Световната хотелска организация Hyatt обяви, че стартира „bug bounty програма“, за да се погрижи по най-добрия начин за киберсигурността на своите клиенти, научаваме от eWEEK. Това означава, че външни експерти по киберсигурност (извън служителите на компанията) ще бъдат натоварени със задачата да търсят софтуерни уязвимости и да ги разкриват само на изследваната компания.
Това се случва само около месец след мащабната кибератака срещу конкурентна компания, а именно Marriott International Inc. Както ви информирахме през декември, Marriott International разкри, че личните данни на близо 327 милиона техни гости са били откраднати през системата за резервации Starwood. Компрометираната информация включваше телефонни номера, именна, лични и имейл адреси, паспортни номера, профили в системата Starwood, дати на раждане, пол, информация за дати на пътуване и резервации и дори данни за кредитни карти.
В момента над 150 човека са завели дела срещу хотелската верига във федерален съд, твърди сайтът Vox. Те са внесени в съда в Мериленд на 9 януари с обвинението, че Marriott не са действали адекватно както преди кибератаката, така и след разкриването ѝ. Твърденията на жертвите са подкрепени от доклад, който Wall Street Journal направи публичен. Той показа, че Starwood са били обект на друга хакерска атака през 2015 г. Киберпрестъпниците тогава са имали достъп до резервационната система в продължение на осем месеца преди да бъдат разкрити. Експертите задават въпроса – можеше ли мащабния пробив да бъде избегнат, ако още тогава е била потърсена помощта на външни експерти?
Изглежда Hyatt са се поучили от грешките на преките си конкуренти и са обърнали по-сериозно внимание на засилването на киберсигурността си. Хотелската верига е наела HackerOne, доставчик на bug bounty услуги, първоначално без публично оповестяване. Оказало се, че полза от програмата има, тъй като 14 уязвимости са били открити и премахнати.
Мартен Микос, изпълнителният директор на HackerOne, коментира за eWEEK връзката между атаката срещу Marriott и изявлението на Hyatt за наемането на компанията му:
„Ние работим дългосрочно и стратегически с нашите клиенти и стартираме програмите си спрямо най-подходящото време за клиента, а не съобразно външни събития. Като общо правило, всяка организация трябва да приветства приноса на хакерите и колкото по-отворена програмата е, толкова повече ползи би могла да носи тя.“
Микос каза също, че е време компаниите и институциите да се доверяват на външни експерти, когато става въпрос за тяхната киберсигурност. Тъй като по-малките организации по-трудно могат да си позволят служител, който постоянно да се грижи за сигурността, логично е те да се обръщат към специализирани компании.
„Във връзка с този принцип, надяваме се, че всеки хотел и компания за настаняване ще намали риска от кибератаки като инициира bug bounty програми. Това ще бъде подобрение, от което цялото общество ще има полза,“ допълни Микос.
Hyatt не е единствен пример за използване на този тип програма. Наскоро Tesla обяви, че хакерът, който открие софтуерна уязвимост в техния Модел 3, ще получи въпросната кола като възнаграждение.
Дейвид Лау, вицепрезидент на софтуерния отдел на компанията, каза:
„Откакто стартирахме нашата bug bounty програма през 2014 г. – първата, която включи свързана с интернет кола – постоянно увеличаваме инвестициите си в партньорства със специалисти по сигурност. Така притежателите на Tesla винаги разчитат на най-будните умове в общността. “
Виждате какви могат да бъдат последствията, ако пренебрегнете киберсигурността, като отрежете от бюджета за наемане на специалисти. Това буквално може да ви струва загуба на биснеса. Не чакайте твърде дълго, за да се поучите от собствените си грешки. По-добре се учете от чуждите грешки и най-добри практики. Свържете се с AMATAS – ние можем да ви помогнем да защитите бизнеса си.
Снимка: Pexels
