Organisaties zonder duidelijk bug bounty-programma gaan vaak slecht om met gerapporteerde problemen, blijkt uit een onderzoek van Intigriti.
44 procent van de bedreigingen gedeeld met een organisatie zonder bug-programma blijft onbeantwoord. Dat weet ethisch hackerscollectief en bug bounty-platform Intigriti. Volgens een rondvraag bij de eigen ethische hackers heeft 70 procent al problemen gevonden bij organisaties die geen duidelijk rapportagesysteem in voegen hebben.
In 12 procent van de gevallen escaleren de hackers het rapport niet. Doen ze dat wel, dan geeft 32 procent aan dat de rapportage spaak loopt en de melding ergens blijft plakken, zonder dat er duidelijke actie wordt ondernomen. Op die manier redeneert Intigriti dat 44 procent van de gedetecteerde lekken open blijft voor uitbuiting.
Vooral mannen
Intigriti wil organisaties bewust maken van het nut van ethische hackers, waarmee het natuurlijk voor eigen rekening werkt. De organisatie wijst erop dat de ethische hackers geen anoniem collectief zijn, maar een verzameling van gemotiveerde personen. 70 procent van hen hackt om bij te leren, terwijl voor 63 procent ook geld een rol speelt. 84 procent is tussen de 18 en de 34 jaar oud. Het valt verder op dat hacken in de praktijk een aangelegenheid voor mannen blijft. Van de bij Intigriti aangesloten ethische hackers geeft amper 3 procent aan vrouw te zijn.
Het belangrijkste punt van het rapport is dat je een duidelijk systeem voor rapportage van bugs nodig hebt, al dan niet in het kader van een bug bounty-programma. Vindt een specialist digitale lekken, dan zorg je er maar beter voor dat je die informatie snel kan gebruiken om de problemen te verhelpen.