Safety first: zo beveiligt ons Bug Bounty-programma jouw telefonie

auteursafbeelding
Sanne Bakker
21 augustus 2023 Clock 5 min

Update januari 2024: We hebben ervoor gekozen om te stoppen met ons Bug Bounty-programma. Uiteraard blijven we alles op alles zetten om jouw telefonie te beveiligen, dat doen we onder andere met deze drie maatregelen.

Je bedrijf zo goed mogelijk online beveiligen: we hoeven je vast niet uit te leggen hoe belangrijk dat is. De komende weken delen we welke middelen we hier bij Voys voor inzetten, hoe dit bijdraagt aan de veiligheid van jouw telefonie en wat je zelf kunt doen om je organisatie te beschermen. Deze eerste blog van de serie gaat over het Bug Bounty-programma dat we de afgelopen jaren hebben opgezet en uitgevoerd.

Een bug wat? Dat leg ik je haarfijn uit.

Bug Bounty-programma: wat is dat?

Met een Bug Bounty-programma wordt software ethisch gehackt. Hacken betekent inbreken in software om gevoelige informatie te stelen of de software te ontregelen. Ethisch hacken is in principe hetzelfde als ‘gewoon’ hacken. Maar er is één groot, significant verschil: ethische hackers hebben geen kwade bedoelingen. Ze hacken de software om jou te helpen in plaats van schade aan te richten. De kwetsbaarheden die de ethische hackers opsporen, kun je dichten om zo je software te verbeteren.

Bij ons Bug Bounty-programma hebben we ethisch-hack-experts uitgenodigd om zwakke plekken in de beveiliging van telefonieplatform Freedom en onze website te ontdekken. Dit hebben we gedaan via het platform van Intigriti. Voor iedere bug die werd ontdekt, kreeg de expert een financiële beloning of, afhankelijk van de ernst van de vondst, een eervolle vermelding. Dus het woord Bounty in dit programma staat niet voor die lekkere chocoladereep. 😉

Waarom we een Bug Bounty-programma hebben opgezet

Freedom was natuurlijk al veilig en betrouwbaar. Maar om het telefonieplatform nog veiliger te maken, vonden we het waardevol om de wisdom of the crowd in te schakelen. Want twee weten meer dan één. Met het Bug Bounty-programma zorgden we ervoor dat kwetsbaarheden van ons platform en onze website vroeg worden gedetecteerd. Door deze bugs zo snel mogelijk op te lossen, voorkomen we dat er wordt ingebroken door hackers met niet-ethische intenties. En dat is goed nieuws voor jou en je bedrijf, zo kun jij zorgeloos en veilig gebruikmaken van de telefonie van Voys.

Geen zorgen: we hebben een aparte omgeving van Freedom gecreëerd waarin de ethische hackers hun best konden doen om bugs op te sporen, zodat de telefooncentrale waar jij gebruik van maakt gewoon in de lucht bleef.

De leerpunten van een Bug Bounty-programma

Je weet nu hoe een Bug Bounty Programma werkt en waarom we dit hebben opgezet. Maar wat hebben we er eigenlijk van geleerd?

Er zijn een aantal bugs opgespoord door de Bug Bounty Hunters. Die bugs hebben we natuurlijk serieus genomen en direct opgepakt. Door de opgespoorde fouten direct op te lossen, is Freedom nog veiliger geworden dan het al was.

Ik ga je niet lastig vallen met allerlei technische uitkomsten van het Bug Bounty-programma, maar ik deel wel graag een aantal algemene learnings met je.

