facebook
070 - 3 560 570 info@cash.nl

Arthur Los: “Onze software is aantoonbaar veiliger door hackers”

Wist je dat wij hackers betalen? Visma CASH heeft binnen het Visma Security Programma de platinum status bereikt en dat betekent dat onze software ontzettend hoog scoort op het gebied van veiligheid. Wij hebben zelfs zoveel vertrouwen in ons product dat wij via het bug bounty programma ‘security researchers’, ofwel ethische hackers, uitnodigen om op zoek te gaan naar zwakke plekken in onze software. Maar wat is ethisch hacken eigenlijk? En waarom is het zo belangrijk voor ons bedrijf? Arthur Los, Tech Lead en Software Architect bij Visma CASH legt het uit.


Wat is het bug bounty programma?
Arthur: “het is een programma waarbij een geselecteerde groep ethische hackers wordt uitgenodigd om, tegen betaling, kwetsbaarheden te vinden in onze software. Voor elk issue dat ze vinden en als eerste melden krijgen ze geld. Dat is dus de bounty. En des te erger het issue, des te groter de bounty.”


Waarom nodigen we hackers uit?
Onze software heeft een complexe structuur met miljoenen regels aan code dus je ontkomt er eigenlijk niet aan dat er kwetsbaarheden ontstaan. “Maar je wilt niet dat iemand een achterdeurtje vindt waar ze gebruik van kunnen maken. We hebben een heel breed product waar veel bedrijfskritische data van onze klanten in staat en deze informatie moet niet zomaar op straat komen te liggen” aldus, John Dijns, Managing Director bij Visma CASH. Ethische hackers geven ons inzicht in hoe we het zouden doen als een hacker met kwade bedoelingen zich op onze software richt. Zo kunnen eventuele bugs en zwakke plekken in het systeem heel gericht verholpen worden. Arthur: “Het maakt onze software aantoonbaar veiliger. Alles wat gevonden wordt kan niet door een kwaadaardige hacker misbruikt worden.”


Hoe ziet dat proces er uit?
Arthur: “hackers die deel uitmaken van het programma kunnen zich registreren voor CASHWeb om hiermee te gaan testen.” Voordat zij aan de slag gaan worden de wettelijke grenzen bepaald. Ze krijgen steeds toestemming om een bepaald onderdeel van de software te hacken en mogen op dat moment niet aan andere onderdelen komen. “Als zo’n hacker iets vindt wordt dat aan het Visma bug bounty team gerapporteerd. En als het om een nieuwe melding gaat zetten zij deze door naar ons.” “Wij beoordelen de melding en bepalen wat de mogelijke impact is. Pas als de melding geldig is verklaard wordt de hacker betaald door Visma. Wij lossen het probleem vervolgens op én zorgen ervoor dat zo’n zelfde situatie niet ergens anders kan voorkomen. Hierna kan de hacker nog gevraagd worden om het nogmaals te testen ter controle.”


Daar komen dus een hoop regels bij kijken.
John: “Absoluut, het is een uitgebreid proces. Als je het Arthur vraagt dan zegt hij dat we ‘gewoon’ de stappen hebben doorlopen om de platinum status te bereiken. Maar als het gewoon wat stappen doorlopen is dan had iedereen dat gedaan. Je bereikt niet zomaar de platinum status. Ons Development team heeft daar enorm hard aan gewerkt en daar zijn we echt super trots op!”