Mobile Vikings gaat een kader voorzien voor de zogenoemde ‘ethische hackers’. Lees: de eigen digitale omgeving gecontroleerd laten aanvallen om zwakke plekken in de beveiliging op te sporen. Door zich aan te sluiten bij zo’n veilige hacking community wil het telecombedrijf het uiterste doen om aan de Vikings de hoogste veiligheid te bieden.
Stropers zijn nog altijd de beste boswachters, en dat geldt zeker voor de digitale jungles van het internet. Maar wie nu een systeem aanvalt om de gaten bloot te leggen, riskeert nog altijd vervolging. Ook al gebeurt het met de beste bedoelingen. Geheel in zijn bekende pioniersrol en een tikje tegendraads als altijd, gaat het Limburgse telecombedrijf Mobile Vikings de diensten van hackers officieel inhuren.
Responsible disclosure
Het kader waarbinnen dit ‘verantwoord hacken’ gebeurt, wordt de responsible disclosure genoemd. Concreet: Mobile Vikings maakt gebruik van het HackerOne programma. Via het programma kunnen hackers van over de hele wereld hun hackerstalent loslaten op een stuk van een ICT-systeem om de zwakke punten in de code te vinden en te rapporteren. Zulke ‘bug bounty’ programma’s worden ook door internetmogols als Facebook, Google en Yahoo! al een tijdje ingeschakeld.
“We noemen deze mensen dan ook liever ‘researchers’ Ze werken samen met onze eigen technici om de bugs op te sporen en te verzegelen”, vertelt Hans Similon, Chief Viking bij Mobile Vikings. “Perfect beveiligde systemen bestaan helaas niet, maar we willen er wel maximaal naar streven en innovatie staat daarbij centraal. Enerzijds om het leven van onze Vikings makkelijker te maken, maar in dit geval ook veiliger.”
Strenge Regels
De research gebeurt binnen de live omgeving van het systeem, maar er zijn strenge regels aan verbonden. Zo vraagt Mobile Vikings om de privacy van de klanten niet te schenden, de systemen niet offline te halen en ze te allen tijde functioneel te houden. Mocht er een security issue zijn dat bovenstaande toch toelaat, vragen we de researcher om ons het probleem te melden en ons tijd te geven het te fixen nog voor ze er mee naar buiten komen. Op deze manier zullen de Vikings geen hinder ondervinden van dit programma, integendeel, de werking kan alleen maar verbeteren.
Foto: Hans Similon
Hans Similon: “Via het HackerOne-platform worden de bugs aan Mobile Vikings gerapporteerd. De researchers worden vervolgens door ons gecontacteerd om de problemen nader te analyseren. Nadien lossen de eigen ontwikkelaars van Mobile Vikings deze bugs op. Wanneer de bugs een aanzienlijke gevoeligheid binnen het systeem hebben blootgelegd, voorziet het systeem ook een beloning, bijvoorbeeld in de vorm van Mobile Vikings-pakketten met leuke gadgets. Daarnaast krijgt iedere researcher een eervolle vermelding in de ‘Viking Hall of Fame’.”“België moet dringend een wettelijk kader voorzien”
Het was de 19-jarige tweedejaarsstudent Multimedia & Communicatietechnologie Inti De Ceukelaire die Mobile Vikings de weg wees naar de ethische hackers. Inti De Ceukelaire heeft in zijn prille ‘carrière’ al lekken gevonden én gemeld aan Google, Facebook en Yahoo. De laatste tijd spant hij zich in om de manier waarop in België door bedrijven en de overheid met cyber security wordt omgegaan te veranderen. De reden:
“Hackers komen bijna uitsluitend negatief in de media. Terwijl mijn ervaring is dat de meesten heel erg slimme en creatieve mensen zijn die totaal geen criminele bedoelingen hebben, integendeel. Het gaat bij velen zelfs niet om de beloning (grote bedrijven belonen ethische hackers met stevige geldsommen naargelang de ‘moeilijkheidsgraad’ nvdr), maar om de eer en erkenning.""Neem nu de Google Hall of Fame, waar ik als 16-jarige in werd opgenomen, of Yahoo's top 10 waar ik nummer 7 stond in 2014. Daar doe je het voor. Maar in België is er simpelweg geen wettelijk kader. Bij Mobile Vikings heb ik het wél geriskeerd om een lek te melden, omdat ik weet dat zij een andere, innovatieve stijl hebben."
"In de toekomst heb je hackers nodig"
"Ze hebben me meteen uitgenodigd en vandaar zijn we samen verder gegaan. Nederland staat wat dat betreft al veel verder. Als je daar een lek meldt aan pakweg de belastingdienst, mag je op visite en krijg je een grappig cadeau. Hier heb je onmiddellijk een proces aan je broek. Dat moet veranderen, want de resultaten spreken voor zich: sinds Google samenwerkt met hackers, geraak ik er niet meer binnen. Het is een illusie te denken dat je vandaag enkel met je eigen mensen je omgeving volledig kan afschermen. In de toekomst heb je hackers nodig. Maar als je de deur sluit om hun talent en creativiteit op een positieve manier te testen en ontwikkelen, dan zet je de deur naar de criminaliteit natuurlijk wagenwijd open.”