Sicherheitsteam
Das Sicherheitsteam ist der wichtigste Stakeholder deines VDP. Neben der Arbeit, die zur Vorbereitung auf das Starten und Ausführen eines VDP erforderlich ist, ist es schwieriger, außerhalb des Sicherheitsteams einzukaufen, wenn dein Sicherheitsteam nicht an Bord ist.
Manchmal kann ein Gefühl von Stolz oder Verteidigung bei der Einführung eines VDP sein. Das Sicherheitsteam hat möglicherweise den Eindruck, dass externe Sicherheitsforscher die vermissten Sicherheitslücken aufdecken. Unternehmen haben große und komplexe Angriffsflächen und das Sicherheitsteam ist nicht mit einer optimalen Abdeckung zu rechnen. Die Geschichte sollte nicht darauf dein Finger zeigen oder die Schuld geben. Wenn Forscher Sicherheitslücken finden, sollten diese Daten als umsetzbares Feedback verwendet werden, damit Ihr Team den Sicherheitsstatus Ihres Unternehmens verbessern kann. Es ist wichtig, dass Sie Ihr Sicherheitsteam so umgestalten, dass externe Hacker als Erweiterung Ihres Teams und nicht als Gegner betrachtet werden. Wie bereits erwähnt, sollte dein Sicherheitsteam eine proaktive Unterhaltung zum Umgang mit Erkennungs- und Reaktionsmechanismen im Zusammenhang mit deinem VDP führen.
IT
Informationstechnologie bedeutet für verschiedene Organisationen unterschiedliche Dinge und jedes Unternehmen hat eigene IT-bezogene Rollen. In diesem Leitfaden gehen wir davon aus, dass sich die IT-Abteilung auf die Einzelpersonen und Teams bezieht, die für die Einrichtung, Wartung und den Support der Systeme und Dienste verantwortlich sind, auf die sich das Unternehmen verlassen muss. IT-Teams möchten, dass alles reibungslos funktioniert. Dies ist häufig direkt mit Erfolgsmesswerten (z. B. ohne Unterbrechung) verbunden. Das Konzept, Hacker einzuladen, ihre Systeme und Dienste zu testen, mag beängstigend sein, aber die IT-Abteilung kann davon profitieren. Kriminelle halten sich an keine Regeln und könnten versuchen, Ihre Organisation anzugreifen. Wenn Sie einen standardisierten Kanal für gute Hacker erstellen, der mit Ihrer Organisation arbeitet, können Sie die Chancen erhöhen, Sicherheitsprobleme zu erkennen und zu beheben, bevor sie von Kriminellen ausgenutzt werden. Verstöße sind mit hohen Kosten verbunden, darunter die von der IT-Abteilung und anderen verbrachte Zeit sowie potenzielle Ausfallzeiten, wenn Assets aufgrund einer Datenpanne vorübergehend deaktiviert oder segmentiert werden müssen. Ein VDP kann das Risiko von Sicherheitslücken verringern. Außerdem kann die Aufklärung von Hackern bei der Erkennung von Assets und beim Identifizieren von betrügerischen Systemen und Diensten helfen, die ohne die Beteiligung des IT-Teams aufgebaut wurden.
Entwicklung
Wenn Ihr Sicherheitsteam nicht die Aufgabe übernimmt, Sicherheitslücken im Namen Ihres Entwicklerteams zu beheben, müssen Sie Ihre Entwicklerorganisation in das VDP einbeziehen. Niemand mag unerwartete Arbeiten. VDPs sorgen für einen neuen Sicherheitslückenstrom, den Entwicklerteams angehen müssen. Es ist wichtig, mit den Führungskräften der Entwicklungsorganisation zusammenzuarbeiten, um sich über den Zeitplan für die Einführung deines VDP im Klaren zu sein. Außerdem solltest du sie darum bitten, Ressourcen für die Behebung von Programmfehlern einzusetzen. Wenn ein VDP startet, gibt es in der Regel einen Anstieg der Fehlerzahl zu Beginn, dann wird die Leistung mäßig beeinflusst. Wenn Entwickler in den ersten Wochen des Programms viele Fehler beheben können, wird der Prozess für das Entwicklerteam, das Sicherheitsteam und die Hacker, die an deinem VDP teilnehmen, deutlich vereinfacht. Da Sie das Entwicklerteam bitten, weitere Aufgaben zu erledigen, sollten Sie aufzeigen, welche Vorteile es von einem VDP bietet.
