Die Magie der Crowdsourced Security: Die Bug Bounty Geschichte von netplus.ch
Wie bleibt ein Schweizer Telekommunikationsanbieter mit einem kleinen IT-Team den wachsenden Bedrohungen der Cybersicherheit voraus? Jean-Blaise Rey, Head of Applications bei netplus, erklärt, wie die Nutzung von Bug-Bounty-Programmen und das kollektive Wissen von ethischen Hackern die Verteidigungsstrategie des Unternehmens verstärken, zur laufenden Sicherheit ihres Netzwerks beitragen und das Vertrauen ihrer Kunden erhalten.
Im malerischen Herzen der französischsprachigen Schweiz gelegen, bietet netplus.ch SA einen lokalen Touch in der weiten Welt der Telekommunikation. Jean-Blaise Rey, Head of Applications, konzentriert sich auf die Bereitstellung sicherer und zuverlässiger Dienste und legt dabei den Schwerpunkt auf die Cybersicherheit, um sensible Kundendaten zu schützen. Um mit der sich schnell entwickelnden Cyber-Bedrohungslandschaft Schritt zu halten, führt netplus sowohl ein privates als auch ein öffentliches Bug-Bounty-Programm mit GObugfree durch und schöpft aus der kollektiven Intelligenz ethischer Hacker, um ihre digitale Sicherheit zu stärken.
Jean-Blaise, was hat netplus.ch dazu bewegt, Bug-Bounty-Programme als Teil eurer Cybersicherheitsstrategie einzuführen?
In einem wettbewerbsintensiven und regulierten Umfeld mit begrenzten Ressourcen und einem kleinen IT-Team benötigten wir eine robuste Cybersicherheitsstrategie. Unsere Erfahrungen mit traditionellem Pentesting waren begrenzt, oft eingeschränkt durch unseren Fokus auf schnelle Markteinführung. Das Bug-Bounty-Programm von GObugfree bot uns eine proaktive und kosteneffektive Lösung, um unsere Sicherheit zu verbessern, indem es kontinuierliche, professionelle Tests durch ethische Hacker ermöglichte. Die Experten bei GObugfree leiteten uns auf unserer Lernreise: Wir konnten klein anfangen und das Programm erweitern, während wir die notwendige Expertise und Fähigkeiten in unserem Team entwickelten.
Das Bug Bounty Programm ermöglichte es uns, unsere Cybersecurity-Fähigkeiten über den Umfang unseres internen Teams hinaus zu erweitern und gab uns Zugang zu einem Heer von geschickten Verbündeten.
Angesichts der Position von netplus.ch als kleinerer Akteur, wie hat das Bug-Bounty-Programm euch geholfen, diese Herausforderungen anzugehen?
Das Bug-Bounty-Programm ermöglichte es uns, unsere Cybersicherheitsfähigkeiten über den Umfang unseres internen Teams hinaus zu erweitern und gab uns Zugang zu einem Heer von geschickten Verbündeten. Durch die Zusammenarbeit mit GObugfree nutzen wir die Kraft dieses globalen Teams ethischer Hacker, um Sicherheitsherausforderungen schnell aufzudecken und anzugehen. So können wir Schwachstellen selbstbewusst angehen und unsere Sicherheitslage verbessern, auch mit einem kleineren IT-Team.
Kannst du uns ein wenig über eure Bug-Bounty-Reise erzählen - vom anfänglichen Skeptizismus bis zur vollständigen Integration des Bug-Bounty-Programms in die Sicherheitsmassnahmen von netplus.ch
Als wir mit dem Bug-Bounty-Programm begannen, war Cybersicherheit ein neues Thema für uns. Es gab Bedenken bezüglich der Offenlegung von Schwachstellen und der Bewältigung des potenziellen Zustroms von Berichten. Also fingen wir klein an, indem wir unsere öffentlich zugänglichen Entwicklungen mit einem privaten Bug-Bounty-Programm testeten, das auf eine Handvoll Sicherheitsforscher beschränkt war.
Wir haben schnell zahlreiche Schwachstellen identifiziert, die uns die Lücken in unseren Sicherheitspraktiken aufgezeigt und unseren Entwicklern wertvolle Lektionen vermittelt haben. Nachdem wir diese Probleme erkannt und behoben haben, haben wir das Programm erweitert, um ein zweites einzuschliessen. Unser produktiver Code ist Teil eines öffentlichen Programms, während der Umfang des privaten Programms auf neue Entwicklungen ausgerichtet ist.
