Ethical Hacking : programmes pour les petites entreprises et les communautés

Comment les petites organisations disposant de peu de ressources et de savoir-faire informatique peuvent-elles accéder facilement aux programmes Bug Bounty afin d'améliorer efficacement leur sécurité informatique ? C'est l'objectif d'une étude lancée par Bug Bounty Switzerland en collaboration avec la Haute école zurichoise des sciences appliquées (ZHAW) et soutenue par le programme suisse de promotion de l'innovation Innosuisse. Dans le cadre d'un avant-projet qui vient d'être lancé, le groupe cible des PME et des communes sera d'abord examiné afin de comprendre quels sont les besoins spécifiques de ces organisations, quels sont les obstacles à l'Ethical Hacking et comment il faudrait concevoir une offre adaptée.

Ethical Hacking : le concept de bug bounty

Das Bug-Bounty-Konzept, also das Suchen von Schwachstellen in IT-Infrastrukturen durch ethische Hacker, die für ihre Funde belohnt werden, ist in der Schweiz mittlerweile angekommen – nicht zuletzt dank der Pionierarbeit von Bug Bounty Switzerland. Mit seinem ganzheitlichen Service-Angebot (von der Beratung über den Programmaufbau und die Begleitung des Kunden bis zur Unterstützung beim Schliessen von Sicherheitslücken) sowie einer eigenen, in der Schweiz gehosteten Plattform ist es dem Unternehmen gelungen, Bug-Bounty-Programme mehr Firmen zugänglich zu machen. Nichtsdestotrotz sind es heute in erster Linie grössere Organisationen wie das Universitätsspital Zürich, Ringier, Valiant Bank, die Baloise Group oder die BKW, die kontinuierliche Programme mit Ethical Hacking betreiben. Mit dem gemeinsamen Forschungsprojekt mit der ZHAW verfolgt Bug Bounty Switzerland nun das Ziel, die Komplexität der Methode noch weiter zu reduzieren, sodass auch kleine Organisationen Zugang erhalten und befähigt werden, ihre Informationssicherheit kontinuierlich zu verbessern. Angesichts der oft knappen finanziellen IT-Ressourcen in kleinen Organisationen geht es in der Vorstudie darum, herauszufinden, welche alternativen Finanzierungsmodelle denkbar sind und welche nicht-monetären Anreize man den ethischen Hackern bieten könnte. Darüber hinaus stellt sich die Frage nach der Bereitstellung des Know-hows, das benötigt wird, um mit den identifizierten Schwachstellen umzugehen. Dabei müssen insbesondere auch jene externen Dienstleister eingebunden werden, die sich als Outsourcing-Anbieter um das Management der IT-Systeme kümmern. Und schliesslich interessiert die Forscher auch, inwiefern eine Community von Bug-Bounty-Anwendern für den Austausch untereinander und mit den ethischen Hackern von Nutzen sein könnte.

Pas de numérisation sans sécurité informatique : "Digital Trust

IT-Sicherheit ist für alle relevant, die im Rahmen der Digitalisierung auf moderne Geschäftsmodelle und Abläufe setzen. Denn die digitale Transformation kann nur dann gelingen, wenn die Benutzer und Kunden Vertrauen in die Prozesse und Sicherheit ihrer Daten haben und diese lauffähig bleiben. Man spricht in diesem Zusammenhang auch von «Digital Trust». Dieses Vertrauen ist jedoch gefährdet, wenn wöchentlich neue Datenlecks entstehen und Sicherheitslücken ausgenutzt werden können. Dabei geraten heute auch KMUs und Gemeinden vermehrt in die Fänge von Cyberkriminellen. «Soll die digitale Transformation in der Schweiz als Ganzes gelingen, dürfen wir die KMUs – und auch den öffentlichen Sektor – sicherheitstechnisch nicht vernachlässigen», gibt Peter Heinrich von der Fachstelle für Prozessmanagement und Informationssicherheit an der ZHAW School of Management and Law zu bedenken. Dabei reiche es nicht, bloss Sicherheitslücken aufzuzeigen: «Wir müssen echte Handlungsfähigkeit erzeugen. Die Organisationen müssen die Mittel und das Know-how erhalten, um ihre Gefährdung richtig einschätzen zu können und sinnvolle Entscheidungen zu treffen. Wir wollen deshalb herausfinden, wo sie Hilfe zur Selbsthilfe benötigen.»

Un écosystème suisse pour gérer les vulnérabilités

Dans un projet de suivi, Bug Bounty Switzerland et la ZHAW veulent travailler au développement de la plateforme de Bug Bounty Switzerland pour en faire un écosystème suisse de gestion globale des vulnérabilités. Celui-ci doit relier tous les acteurs (outre les hackers éthiques, par exemple, les autorités et les fournisseurs) dans un processus continu de sécurité de l'information et être également accessible et abordable pour les PME, les micro-organisations et l'administration publique. "Nous vivons dans un monde en réseau. Nous devons maîtriser ensemble la protection de la place économique suisse sur le réseau mondial", explique Sandro Nafzger, CEO de Bug Bounty Switzerland. "En tant que pionnier suisse du Bug Bounty, nous voulons contribuer à la sécurité du pays et à la réussite de la transformation numérique : ensemble pour une Suisse sûre". Source et informations complémentaires : www.bugbounty.ch

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/ethical-hacking-programme-fuer-kleinunternehmen-und-gemeinden/