Legal
Rechtsteams reduzieren gern Risiken. Das Konzept des proaktiven Einladens von Hackern zum Hacken Ihrer Organisation ohne zusätzlichen Kontext kann sehr riskant erscheinen. Es ist wichtig, mit Ihrer Rechtsabteilung zusammenzuarbeiten, um zu sehen, wie ein VDP nicht nur Sicherheitsrisiken, sondern auch rechtliche Risiken reduzieren kann. Unabhängig davon, ob du ein VDP hast oder nicht, gibt es Sicherheitslücken. Ohne VDP haben Hacker, die das Richtige tun und dich über das Problem informieren möchten, keine Standardmethode, um dich zu erreichen. Ein VDP bietet Sicherheitsforschern die Möglichkeit, Sicherheitslücken zu finden und zu schließen, bevor sie zu einem rechtlichen Problem werden. Ohne einen Kanal zum Akzeptieren von Sicherheitslückenberichten können Personen, die Sicherheitslücken identifizieren, entweder aufgeben, sie zu melden, oder das Problem möglicherweise öffentlich offenlegen, um die Aufmerksamkeit auf sie zu lenken und dafür zu sorgen, dass sie behoben werden.
Öffentlichkeitsarbeit
Je nachdem, wie viel Erfahrung Ihr PR-Team mit der Informationssicherheit hat, können Reaktionen Ihres PR-Teams auf ein Angebot zum VDP reichen, von Wann beginnen wir? bis hin zu schockierenden und kompletten Ablehnungen der Ideen. Die öffentliche Wahrnehmung von Hacking hat sich zwar positiver gewandelt, aber das Wort Hacker hat immer noch negative Auswirkungen auf viele Menschen. In der folgenden Tabelle werden häufige Fragen und Bedenken der PR-Abteilung sowie der Umgang mit diesen Einwänden beschrieben.
| Frage/Einwand | Mögliche Antwort |
|---|---|
| Sind Hacker nicht böse? Dürfen sie uns hacken, um Probleme zu haben? | Nein. Kriminelle werden immer existieren und wollen uns hacken und ausnutzen, aber ein VDP bietet uns die Möglichkeit, mit Hackern zusammenzuarbeiten, die das Richtige tun und uns dabei helfen, Sicherheitslücken zu finden und zu beheben. Wenn jemand böse sein will, wird ein VDP ihn nicht aufhalten. |
| Was ist, wenn Hacker uns tatsächlich hacken, statt uns zu helfen? | Wenn jemand böse Absichten hat, wird er wahrscheinlich nicht am VDP teilnehmen. Stattdessen versuchen sie, bei einem Angriff anonym zu bleiben. Ein VDP ermöglicht uns, mit Sicherheitsexperten zusammenzuarbeiten. |
| Werden Hacker um Hilfe gebeten? | Keine Organisation hat die perfekte Sicherheit. Viele sehr bekannte Organisationen in verschiedenen Branchen führen öffentliche Sicherheitslücken aus, um ihre bestehenden Sicherheitsprozesse zu verbessern. Die Nutzung der globalen Hacking-Community ist ein Sicherheitsnetz, mit dem du alles finden und beheben kannst, was durch die Risse fällt. Tatsächlich kann ein VDP für eine positive Sicherheits-PR verwendet werden. |
| Was passiert, wenn ein Hacker öffentlich offenlegt, wie er uns gehackt hat? Sehen wir nicht schlecht aus? | Das hängt von der Art der Offenlegung ab. Es liegt in unserer Verantwortung, gemeinsam mit den Hackern akzeptable Bedingungen für die Offenlegung festzulegen. Die meisten Organisationen raten von der öffentlichen Offenlegung erkannter Probleme ab, bis sie behoben wurden, und sie arbeiten in der Regel mit dem Hacker zusammen am Artikel oder Blog. Ohne ein strukturiertes Mittel, Sicherheitslücken zu melden und diesen Dialog mit Hackern anzustoßen, erhöhen wir das Risiko, dass sich jemand frustriert an die Presse wendet, weil er uns nicht kontaktieren konnte. Viele Organisationen ermutigen proaktiv Sicherheitsforscher dazu, ihre Erfahrungen mit der Arbeit mit der Organisation aufzuschreiben, da sie den Erfolg des VDP unterstreichen. Dadurch werden auch andere erfahrene Hacker der Community unterstützt. |
