Google, Apple aj Pentagon využívajú na zvýšenie bezpečnosti služby etických hackerov. Prečo by ste to mali robiť aj vy?
Malé a stredné podniky sú najčastejším terčom kybernetických útokov. 74 % všetkých stredných a malých podnikov malo v roku 2015 v online systéme minimálne jednu dieru alebo nedostatok, pričom až 38 % z menších firiem bolo aj reálne napadnutých kybernetickými zločincami. Priemerná suma, ktorá bola potrebná na odstránenie škôd po kybernetickom útoku na malú alebo strednú spoločnosť pritom v roku 2016 predstavovala až 86 000 EUR.
Z nášho minuloročného prieskumu vyplýva znepokojujúci fakt – až 48 % slovenských a českých firiem vôbec nerieši bezpečnosť svojho webu alebo aplikácie. V prípade, ak už spoločnosť venuje nejaké financie do IT bezpečnosti, ide najčastejšie o penetračné testy a bezpečnostné audity. Tie majú samozrejme zmysel, no ich spoločnou nevýhodou je jednorázovosť. To znamená, že výsledky penetračného testu alebo bezpečnostného auditu sú platné iba v spojení s konkrétne testovanou verziou a konkrétnou konfiguráciou softvéru a infraštruktúry v danom momente testovania. Navyše sú veľmi drahé a nie každá spoločnosť si ich môže dovoliť. Existuje ale dostupnejšie riešenie?
—- Ako sa chrániť vo svete, kde konvenčné bezpečnostné metódy včerajška už nestačia a dnes používané metódy zabezpečenia môžu byť už zajtra zastaralé? —
V dynamicky sa rozvíjajúcom online svete anglosaských krajín je jednou z najrýchlejšie rastúcich alternatív zabezpečenia bug bounty program.
Bug bounty program je kontinuálne testovanie bezpečnosti, ktoré firmám umožňuje predísť kybernetickým útokom, krádeži dát a ich zneužitiu. Testovanie bezpečnosti vykonávajú etickí hackeri, ktorí za nájdené chyby a nedostatky súvisiace so zraniteľnosťou služieb a aplikácií získajú vopred špecifikované odmeny.
65 % vyspelých spoločností využíva bug bounty projekty alebo sa do nich v krátkej dobe plánuje prihlásiť.
Kedy má zmysel zapojiť sa do bug bounty programu?
Vždy, keď by vás mohlo zneužitie bezpečnostných zraniteľností ohroziť, teda najmä ak:
– pracujete s citlivými údajmi ako osobné údaje klientov vrátane e-mailov a platobných údajov,
– prevádzkujete e-shop, CRM systém, platobný, herný, stávkový alebo projektový portál,
– spúšťate nový online produkt,
– prevádzkujete akýkoľvek typ platby cez internet,
– máte web postavený na riešení tretích strán, no umiestnený na vlastnom serveri,
– zavádzate na web alebo do aplikácie novú funkcionalitu, kvôli ktorej testovaniu sa neoplatí robiť penetračný test,
– chcete zistiť, kde sú vaše slabé miesta a na čo by ste mali zamerať pozornosť.
Aké bug bounty projekty sú u nás dostupné?
Vo svete existuje zopár špecializovaných startupov, ktoré ponúkajú priestor pre bug bounty projekty, napr. americké Hackerone či Bugcrowd. Globálne firmy ako Facebook, Google, Apple čo dokonca Pentagon často vypisujú aj vlastné bug bounty programy. Prvý slovensko-český bug bounty program HackTrophy má ale pre lokálne spoločnosti hneď niekoľko výhod. Vychádza z legislatívneho rámca, stanoveného Európskou úniou a oproti svojim zahraničným konkurentom je aj cenovo výhodnejší. Neznamená to, že je horší – avšak práve vďaka miestnej podpore je vhodnejší pre spoločnosti pôsobiace na Slovensku a v Českej republike.
Porovnanie HackTrophy a BugCrowd
Vyskúšajte si bug bounty program HackTrophy zadarmo
Na to, aby ste sa mohli zapojiť do bug bounty programu HackTrophy, nemusíte zaplatiť žiadny vstupný poplatok. Program BASIC ponúka službu bezplatne počas celej doby používania (platíte len nastavené odmeny pre etických hackerov a províziu z nich). Pokiaľ potrebujete poradiť a pomôcť s nastavením vášho bug bounty projektu, môžete vyskúšať program PREMIUM na 14 dní zadarmo. Prečítajte si o tom viac.
