Meet the Hackers

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur van Mariaburg confronteerden wij samen met Toreon en intigriti de aanwezigen met het feit dat geen enkele infrastructuur of applicatie perfect beveiligd is. Dat deden we natuurlijk niet zonder te vertellen hoe je je systeem toch zo goed mogelijk kan beveiligen.

Zonder data security geen data privacy

David Geens, onze eigen managing partner, opende met het feit dat er twee soorten bedrijven zijn: zij die een datalek gehad hebben en zij die nog niet weten dat ze een datalek gehad hebben. Bedrijven die al een datalek meegemaakt hebben, zijn zich bewust van de problemen die dat met zich mee kan brengen. En de bedrijven die nog niet weten wat de schaal van zo’n probleem is, werden met de neus op de feiten geduwd: data security is essentieel.

Omdat de gevolgen na GDPR nog groter zijn dan ervoor, hamerde David op het belang van security by design. Hoewel security de kern van het product zou moeten zijn, wordt het nog te vaak gezien als een bijzaak. Er vanaf dag één rekening mee houden is dus de boodschap.

De volledige presentatie van David op Meet the Hackers:

Pentest versus vulnerability scan

Daarna was het de beurt aan Sebastien Deleersnyder van Toreon om uit te leggen waarom pentesten voor elk bedrijf noodzakelijk is. Omdat het moeilijker is om een systeem te bewaken dan om een systeem binnen te dringen, draait Toreon de rollen om. Door te pentesten vinden ze de zwakke plekken in je systeem, waarna een oplossing voor die zwaktes gezocht kan worden.

Maar een systeem moet niet enkel getest worden voor de ingebruikname. In sommige sectoren zijn regelmatige pentests verplicht, denk aan bedrijven die met kredietkaartgegevens omgaan. En ook om een business case te maken kan pentesten handig zijn. Wat is overtuigender voor het management: een vermoeden of zwart op wit bewijs dat een hacker binnen kan dringen?

De volledige presentatie van Sebastien op Meet The Hackers:

Bug bounty: no cure, no pay?

Bug bounty programma’s en bug bounty platformen zijn vooral in de Verenigde Staten erg populair, maar ook in Europa is er meer en meer animo rond. Het is dan ook een goede manier om je infrastructuur en applicaties constant aan tests te onderwerpen. Stijn Jans van intigriti benadrukte hoe belangrijk het is om bij iedere update op zoek te gaan naar fouten in het systeem. Bug bounty platformen zijn daarvoor de perfecte oplossing: als er een fout gevonden wordt, betaal je. Als er niets gevonden wordt – heel onwaarschijnlijk – kom je goedkoop weg.

Stijn Jans richtte zowat een jaar geleden intigriti op, een commercieel bug bountyplatform naar het voorbeeld van het Amerikaanse HackerOne. Bedrijven kunnen er projecten aanbieden waarin hackers fouten mogen zoeken. Afhankelijk van het bedrijf en hoe kritisch de gevonden fout is, krijgt de hacker dan een beloning.

De volledige presentatie van Stijn op Meet The Hackers:

Conclusie?

Drie sprekers, drie keer een andere kijk op data security. Maar alle drie met een onderdeel dat onmisbaar is voor een optimale beveiliging van je systeem. Je vertrekt vanuit een geoptimaliseerde security en kan dan pentests laten doen en gebruik maken van bug bounty. Dat alles samen verkleint de kans op een datalek aanzienlijk. Een investering met een potentieel groot rendement, de recente GDPR-wetgeving indachtig.

Wil je nog meer weten over ethical hacking, bekijk dan zeker een keer ons eBook “Wat is ethical hacking? En waarom is het zo belangrijk voor mijn bedrijf?”

 

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer