Cybersecurity wordt belangrijker en belangrijker. De hoge mate van digitalisering en de toename van cybercriminaliteit maken dat bedrijfskritische applicaties een achillespees dreigen te worden van de moderne bedrijven.
Om het risico dat wij of onze klanten het slachtoffer worden van hackers, cyberaanvallen of ransomware tot een absoluut minimum te beperken, hebben we fors geïnvesteerd in een nog betere beveiliging van onze infrastructuur en applicaties.
Samenwerking met Intigriti
We gingen hiervoor 3 jaar geleden de samenwerking aan met de Belgische firma Intigriti, een cybersecurity bedrijf dat ethische hackers samenbrengt met bedrijven. Deze ethische hackers proberen effectief binnen te breken in onze systemen met als doel een potentieel lek dichten alvorens minder ethische hackers dat lek vinden.
Hoe gaat dit in de praktijk nu effectief in zijn werk? Collega Ronny legt uit: “We hebben een projectbeschrijving gemaakt van wat in scope valt om te testen. Daarna hebben we een aparte omgeving opgezet die identiek is aan onze productieomgeving, uiteraard met fictieve data en geïsoleerd van de rest. Op die systemen melden er zich dan ethische hackers van over de hele wereld die hacks willen zoeken in onze systemen. Intigriti zorgt voor de goede gang van zaken, opvolging en -niet onbelangrijk- screening van die ethische hackers, die effectief een contract afsluiten met hen en daardoor de nodige afspraken kennen en nakomen.
Vindt een hacker een lek, dan meldt hij dat. Wij bekijken dit en wanneer het effectief gaat om een fout of kwetsbaarheid in de software dan ontvangt de hacker daar een bounty, een soort premie, voor. Zo’n bug bounty programma is het meest aanlokkelijk voor hackers, maar we werken niet altijd op die manier samen. In het verleden hebben we al een aantal keer zogenaamde ‘penetration tests’ laten uitvoeren op onze software en systemen. In zo’n test proberen security specialisten om op alle mogelijke manieren binnen te breken.”
Resultaten
Intigriti is in al onze softwareoplossingen op zoek gegaan naar mogelijke hacks. Voordat we samenwerkten met hen, zochten we al naar mogelijke security issues door er een automatische testtool op los te laten. We vonden ook zo bepaalde fouten, maar deze manier van testen is toch wel van veel mindere kwaliteit dan dat er een ethische hacker wordt op los gelaten.
Ronny: “Onze eerste samenwerking met Intigriti bestond erin dat we regelmatig een expert hacker dedicated onze HiAnt en CheQpoint instanties lieten bekijken om zo mogelijke bugs en security leaks te ontdekken. Daar zijn een aantal kleine aandachtspunten uitgekomen die we hebben aangepast. Voor PratoFlex en Earnie wordt er getest d.m.v. het bug bounty programma. Voor PratoFlex hebben de hackers al enkele security issues ontdekt, die onmiddellijk werden dichtgetimmerd. Bijkomend is de input van deze hackers voor ons heel zinvol om als organisatie op gebied van security snel veel bij te leren en soortgelijke problemen te voorkomen in de toekomst.
Onze nieuwste software-telg, Earnie, is in vergelijking met PratoFlex, HiAnt en CheQpoint nog “jong” te noemen. En wat we zien is dat Intigriti voorlopig geen issues gevonden heeft in de nieuwe loonmotor. We gaan de bounty voor het vinden van mogelijke lekken wat verhogen zodat ze nog gemotiveerder gaan zoeken maar je ziet wel dat de inspanningen en learnings die we deden zich nu al lonen bij alle nieuwe software die we sindsdien ontwikkelen.”
Lessons learned
Ronny besluit: “Security is iets waar we heel sterk op inzetten bij Prato. We willen uiteraard dat Intigriti zo weinig mogelijk security issues vindt. Onze software is beter geworden door de extra focus op het security gebeuren. De samenwerking met Intigriti heeft dus een positieve impact met zich meegebracht.
En wat als er nu toch iets misloopt? Ook dat volledige proces hebben we uitgebreid en verbeterd. We hebben stevig ingezet op de uitwerking van een Business Continuity Plan en bijhorend Disaster Recovery Plan. Het volledige back-up gebeuren neemt daar bijvoorbeeld een centrale plaats in.”
Tot slot
“We hebben de laatste jaren al heel wat stappen gezet als het op security en veiligheid voor onze klanten aankomt,” vat Ronny samen. “En mochten er lezers zijn die dit maar eng vinden, ‘vragen om gehackt te worden’: voor ons was dit in het begin ook wel wat onwennig omdat je potentieel voor die hackers met de billen bloot gaat. Maar zodra we beseften dat voorkomen beter is dan genezen, was dat gevoel snel weg.”
