Het VCDV biedt twee vormen van ethical hacking aan:

1. Vulnerability Disclosure Program (VDP)

Een Vulnerability Disclosure Program stelt organisaties in staat om op een laagdrempelige en gestructureerde manier kwetsbaarheden te laten melden en oplossen.

Het verschil met een bug bounty programma is dat je met een VDP aangeeft dat je (publieke) applicaties getest morgen worden en dat er een veilige en legale manier is om beveiligingsproblemen te rapporteren.

Deze service is gratis voor Vlaamse en lokale overheden. Het gebruik ervan valt onder de overeenkomst die het Vlaams Centrum voor Digitale Veiligheid heeft opgezet en organisaties moeten geen budget voorzien voor beloningen.

Deze vorm van ethical hacking is meer geschikt voor entiteiten die hun maturiteit op vlak van digitale veiligheid willen opbouwen en voor platformen die al redelijk stabiel zijn. Typisch worden er hier ‘simpele’ bugs gevonden.

2. Bug Bounty

Daarnaast kan u ook gebruik maken van ‘bug bounty’, de meest gekende vorm van ethical hacking. Hierbij worden specifieke opdrachten uitgeschreven via een hackingplatform en worden ethische hackers uitgedaagd om dieperliggende kwetsbaarheden te vinden. Organisaties betalen per gevonden bug.

Deze vorm van ethische hacking is meer diepgaand en is vooral interessant voor applicaties die kritisch zijn voor de werking van een organisatie of in gevallen waar er een hoge aanvalskans is.

Waar het vroegere ethical hacking-programma van Digitaal Vlaanderen vooral gericht was op het vlaanderen.be-domein, kan u nu een eigen programma opzetten en beheren. Op die manier kan uw organisatie gerichter inspelen op kwetsbaarheden binnen de eigen digitale omgeving en zorgen voor een efficiëntere opvolging van meldingen.

Daarnaast is het proces veel toegankelijker en sneller geworden. Het Vlaams Centrum voor Digitale Veiligheid heeft een overeenkomst opgezet met YesWeHack, een Europees hacking platform. Daarbinnen is er een sjabloon uitgewerkt dat past bij de context van de Vlaamse overheid en de lokale besturen.

Als u interesse hebt in Ethical Hacking, kan u ons contacteren via mail(opent in uw e-mail applicatie). Daarna overlopen we in grote lijnen de volgende stappen:

• We starten met het afstemmen van uw doelstellingen en helpen bij het opstellen van een duidelijke ‘briefing’, zowel voor de Vulnerability Disclosure Policy (VDP) als voor een bug bounty. Daarin worden de scope en de regels voor de testen vastgelegd.

• Wij houden het overzicht om overlap of tegenstrijdigheden te vermijden, zodat we tijd en middelen efficiënt inzetten.

• We publiceren uw VDP of bug bounty op het ethical hacking platform YesWeHack, inclusief de nodige juridische voorwaarden en richtlijnen.

• We bieden ondersteuning als uw organisatie bijkomende hulp nodig heeft bij het opvolgen van een gemelde kwetsbaarheid of in geval van escalatie.

• We voorzien rapportering via een centraal dashboard.

Ethical Hacking is beschikbaar voor alle entiteiten van de Vlaamse overheid en lokale besturen.

• Meer weten over pentesten?
• Meer weten over de kwetsbaarheidsscan?
• Een overzicht van ons volledige ondersteuningsaanbod.