopen jaar ontdekte Intigriti bij zijn klanten meer dan 10.000 kwetsbaarheden. Er zit dus zeker toekomst in het beroep.