Zonder hackersbeleid gaan meeste veiligheidsmeldingen verloren
Als een bedrijf geen manier heeft om kwetsbaarheden in haar systemen te melden, dan gaat die waarschuwing in bijna de helft van de gevallen verloren. Zo blijven een pak problemen onder de radar.
Ethische hackers zijn mensen die websites of systemen van bedrijven als buitenstaander proberen te hacken om kwetsbaarheden te vinden en te melden bij die bedrijven. Dit in tegenstelling tot criminele hackers die ze voor eigen gewin zouden uitbuiten.
Intigriti, een Belgische bug bounty platform, deed daarover een rondvraag in haar eigen hackersgemeenschap en komt tot de vaststelling dat bij bedrijven die geen manier hebben om beveiligingsproblemen te melden zo’n 44 procent zeer waarschijnlijk verloren gaat.
Rondvraag bij een duizendtal ethische hackers in de community van het bedrijf toont aan dat 70,1 procent van de bedrijven waar een kwetsbaarheid wordt ontdekt, er geen beleid is waarmee hackers dat veilig kunnen melden.
Via de klantendienst
Dat heeft meteen een impact in hoe vaak een veiligheidsprobleem (succesvol) wordt gemeld. Bij bedrijven die zo’n beleid niet hebben, worden 27,4 procent van de vaststellingen zelfs niet gerapporteerd. Van de 72,4 procent waar dat wel gebeurt, verloopt het via een wirwar van processen. In de meeste gevallen (53,5 procent) gebeurt dat via de klantendienst. Ook e-mail (16,6 procent), social media (11,6 procent) of via een derde partij worden regelmatig gebruikt.
Maar het melden betekent niet noodzakelijk dat het ook wordt opgevolgd. Doorgaans is de ‘slaagkans’ van die melding zo’n 61,6 procent. Of anders gezegd: als een bedrijf geen methode of proces heeft om kwetsbaarheden te melden en op te volgen, dan worden slechts 31,6 procent van de ontdekte kwetsbaarheden succesvol gemeld.
Fout opgemerkt of meer nieuws? Meld het hier