| Wie können wir sicher sein, dass das VDP für uns funktioniert? Was passiert, wenn wir öffentlich werden und etwas Schlimmes passiert? | Die meisten VDPs beginnen im „privaten“ Modus, in dem das Programm nicht öffentlich angekündigt wird und nur eine Handvoll Hacker zur Teilnahme eingeladen wird. Im Laufe der Zeit werden mehr Hacker eingeladen und das Programm wird nach und nach auf die „öffentliche Einführung“ und die entsprechende Ankündigung ausgeweitet. Wir halten dich auf dem Laufenden und informieren dich, sobald das Programm öffentlich verfügbar ist. Wenn dies geschieht, können wir darauf aufmerksam machen, wie die Organisation mit der externen Sicherheitsforscher-Community zusammenarbeitet, um die Sicherheit zu verbessern und die Nutzer zu schützen. |
Vertrieb
Ihr Vertriebsteam benötigt Belege, um die Vorteile Ihres Unternehmens gegenüber Mitbewerbern zu demonstrieren. Im Rahmen des Vertriebsprozesses werden Organisationen häufig einer Sicherheitsüberprüfung des Anbieters unterzogen, um das Vertrauen der Kunden zu gewährleisten. Ein VDP zeigt deinen Kunden, dass du ein ausgereiftes Sicherheitsprogramm hast und dieses durch die Zusammenarbeit mit externen Sicherheitsexperten weiter ausbauen kannst. Wenn Ihre engen Mitbewerber kein VDP haben, können Sie das bei der Kommunikation mit potenziellen Kunden als Vorteil nutzen. Arbeiten Sie mit dem Verkaufsteam zusammen, um eine Handlung zu entwickeln, die potenziellen Kunden bei Fragen zur Sicherheit der Organisation mitgeteilt wird.
Beispiel:
| Wir setzen ein Programm zur Offenlegung von Sicherheitslücken ein, um unsere bestehenden robusten Sicherheitsprozesse zu verbessern. Das funktioniert wie ein Sicherheitsnetz oder eine Nachbarschaftswache, um Sicherheitsprobleme in der Produktion nahezu in Echtzeit zu identifizieren. So verringern wir die Wahrscheinlichkeit von Sicherheitsverletzungen und sorgen so dafür, dass Ihre Daten sicher sind. Damit haben wir einen klaren Vorteil gegenüber Mitbewerbern, die kein Programm zur Offenlegung von Sicherheitslücken haben. |
Finanzen
Die Finanzabteilung ist wahrscheinlich stärker involviert, wenn du von einem VDP zu einem Programm für Sicherheitslücken (Vulnerability Rewards Program, VRP) wechselst. Wenn du Dienste von einer Drittanbieterplattform erwirbst, müssen sie allerdings einbezogen werden. Wenn du bei der Einrichtung deines VDP mit einem Drittanbieter zusammenarbeiten möchtest, musst du wahrscheinlich ein Budget für diese Dienste einplanen. Es mag unkompliziert erscheinen, aber es empfiehlt sich, frühzeitig mit Ihrem Finanzteam zu sprechen, um den Prozess zu verstehen.
Kommunikationsansatz
Sie müssen die besten Kommunikationsmethoden für Ihr Unternehmen bestimmen, um die Einbindung der Stakeholder zu erreichen. Wenn Sie davon ausgehen, dass der Großteil Ihrer Organisation akzeptabel ist, können Sie oft mit einem einzigen Vorschlag fortfahren, Feedback einholen und ein einzelnes Gespräch über Fragen und Bedenken abhalten. Wenn dieser Ansatz in Ihrem Unternehmen nicht funktioniert, ist ein besserer Ansatz möglicherweise mit den einzelnen Stakeholdern zu besprechen. Du solltest bereit sein, mit Einwänden oder Fragen rund um das Risiko eines VDP umzugehen. Wenn du die Idee eines VDP im gesamten Unternehmen präsentierst, musst du die Vorteile verkaufen und echte und wahrgenommene Risiken zuversichtlich angehen.