Sicherheitsteam
Das Sicherheitsteam ist der wichtigste Stakeholder für dein VDP. Neben der Arbeit, die zur Vorbereitung auf den Start und die Durchführung eines VDP erforderlich ist, ist es schwieriger, die Unterstützung von externen Sicherheitsteams zu gewinnen, wenn Ihr Sicherheitsteam nicht am Programm teilnimmt.
Bei der Einführung eines VDP kann man manchmal ein Gefühl von Stolz oder Defensivität ausdrücken. Das Sicherheitsteam hat möglicherweise das Gefühl, dass externe Sicherheitsexperten, die Sicherheitslücken entdecken, die es übersehen haben, ihre Fehler deutlich machen. Unternehmen haben große und komplexe Angriffsflächen und das Sicherheitsteam kann einfach nicht von einer perfekten Abdeckung erwartet werden. Die Erzählung sollte nicht darin bestehen, mit dem Finger zu zeigen oder jemandem die Schuld zu geben. Wenn Forscher Sicherheitslücken entdecken, sollten diese Daten als umsetzbares Feedback genutzt werden, um Ihrem Team dabei zu helfen, den Sicherheitsstatus Ihrer Organisation zu verbessern. Es ist von entscheidender Bedeutung, Ihr Sicherheitsteam in eine andere Richtung zu lenken, um externe Hacker als Erweiterung des Teams und nicht als Angreifer zu betrachten. Wie bereits erwähnt, solltest du auch dafür sorgen, dass dein Sicherheitsteam proaktiv über den Umgang mit Erkennungs- und Reaktionsmechanismen im Zusammenhang mit deinem VDP gesprochen hat.
IT
Die Informationstechnologie hat für jedes Unternehmen unterschiedliche Bedeutungen und jedes Unternehmen hat seine eigenen IT-bezogenen Rollen. Für die Zwecke dieses Leitfadens nehmen wir an, dass IT die Personen und Teams umfasst, die für die Einrichtung, Wartung und den Support von Systemen und Diensten verantwortlich sind, auf die sich das Unternehmen verlässt. IT-Teams möchten in der Regel alles am Laufen halten. Dies ist häufig direkt mit Erfolgsmesswerten verbunden (z. B. ununterbrochene Betriebszeit). Es mag zwar beängstigend wirken, Hacker aufzufordern, die von ihnen verwalteten Systeme und Dienste zu testen, aber es kommt für die IT sehr gut an. Kriminelle halten sich nicht an Regeln und könnten versuchen, Ihre Organisation anzugreifen. Wenn Sie einen standardisierten Kanal erstellen, über den gute Hacker mit Ihrer Organisation zusammenarbeiten können, steigt die Wahrscheinlichkeit, dass Sicherheitsprobleme identifiziert und behoben werden, bevor sie von Kriminellen ausgenutzt werden. Mit Sicherheitsverletzungen sind erhebliche Kosten verbunden, darunter die für die IT und andere Personen aufgewendete Zeit sowie potenzielle Ausfallzeiten, wenn Assets aufgrund eines Sicherheitsverstoßes vorübergehend heruntergefahren oder segmentiert werden müssen. Ein VDP kann dabei helfen, das Risiko von Datenpannen zu verringern. Darüber hinaus kann die Aufklärung von Hackern bei der Erkennung von Assets und der Identifizierung von betrügerischen Systemen und Diensten helfen, die ohne Beteiligung des IT-Teams eingerichtet wurden.
Entwicklung
Sofern dein Sicherheitsteam die Aufgabe der Behebung von Sicherheitslücken nicht im Auftrag deines Entwicklerteams übernimmt, muss dein Entwicklerteam in das VDP einbezogen werden. Niemand mag unerwartete Arbeit und VDPs führen zu neuen Sicherheitslücken, die sich Entwicklerteams angehen müssen. Es ist wichtig, mit der Leitung der Entwicklungsabteilung zusammenzuarbeiten, um sicherzustellen, dass sie über den Zeitplan für den Start deines VDP informiert ist und sie für die Behebung von Fehlern unterstützt. Wenn ein VDP gestartet wird, gibt es in der Regel eine hohe Anzahl von Fehlern zu Beginn, die dann bis auf ein moderates Maß eingeschränkt werden. Wenn das Engineering-Team in den ersten Wochen des Programms viele Fehler beheben kann, wird der Prozess für das Entwicklerteam, das Sicherheitsteam und die Hacker, die an deinem VDP teilnehmen, viel einfacher. Da du das Engineering-Team um zusätzliche Arbeit bittest, ist es hilfreich, darzulegen, welche Vorteile ein VDP bietet.