  1. Nog betere bewustwording bij developers (en de rest van de organisatie)
    We zijn ons nog bewuster geworden van en scherper geworden op het tijdig opsporen van kwetsbaarheden in Freedom en onze website.
  2. Geautomatiseerd bugs opsporen
    We maken nu gebruik van verschillende tools waardoor de meest voorkomende kwetsbaarheden direct zichtbaar worden na het schrijven van nieuwe code. Developers kunnen hierdoor de code direct aanpassen en kwetsbaarheid dichten, voordat de code live wordt gezet.
  3. Checklist bij peer reviews
    Het checken van elkaars code was al onderdeel van het ontwikkelingsproces van onze developers. Dit proces hebben we naar aanleiding van het programma nog verder aangescherpt.
  4. Efficiëntie Bug Bounty-platform
    De rapporten die binnenkwamen werden eerst beoordeeld door Intigriti. Zo werd de ruis voor ons gefilterd, waardoor we ons konden focussen op valide bugs. Via welk platform je een Bug Bounty-programma ook opzet, het laten beoordelen van de binnenkomende rapporten is waardevol en raden we zeker aan.

Is een Bug Bounty-programma interessant voor jouw organisatie?

Ontwikkel en lever je zelf software aan jouw klanten? Of heb je een website die je veiliger wilt maken? Dan raden we aan om te onderzoeken of het uitvoeren van een Bug Bounty Programma iets voor jou is. Ik zet de voordelen voor je op een rij:

  • Veilige software
    Een groep van beveiligingsexperts maakt je software veiliger doordat ze op zoek gaan naar zwakke plekken in de code. Hierdoor wordt het platform op een geavanceerde manier en met de laatste technieken beveiligd.
  • Continue bescherming
    Er wordt voortdurend getest, waardoor je software continu beschermd en weerbaar blijft tegen (nieuwe) bedreigingen.
  • Vroege opsporing
    Eventuele kwetsbaarheden worden vroeg opgespoord. Door proactief te handelen, voorkom je potentiële problemen. Klanten zijn blijer wanneer ze jouw product zonder problemen kunnen gebruiken,
  • Proactief en betrokken
    Met een Bug Bounty Programma toon je betrokkenheid en laat je zien dat je je proactief inzet om mogelijke beveiligingsproblemen snel en efficiënt op te lossen. Zo zorg je voor vertrouwen tussen jou en je klant.
  • Transparant en veilig
    Het publiekelijk uitnodigen om je software te hacken, laat zien dat je transparant bent en veiligheid hoog in het vaandel hebt staan.

“Ieder voordeel heb z’n nadeel”, zou Johan zeggen. En dat is niet anders dan met het opzetten van een dergelijk programma. Het kost tijd en geld om een Bug Bounty Programma op te zetten en uit te voeren. En die moet je natuurlijk wel hebben. Ons advies is: weeg de voor- en eventuele nadelen voor jezelf en je bedrijf af, voordat je op zoek gaat naar een platform om een Bug Bounty Programma op te zetten.

What the hack?!

Het proactief op zoek gaan naar bugs binnen het platform, is goed nieuws voor je bedrijfsveiligheid. Hiermee zorg je ervoor dat je kwetsbaarheden op tijd opspoort en kunt dichten. Bij Voys hebben we er met het Bug Bounty-programma voor gezorgd dat het voor hackers nog lastiger is om telefooncentrale Freedom binnen te dringen. Heb je vragen over dit onderwerp, ben je benieuwd naar onze aanpak of overweeg je om een Bug Bounty-programma op te zetten? Neem dan gerust contact met ons op via agency@voys.nl.

Oh ja, we hebben het Bug Bounty-programma onlangs publiekelijk gemaakt, waardoor iedereen een Bug Bounty Hunter kan zijn. Dus weet je wel het een en ander van hacken en lijkt het je tof om te kijken of je bugs in ons telefonieplatform kunt vinden? Dan mag je dit als een open uitnodiging beschouwen om telefonieplatform Freedom proberen te hacken, maar dan wel ethisch natuurlijk. Succes!

Meer verhalen lezen?

In de afgelopen jaren hebben we veel geschreven over ondernemen, zelfsturend werken, de handigste tools en nog veel meer. Dus leef je uit!

Van 20 februari 2024

De perfecte telefooncentrale instellen voor jouw bedrijf – de beste tips en tricks voor het MKB

Van 24 januari 2024

Onze plannen voor 2024: nieuw jaar, nieuwe features en een nieuw product