Ethische hackers die bij het Centrum voor Cybersecurity België (CCB) een beveiligingslek melden krijgen daarvoor een speciaal ontworpen T-shirt. ‘Een ludieke actie rond een ernstig onderwerp’, klinkt het bij het CCB.
In het kader van het nationale beleid inzake gecoördineerde melding van kwetsbaarheden (de zogenaamde coordinated vulnerability disclosure of CVD), biedt het Centrum voor Cybersecurity België (CCB) een T-shirt aan. Zo’n shirt krijg je niet zomaar: het is bestemd voor ethische hackers die met succes aan het CCB en de betrokken overheidsinstantie bevestigde beveiligingslekken over it-systemen van een Belgische overheidsinstantie hebben gemeld.
Dat blijkt uit een recente campagne die CCB via sociale media laat lopen. Let wel, om in aanmerking te komen moet de betreffende melding terecht komen in een rapport dat naar het e-mail-adres vulnerabilityreport[at]cert.be moet worden gestuurd. De melder moet ook gebruik maken van het speciale formulier dat beschikbaar is op de CCB website: https://ccb.belgium.be/en/vulnerability-policy.
Bug bounty
‘Wij hebben inderdaad T-shirts ontworpen om hackers te belonen die ons kunnen wijzen op interessante bugs. Dit is een ludieke actie rond een ernstig onderwerp’, bevestigt Katrien Eggers, communicatieverantwoordelijke en woordvoerder bij het CCB. Daarnaast wijst ze op verschillende publicaties die het CCB aanbiedt om organisaties te helpen bij het uitwerken van zo’n CVD-systeem.
In zo’n publicatie lezen we dat ‘beloningen of een publieke erkenning door de verantwoordelijke organisatie het CVD-beleid aantrekkelijker maakt voor de deelnemers en vaak leidt tot betere resultaten voor de organisatie.’ ‘Het kan zelfs gaan om een puur symbolisch geschenk zijn: bijvoorbeeld een T-shirt, een sticker of een speciale mok’, aldus die voorschriften.
Toch lijkt het erop dat het bij het CCB zelf vooral bij een eerder symbolisch geschenk, zoals een T-shirt, blijft. Een uitgewerkt bug-bounty-programma lijkt de overheidsorganisatie alvast al niet te plannen. ‘In de eigen procedure wordt er inderdaad niet expliciet verwezen naar een bug-bounty-programma’, zo bevestigt Eggers.