Legal
Die Rechtsabteilung möchte Risiken reduzieren. Das Konzept, Hacker proaktiv dazu aufzufordern, Ihre Organisation zu hacken, ohne zusätzlichen Kontext, kann sehr riskant erscheinen. Es ist wichtig, mit deiner Rechtsabteilung zusammenzuarbeiten, um abzuklären, wie ein VDP nicht nur die Sicherheitsrisiken, sondern auch die rechtlichen Risiken reduzieren kann. Unabhängig davon, ob du ein VDP hast oder nicht, wird es Sicherheitslücken geben. Ohne ein VDP können Hacker, die das Richtige tun und dich über das Problem informieren wollen, keinen Standardweg haben, um dich zu erreichen. Ein VDP bietet Sicherheitsforschern die Möglichkeit, Sicherheitslücken zu finden und zu schließen, bevor sie zu einem rechtlichen Problem werden. Ohne einen Kanal für Berichte zu Sicherheitslücken geben Personen, die Sicherheitslücken identifizieren, entweder den Versuch aufgeben, sie dir zu melden, oder veröffentlichen das Problem, um die Aufmerksamkeit auf das Problem zu lenken und dafür zu sorgen, dass es behoben wird.
Öffentlichkeitsarbeit
Abhängig von den Erfahrungen deines PR-Teams mit der Informationssicherheit können die Reaktionen auf einen Vorschlag zur Initiierung eines VDP von Wann beginnen wir? bis hin zu schockiertem Ergebnis und einer kompletten Ablehnung der Idee reichen. Während sich die öffentliche Wahrnehmung von Hacking immer positiver verändert hat, hat das Wort Hacker für viele Menschen immer noch negative Konnotationen. In der folgenden Tabelle sind häufige Fragen und Bedenken der PR-Abteilung aufgeführt und erläutert, wie Sie mit diesen Einwänden umgehen können.
| Frage/Einwand | Mögliche Antwort |
|---|---|
| Sind Hacker nicht böse? Soll die Einladung, uns zu hacken, einfach nur nach Problemen fragen? | Nein. Kriminelle werden immer existieren und wollen uns hacken und ausnutzen, aber ein VDP bietet die Möglichkeit, mit Hackern zusammenzuarbeiten, die das Richtige tun und uns helfen möchten, Sicherheitslücken zu finden und zu schließen. Wenn jemand böse sein will, wird ein VDP ihn nicht aufhalten. |
| Was passiert, wenn ein Hacker uns tatsächlich hackt, anstatt uns zu helfen? | Wenn jemand böse Absichten hat, wird er wahrscheinlich nicht am VDP teilnehmen. Stattdessen versuchen sie, bei einem Angriff so anonym wie möglich zu bleiben. Im Rahmen eines VDP können wir mit Sicherheitsforschern zusammenarbeiten, die uns dabei unterstützen möchten. |
| Wenn wir Hacker um Hilfe bitten, geben wir zu, dass unsere eigene Sicherheit schlecht ist? | Keine Organisation verfügt über perfekte Sicherheit. Viele, sehr bekannte Organisationen in verschiedenen Branchen führen öffentliche Programme zur Offenlegung von Sicherheitslücken oder Bug-Bounty-Programme durch, um ihre bestehenden Sicherheitsprozesse zu erweitern. Die Nutzung der globalen Hacking-Community ist ein Sicherheitsnetz, das dabei hilft, alles zu finden und zu reparieren, was durch das Raster fällt. Tatsächlich kann ein VDP für positive PR zur Sicherheit genutzt werden. |
| Was passiert, wenn ein Hacker öffentlich offenlegt, wie er uns gehackt hat? Sehen wir nicht schlecht aus? | Das hängt vom Narrativ und der Art der Offenlegung ab. Es liegt an uns, mit den Hackern zusammenzuarbeiten, um Vereinbarungen über die Funktionsweise der Offenlegung zu treffen. Die meisten Organisationen raten davon ab, erkannte Probleme öffentlich zu veröffentlichen, bis sie behoben wurden. In der Regel arbeiten sie mit dem Hacker zusammen am Bericht oder im Blog. Ohne strukturierte Möglichkeiten, um Sicherheitslückenberichte zu akzeptieren und mit Hackern in Kontakt zu treten, erhöht sich das Risiko, dass ein Nutzer frustriert ist und direkt an die Presse geht, weil er uns nicht kontaktieren konnte. Viele Organisationen ermutigen Sicherheitsforscher proaktiv, ihre Erfahrungen aus der Zusammenarbeit mit dem Unternehmen aufzuschreiben, da dies den Erfolg des VDP unterstreicht. Das fördert die Beteiligung von erfahrenen Hackern in der Community. |