Anfangs war ich die einzige Person, die Berichte aus dem Bug-Bounty-Programm überprüfte, und die Ergebnisse als eine sekundäre Aufgabe in unseren Workflow integrierte. Jetzt, mit engagierten Kollegen, die eine Leidenschaft für Cybersicherheit mitbringen, priorisieren und adressieren wir die Befunde schnell. Diese Reise hat nicht nur unsere Sicherheit verbessert, sondern uns auch auf zukünftige regulatorische Anforderungen vorbereitet und unser allgemeines Sicherheitsbewusstsein erhöht.
Das Programm war entscheidend, das Bewusstsein nicht nur unter unseren Entwicklern, sondern in der gesamten Firma für die Bedeutung von Sicherheit von Grund auf zu schärfen. Es hob Schwachstellen hervor, die wir nicht bedacht hatten, und bot unschätzbare Tests in der realen Welt.
Was waren eure wichtigsten Vorteile und Lernergebnisse seit der Implementierung des Bug-Bounty-Programms?
Das Programm war entscheidend, das Bewusstsein nicht nur unter unseren Entwicklern, sondern in der gesamten Firma für die Bedeutung von Sicherheit von Grund auf zu schärfen. Es hob Schwachstellen hervor, die wir nicht bedacht hatten, und bot unschätzbare Tests in der realen Welt. Die kooperative Natur des Programms mit GObugfree hat nicht nur unsere Sicherheitslage verbessert, sondern auch eine Kultur des kontinuierlichen Lernens und Verbesserung in unserem Team gefördert.
Die Einsichten und Fortschritte, die durch unsere Bug-Bounty-Initiativen angekurbelt wurden, erweisen sich als unschätzbar und leiten uns dabei, unser Cybersicherheitsframework zu stärken, um die anspruchsvollen Standards der ISO 27001 Zertifizierung zu erfüllen.
Wie plant netplus.ch, seine Sicherheitspraktiken weiterzuentwickeln?
Derzeit konzentrieren sich unsere Bemühungen auf die Überprüfung von Entwicklungen, die wir intern erstellt haben. Wir erkunden auch die Möglichkeit, das Programm auf Plattformen von Drittanbietern auszuweiten, in Anerkennung der kritischen Rolle, die sie in unserer gesamten Sicherheitslandschaft spielen. Wir diskutieren darüber, wie wir diese Komponenten effektiv in unser Bug-Bounty-Programm integrieren können.
Die Bewegung hin zur ISO 27001-Zertifizierung ist ein bedeutender Meilenstein vor uns. Wir haben bereits die Grundlagen für dieses umfassende Projekt gelegt, das sich bis 2024-2025 erstrecken soll. Das Erreichen dieser Zertifizierung erfordert strenge Prozesse und Praktiken, eine Herausforderung, der wir uns zu stellen bereit sind. Die Einsichten und Fortschritte, die durch unsere Bug-Bounty-Initiativen angekurbelt wurden, erweisen sich als unschätzbar und leiten uns dabei, unser Cybersicherheitsframework zu stärken, um diese anspruchsvollen Standards zu erfüllen.
Würdest du das Bug-Bounty-Programm von GObugfree anderen KMUs empfehlen?
Absolut. Unsere Zusammenarbeit mit GObugfree, einem Schweizer Unternehmen, war unschätzbar und ein Eckpfeiler unserer Cybersicherheitsstrategie. Der direkte Kontakt mit den Programmmanagern und die persönliche Unterstützung haben unsere Reise mit ihnen nicht nur effektiv, sondern auch wirklich angenehm gemacht. Ihr tiefes Verständnis für unsere Bedürfnisse und die nahtlose Integration in unsere Sicherheitspraktiken heben den Wert des Programms hervor. Mein Rat an andere KMU ist, das Bug-Bounty-Modell mit einer offenen Denkweise zu umarmen. Die externe Expertise und frischen Perspektiven, die es bringt, können die Cybersicherheitsverteidigung erheblich stärken und machen es zu einer lohnenden Investition für jede zukunftsorientierte Organisation.
Möchten Sie ein Bug-Bounty-Programm in Ihrem Unternehmen einführen?