Safety first: zo beveiligen we met ons Bug Bounty-programma de telefonie van jouw klanten

Update januari 2024: We hebben ervoor gekozen om te stoppen met ons Bug Bounty-programma. Uiteraard blijven we alles op alles zetten de telefonie van jouw klanten te beveiligen, dat doen we onder andere met deze drie maatregelen.

De beveiliging en bescherming van het VoIPGRID telefonieplatform heeft altijd een hoge prioriteit gehad binnen VoIPGRID. Om een inkijkje te geven in hoe we dit vormgeven, zullen we in een reeks blogs delen hoe we jou en jouw klanten beschermen. Ook geven we tips hoe je jezelf en je klanten nog beter kunt beveiligen. In deze eerste blog bespreken we het Bug Bounty-programma dat we in de afgelopen jaren hebben op- en ingezet.

Wat is een Bug Bounty-programma?

Bij een Bug Bounty-programma wordt software op een ethische manier gehackt. Met ethisch hacken wordt doelbewust geprobeerd in te breken in software, om zo kwetsbaarheden bloot te leggen. Vervolgens worden de uitkomsten gebruikt om de software nog veiliger te maken. 

Met het Bug Bounty-programma dat wij hebben uitgevoerd zijn de beste ethisch-hack-experts uitgenodigd om zwakke plekken in de beveiliging van het telefonieplatform (en onze websites) te ontdekken. Na gedegen onderzoek kozen we voor het platform van Intigriti. Afhankelijk van de vondst ontvangt de expert een financiële beloning of een eervolle vermelding. 

Waarom kiezen voor een Bug Bounty-programma 

We hebben vanaf de start van ons VoIP-platform veel tijd geïnvesteerd in het veilig en betrouwbaar maken van het platform, maar wilden hier nog een schepje bovenop doen door gebruik te maken van de wijsheid van de massa. Met het Bug Bounty-programma kunnen we kwetsbaarheden vroegtijdig detecteren en oplossen, voordat kwaadwillenden er misbruik van kunnen maken. Zo garanderen wij dat jouw klanten, zonder zorgen, zakelijk optimaal bereikbaar blijven. 

Uiteraard gebeurt het ethisch hacken volgens vooraf gemaakte afspraken (de zogenaamde disclosure agreement). Belangrijk om hierbij te vermelden: we hebben een aparte omgeving gecreëerd waar de ethische hackers hun werk kunnen doen. De telefooncentrale die jij aan je klanten levert, loopt dus geen gevaar.

4 verbeteringen die wij doorvoerden dankzij het programma

Naast dat er kleinere bugs zijn gevonden en opgelost tijdens de looptijd van het programma, hebben we ook veel geleerd van het developmentproces. Dit hebben we vervolgens direct geïmplementeerd in onze werkwijze. Hieronder zetten we de belangrijkste leerpunten op een rij: 

• Bewustwording bij developers (en de rest van de organisatie) vergroot: We zijn ons nog bewuster geworden van het tijdig opsporen van kwetsbaarheden.
• Geautomatiseerde bugdetectie: We maken gebruik van verschillende tools waarmee de meest voorkomende kwetsbaarheden direct zichtbaar worden na het schrijven van nieuwe code. Developers kunnen hierdoor de code direct dichten, voordat deze live wordt gezet.
• Checklist bij peer reviews: Het checken van elkaars code was al een standaard onderdeel van ons ontwikkelingsproces. Dit proces is naar aanleiding van het programma nog verder aangescherpt. 
• Efficiëntie Bug Bounty-platform: De bugrapporten die binnenkomen, worden eerst beoordeeld door Intigriti. De ruis wordt zo gefilterd, waardoor wij ons kunnen focussen op het oplossen van valide bugs. Via welk platform je je Bug Bounty-programma ook op gaat zetten, het laten beoordelen van de binnenkomende rapporten raden we zeker aan. 

5 voordelen van een Bug Bounty-programma

Lever je, naast ons telefonieplatform, zelf ook software aan jouw klanten? Of wil je je website veiliger maken? Dan raden we aan om te onderzoeken of een Bug Bounty-programma iets is voor jou. Dit zijn volgens ons 5 grote voordelen van zo’n programma:

• Beveiliging door een groep beveiligingsexperts: Hierdoor wordt de software op geavanceerde wijze en met de nieuwste technieken beveiligd.
• Continu testen: Je software blijft continu beschermd en weerbaar tegen (nieuwe) bedreigingen.
• Vroegtijdige opsporing van kwetsbaarheden: Door proactief te handelen, worden potentiële problemen voorkomen. Dit leidt tot een hoge klanttevredenheid, doordat klanten jouw product zonder zorgen kunnen gebruiken.
• Betrokkenheid en inzet: Het gebruiken van een Bug Bounty-programma toont jouw betrokkenheid en inzet om beveiligingsproblemen snel en efficiënt op te lossen. Dit bevordert het vertrouwen van jouw klanten in je product.
• Transparantie en veiligheid: Het publiekelijk uitnodigen van ethische hackers om je software te hacken, toont aan dat je transparant bent en veiligheid hoog in het vaandel hebt staan. Ook dit draagt bij aan de vertrouwensrelatie met je klanten.

Ga je een Bug Bounty-programma opzetten? Houd er rekening mee dat je, naast een financiële investering, ook de nodige capaciteit beschikbaar stelt binnen je team om developers de opgespoorde bugs te laten verwerken. 

Een veilig platform voor jou en jouw klanten

Het proactief opsporen van bugs binnen ons VoIP-platform is goed nieuws voor de bedrijfsveiligheid van jou en jouw klanten. Kwetsbaarheden worden op tijd gedetecteerd en verholpen. Voor hackers wordt het nog lastiger om binnen te dringen in de online telefooncentrale. Zo blijft het product dat jij aanbiedt volgens de laatste technieken beveiligd en kunnen jouw klanten probleemloos gebruik blijven maken van jouw diensten. 

Heb je vragen over dit onderwerp of overweeg je zelf een Bug Bounty-programma op te zetten? Neem gerust contact met ons op. Tot slot: heb je zelf ook weleens geprobeerd om ethisch te hacken? Of ben je hierin geïnteresseerd? Onlangs hebben we ons Bug Bounty-programma openbaar gemaakt, waardoor iedereen een Bug Bounty Hunter kan zijn. Neem vooral een kijkje als je jouw VoIP-platform aan een grondige test wil onderwerpen!