| Wie können wir sicher sein, dass das VDP für uns funktioniert? Was passiert, wenn wir an die Öffentlichkeit gehen und etwas Schlimmes passiert? | Die meisten VDP starten im privaten Modus, d. h., das Programm wird nicht öffentlich angekündigt und nur wenige Hacker werden zur Teilnahme eingeladen. Im Laufe der Zeit werden mehr Hacker eingeladen und das Programm wird nach und nach bis zu einer „öffentlichen“ Einführung und Ankündigung erweitert. Wir halten Sie über den Zeitplan auf dem Laufenden und halten Sie über den öffentlichen Start des Programms auf dem Laufenden. Wenn dies der Fall ist, können wir dies positiv darauf hinweisen, wie das Unternehmen mit der externen Sicherheitsforscher-Community zusammenarbeitet, um die Sicherheit zu verbessern und die Nutzer zu schützen. |
Umsätze
Ihr Vertriebsteam benötigt Nachweise, um die Vorteile Ihres Unternehmens gegenüber der Konkurrenz zu demonstrieren. Im Rahmen des Verkaufsprozesses unterziehen Unternehmen sich häufig einer Sicherheitsüberprüfung oder -prüfung des Anbieters, um das Vertrauen der Kunden zu gewährleisten. Ein VDP zeigt Ihren Kunden, dass Sie ein ausgereiftes Sicherheitsprogramm haben und dieses durch die Zusammenarbeit mit externen Sicherheitsforschern weiter ausbauen. Wenn Ihre engsten Mitbewerber kein VDP haben, kann dies außerdem ein Vorteil sein, wenn Sie mit potenziellen Kunden sprechen. Erarbeiten Sie zusammen mit dem Verkaufsteam eine Geschichte, die Sie potenziellen Kunden mitteilen können, wenn Fragen zur Sicherheit des Unternehmens aufkommen.
Beispiel:
| Wir setzen ein Programm zur Offenlegung von Sicherheitslücken ein, um unsere vorhandenen robusten Sicherheitsprozesse zu erweitern. Es fungiert wie ein Sicherheitsnetz oder eine Nachbarschaftswache, um Sicherheitsprobleme in der Produktion nahezu in Echtzeit zu identifizieren. So verringern wir die Wahrscheinlichkeit von Datenpannen, damit Ihre Daten sicher sind. Dies verschafft uns einen soliden Vorteil gegenüber unseren Mitbewerbern, die kein Programm zur Offenlegung von Sicherheitslücken haben. |
Finanzen
Die Finanzabteilung ist wahrscheinlich stärker involviert, wenn Sie von einem VDP zu einem Vulnerability Reward Program (VRP) wechseln. Diese müssen jedoch einbezogen werden, wenn Sie Dienste von einer Drittanbieterplattform kaufen. Wenn du einen Drittanbieter mit der Einrichtung deines VDP beauftragen möchtest, musst du wahrscheinlich ein Budget für diese Dienste einplanen. Es mag wie eine Kleinigkeit erscheinen, aber es ist eine gute Idee, frühzeitig mit Ihrem Finanzteam zu sprechen, um den Prozess zu verstehen.
Kommunikationsansatz
Um die Zustimmung der Stakeholder zu gewinnen, müssen Sie die besten Kommunikationsmethoden für Ihr Unternehmen ermitteln. Wenn Sie davon ausgehen, dass der Großteil Ihrer Organisation damit einverstanden ist, können Sie häufig mit einem einzigen Vorschlag fortfahren, Feedback einholen und ein einziges Meeting abhalten, um eventuelle Fragen und Bedenken zu besprechen. Wenn dieser Ansatz in Ihrem Unternehmen nicht funktioniert, ist es möglicherweise besser, einzelne Stakeholder zu treffen, um ihre persönlichen Fragen oder Bedenken zu besprechen. Bereite dich darauf vor, mit Einwänden oder Fragen zu Risiken umzugehen, die mit der Einführung eines VDP verbunden sind. Wenn du die Idee eines VDP in deinem gesamten Unternehmen vorstellst, musst du die Vorteile verkaufen und reale und vermeintliche Risiken souverän begegnen.