Startup HackerOne: Samenwerken met de ‘vijand’

De startup HackerOne brengt op zijn platform hackers en organisaties samen. Het is een intrigerend voorbeeld van digitale disruptie in de wereld van cyber security.

Door: Eric Kokke

Hackers vragen om beveiligingslekken in de eigen organisatie op te sporen. Hoewel niet nieuw, is het nog steeds opzienbarend. Een paar jaar geleden was een dergelijke manier om de eigen IT-beveiliging te auditen geen gewoonte. Toch hebben diverse organisaties op die manier successen geboekt met het op orde krijgen van hun informatiebeveiliging. Pioniers op dit gebied zijn de oprichters van HackerOne.

Deze voormalige Groningse studenten haalden ooit de voorpagina’s toen zij het voor elkaar hadden gekregen om de ov-chipkaart te hacken. Toen zij er ook in slaagden om enkele beveiligingsissues van Google en Facebook aan het licht te brengen, was het idee voor HackerOne geboren. Dit initiatief groeide uit tot een platform waar zogenaamde White Hat hackers – ook wel ‘vriendelijke hackers’ of ’ethische hackers’ genoemd – worden samengebracht met organisaties.

Het platform trok niet alleen de aandacht van een aantal grote informatie-intensieve bedrijven als Twitter, Adobe, Airbnb en Snapchat, maar ook van investeerders. Met het binnenhalen van 25 miljoen dollar was HackerOne een van de meest succesvolle startups van 2015. Inmiddels bestaat het klantenbestand uit 380 bedrijven en er zijn ruim 17.000 bugs verholpen.

Marktplaats voor beveiligingslekken

Op het platform kunnen organisaties de aangesloten hackers vragen om beveiligingslekken op te sporen. Geïnteresseerde hackers gaan vervolgens aan de slag om met hun kennis en vaardigheden de systemen te ‘kraken’. Gevonden lekken melden zij aan de opdrachtgevende organisatie. De organisatie kan vervolgens besluiten zelf met eigen experts de beveiligingslekken te dichten of HackerOne om advies en oplossingen te vragen.

Het gebruik van het platform is gratis. De opdrachtgever betaalt pas op het moment dat een hacker iets heeft ontdekt, dit rapporteert en indien gewenst oplost. De organisatie bepaalt vervolgens zelf wat de melding waard is en betaalt dan het bedrag aan HackerOne. Zij zorgen, na aftrek van 20 procent commissie, dat het bedrag bij de betreffende hacker terechtkomt. Kiest een organisatie voor de adviesdiensten om de gevonden problemen te verhelpen, dan maakt HackerOne een offerte.

De kracht en de vernieuwing van HackerOne zit vooral in het platform. Het proactief en gestructureerd hackers vragen te zoeken naar beveiligingslekken is een trendbreuk met de situatie waarin ethische hackers zelf aan de slag gaan en organisaties informeren. Het platform biedt een uitgebreid profiel en een ratingsysteem waarmee een organisatie de betrouwbaarheid en de competenties van een hacker kan beoordelen en beslissen of ze met deze persoon verder willen gaan.

Wisdom of the crowd

HackerOne, gevestigd op de campus van The Hague Security Delta, ziet zichzelf als een informatiebeveiligingsbedrijf dat gebruik maakt van de enorme kennis waarover hackers beschikken. Een paradox, want waren hackers niet de reden dat informatiebeveiliging al jaren voor vele organisaties een bron van zorg is?

Deze opvallende dienstverlening (er is toch sprake van samenwerking met een ‘oude vijand’) is een goed voorbeeld van het gebruik maken van ‘wisdom of the crowd’. Blijkbaar realiseren veel organisaties zich dat deze ‘crowd’ meer expertise bezit dan de eigen experts. Die expertise, tezamen met het platform, zorgt voor een digitale disruptie in de wereld van cyber security.

Risico’s

Vertrouwen is van groot belang voor een organisatie die werkt in de beveiligingsbranche. Bij de manier waarop HackerOne vorm geeft aan zijn diensten is het essentieel. Tot nu toe gaat het goed: meldingen van misbruik van kennis door de ingezette hackers zijn er, zover bekend, nog niet geweest. Maar het blijft dansen op de vulkaan.

Eric Kokke is marketingmanager van GO opleidingen.

Deze bijdrage komt uit IP nr. 1 / 2016. Het gehele nummer kun je hier lezen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *