Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft een donatie van 100.000 dollar gekregen van cybersecuritybedrijf Huntress. Het geld, omgerekend zo’n 88.000 euro, wordt deels gebruikt om een medewerker fulltime in dienst te nemen. Het restant gaat de vrijwilligersorganisatie gebruiken om een bug bounty programma op te zetten.
Dat schrijft het Amerikaanse beveiligingsbedrijf Huntress op haar website.
Het Dutch Institute for Vulnerability Disclosure is een Nederlandse organisatie die het internet afspeurt naar kwetsbare systemen en zero-day exploits in softwareprogramma’s om bedrijven en hun klanten te beschermen tegen kwaadwillende hackers en cybercriminelen. DIVD werd in oktober 2019 opgericht door de ethische hackers Victor Gevers en Chris van ’t Hof en oud-Tweede Kamerlid Astrid Oosenbrug. Iedereen die zich inzet voor deze instantie, zo’n 70 ethische hackers, doet dat op vrijwillige basis.
DIVD vergaarde afgelopen jaar grote faam door de supply chain attack op het Amerikaanse IT-bedrijf Kaseya. Door een kwetsbaarheid in de Virtual System Administrator (VSA) software konden hackers ongemerkt gijzelsoftware installeren op de servers van klanten van Kaseya. Bij 800 tot 1.500 bedrijven wereldwijd gebeurde dat.
Nederlandse beveiligingsspecialisten en ethische hackers van DIVD wisten de ketenaanval bijna te voorkomen. In april ontdekten ze een aantal kritieke beveiligingsproblemen en namen contact op met Kaseya. Gezamenlijk zochten ze naar een oplossing om deze kwetsbaarheden te herstellen.
Maar voordat ze de kans kregen om deze uit te rollen, vond de aanval plaats. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, zo vertelden Wietse Boonstra en Frank Breedijk van DIVD hierover.
Datalekken en cyberaanvallen hebben een steeds grotere impact op onze economie en maatschappij. Private partijen als het DIVD spelen een belangrijke rol bij het bestrijden van cybercriminaliteit, zo zei de Onderzoeksraad voor Veiligheid afgelopen maand nog.
Met mooie woorden alleen ben je er niet. Het DIVD probeert al enige tijd om haar slagkracht en capaciteit uit te breiden. Daarvoor is een grote som geld nodig. De afgelopen tijd ontving de organisatie meerdere malen een donatie van verschillende partijen, waaronder het SIDN Fonds en beveiligingsbedrijf ESET.
Ook Huntress doet een duit in het zakje. Dinsdagavond Nederlandse tijd maakte het Amerikaanse cybersecuritybedrijf bekend dat ze een bedrag van 100.000 dollar doneert aan het DIVD. De Nederlandse club van ethische hackers is zeer dankbaar voor het geld. “Dank u voor deze gulle steun en erkenning van ons werk. Hiermee kunnen wij nieuwe projecten financieren die het internet veiliger maken voor iedereen”, zo laat het DIVD weten via Twitter.
Waar het geld, omgerekend zo’n 88.000 euro, aan besteed wordt, weet de vrijwilligersorganisatie wel. De helft van het geld gaat het DIVD gebruiken om één fulltime medewerker in dienst te nemen. De andere helft wil de organisatie gebruiken om een bug bounty programma van de grond te krijgen. Beveiligingsonderzoekers en ethische hackers die een kwetsbaarheid aantreffen in een programma, kunnen dan aanspraak maken op een financiële beloning. Afhankelijk van de ernst van het veiligheidsprobleem krijgen zij dan een geldbedrag.
“Er is nu allerlei belangrijke software die niet degelijk in elkaar zit”, vertelt Gevers aan het Financieele Dagblad. “Nu komt het geregeld voor dat een hacker een beveiligingsprobleem vindt, maar de maker van de software die problemen onvoldoende wil oplossen. Uit wanhoop stappen hackers daarom vaak naar de media.” Daardoor wordt er weliswaar snel een oplossing voor het probleem, maar hackers houden ook de laatste ontwikkelingen en het nieuws bij. Bedrijven en organisaties die niet onmiddellijk een patch uitvoeren, lopen hierdoor mogelijk gevaar.
Van ’t Hof zegt wil het DIVD transformeren in een toevluchtsoord voor goedwillende hackers. Als zij bot vangen bij een bedrijf, kunnen zij zich melden bij de Nederlandse vrijwilligersorganisatie. Het DIVD neemt dan contact op met de maker om hem te overtuigen een update uit te brengen dat het probleem verhelpt. Ondertussen scannen ethische hackers het internet af om kwetsbare bedrijven te beschermen.
“Dat geeft ons een voorsprong op de criminelen die veel betere spullen hebben om in te breken”, aldus Van ’t Hof.
