”Get a bug if you find a bug”. 1983 försökte amerikanska Hunter & Ready locka välvilliga hackare till att leta upp fel och sårbarheter i bolagets operativsystem VTRX. Med en slogan som utlovade en Volkswagen Beetle – med smeknamnet “bug” på engelska, eller “bubblan” på svenska, ja ni fattar... – i belöning för en inrapporterad bugg, såddes fröet till den miljardindustri som dagens bug bounty programs utgör. Med ett bug bounty program kan företag och myndigheter motivera individer och grupper av hackare att leta efter skadlig kod och rapportera fyndet mot en belöning. Detta istället för att utnyttja eventuella säkerhetsbrister – eller i värsta fall sälja vidare information till tredje part. Idag har de flesta stora bolag egna bug bounty-program. Google var tidigt ute. Sedan 2010 har den globala it-giganten betalat ut över 21 miljoner dollar i buggbelöningar. Under 2018 delades 3,4 miljoner dollar ut, en summa som nästan fördubblades i fjol då 6,5 miljoner dollar hamnade i buggjägarnas fickor. Det är ganska många Folkabubblor. > I teorin har vi idag en extern säkerhetsavdelning som är igång dygnet runt SÄKERHETSTEAMET SOM ALDRIG SOVER Jacob Mattsson är cyber security line lead på Kindred Groups huvudkontor i Stockholm. Han leder ett team på tre person som utgör en del av en avdelning som tar hand om it-säkerhetsfrågor på en global nivå för hela bolagsgruppen. ”Vi hanterar allt från utbildning till väldigt tekniska ärenden. Det kan handla om hur man skriver säker kod, eller en ny funktion som techsidan vill ta reda på hur man ska säkra upp. I uppdraget ingår också att leta buggar på plattformar och infrastrukturer. Där använder sig Kindred Group sedan 2017 av externa buggjägare. ”Vi ser det som ett komplement och ett sätt att få ett kontinuerligt testande av vår plattform, istället för att göra det någon gång per år som tidigare. I teorin har vi idag en extern säkerhetsavdelning som är igång dygnet runt.” ' [https://cdn.breakit.se/assets/media/images/f3e3542f479c489859889593ddeef7f5.jpg]Jacob Mattsson. BJÖD IN 30-TAL HACKARE För att börja använda sig av buggjägare måste man bestämma sig för två saker: Vilka webbtjänster eller applikationer vill man att hackarna ska nagelfara i jakt på buggar, och vilka hackare ska få göra det? Kindred bjöd in ett 30-tal hackare som skulle ha Unibet.com, inklusive alla subdomäner, som jaktmarker. ”Vi valde Unibet.com för att det är vår kärnplattform och vårt äldsta varumärke. Det är viktigt att erbjuda något som var attraktivt för hackarna att undersöka, men som samtidigt inte var för stort och omfattande, då det skulle bli svårhanterat för oss som var nya i detta”. När projektet sjösattes i november 2017 var det först helt tyst. Jacob Mattsson och hans team rullade tummarna. ”Det var dubbla känslor: Å ena sidan hoppas man ju att säkerheten är 100-procentig, å andra sidan vet man att den inte är det, och vill veta. Efter en vecka kom det första ärendet, sedan började allt rulla på.” BEHÖVER VARA ATTRAKTIV FÖR ATT FÅ NAPP PÅ HACKERONE Två och ett halvt år senare har buggjägarna blivit en självklar del av it-säkerhetsavdelningens vardag. För några månader sedan gick man publikt ut på HackerOne, en plattform med 600 000 registrerade användare som jagar buggar mot belöning. Projektet innefattar idag Kindred Groups samtliga mobilappar och nästan alla varumärken, en ökning med 1 300 procent jämfört med starten 2017. ”Att öka omfattningen och ge hackarna fler saker att undersöka är nödvändigt för att få dem att komma tillbaka”, säger Jacob Mattsson. Att ständigt vara attraktiv för användarna på HackerOne är viktigt för att få ett stadigt flöde av inrapporterade brister. Annars blir det lätt en bergochdalbana, med toppar och dalar. Och under en dalperiod ökar risken för att något som kan utvecklas till ett stort och kostsamt problem går oupptäckt. > Våra processer var väldigt traditionella och inte särskilt kompatibla med ett > stadigt inflöde SNABB RESPONSTID EN NYCKELFAKTOR Nya saker att undersöka är en viktig faktor för att behålla buggjägarnas uppmärksamhet. En annan är att ha en snabb responstid och lösa de inrapporterade problemen så fort det går. ”Annars hittar andra samma fel och lägger flera timmar på att rapportera det till oss – förgäves. Då finns risken att de inte vill ödsla mer tid efter det.” I början var den interna responstiden att hitta korrekt ägare av sårbarheten ett problem för Jacob Mattsson och hans team. ”Våra processer var väldigt traditionella och inte särskilt kompatibla med ett stadigt inflöde. Vi tvingades förbättra våra interna processer och idag har 90 procent av alla inrapporterade problem en ägare inom 24 timmar.” VÄL VÄRT PENGARNA En tredje huvudfaktor för att behålla intresset hos buggjägarna är givetvis hittelönen. Sedan starten har Kindred Group ökat beloppet med 70 procent. Hittills har koncernen betalat ut 62 000 dollar. För Jacob Mattsson och Kindred Group är det en idag en självklarhet att investera i en extern säkerhetsavdelning som aldrig sover och som kan släcka gnistor innan en svårsläckt brand är ett faktum. ”Kostnaderna för att hantera allvarliga situationer när de väl har inträffat kan givetvis vara otroligt mycket större”.
