Onze merken:
Onze merken:
In de ‘bug bounty-programma’s’ van DELTA Fiber zoeken ethische hackers naar kwetsbaarheden op ons netwerk. Veiligheidsexpert Jacco Vasseur legt uit hoe dat in zijn werk gaat en waarom het zo waardevol is. "We profiteren van de expertise van wel honderd ethische hackers."
"In een bug bounty-programma zoeken ethische hackers (ook wel: 'researchers') naar kwetsbaarheden in onze websites en systemen. Als ze die vinden, rapporteren ze dat, krijgen ze een vergoeding en dichten wij het lek voordat het kwaad kan. We organiseren dit via een extern platform, zij screenen de researchers. De ene keer vragen we ze om een bepaald onderdeel van ons netwerk onder de loep te nemen, de andere keer is het programma meer “open”."
"Wij zien dit als een extra laag in onze beveiliging, bovenop alle andere maatregelen die we nemen om ons netwerk, onze diensten en de data van onze klanten veilig te houden. Met bug bounty-programma’s worden onze belangrijkste klantportalen continu in de gaten gehouden, in plaats van op momenten. Meer dan honderd beveiligingsexperts doen eraan mee, elk met hun eigen specialiteit. We profiteren dus van een gigantische hoeveelheid kennis en kunde die je nooit in één intern team kan verzamelen."
"Voordat DELTA Fiber een nieuw product of nieuwe dienst live zet, laten we penetratietesten uitvoeren door Secura, een gerenommeerd pentestbedrijf. Bug bounty-programma’s komen daarna. Die zijn gericht op het continu checken van de beveiliging, op het vinden van kwetsbaarheden die wij en die de experts van een gerenommeerd pentestbedrijf mogelijk over het hoofd hebben gezien. Mijn team, het Network en Security Operations Center (NSOC), monitort en volgt beveiligingsmeldingen op. Beveiligingsmeldingen kunnen uit een bug bounty-programma komen, maar bijvoorbeeld ook van een hardwarefabrikant of via het Nationaal Cyber Security Center. Vervolgens patchen (eruit halen) we kwetsbaarheden voordat ze misbruikt kunnen worden."
"Van alles. Het kan zijn dat een systeem meer informatie vrijgeeft dan bedoeld, dat in de publieke code iets staat dat niet openbaar hoort te zijn of dat kwaadwillenden code kunnen toevoegen aan URL's of formulieren die vervolgens in de frontend of backend wordt uitgevoerd."
"Uit veiligheidsoverwegingen kan ik geen concrete voorbeelden geven, maar in het algemeen heb ik geleerd dat ook als je er heilig van overtuigd bent dat de beveiliging van alle portals waterdicht is, er toch nog ergens een kwetsbaarheid kan zitten. Meestal is dat relatief onschuldig. Slechts sporadisch gaat het om iets waar een kwaadwillende schade mee had kunnen aanrichten — maar dat is dan dus in de kiem gesmoord door de inzet van die ethische hackers. Laat er geen misverstand over bestaan: ook kleine foutjes in de code, bugs, willen we niet hebben. Ons netwerk moet optimaal beveiligd zijn."