Crowditing: IT-auditing met collectieve wijsheid

De afgelopen tijd is er veel publiciteit voor ontwikkelingen in en toepassingen van kunstmatige intelligentie [NUNL17]. Er komt naast een kunstmatige vorm van intelligentie nog een nieuwe vorm van intelligentie op. Het is de intelligentie van een groep. Deze vorm van groepsintelligentie is van een zodanig niveau dat het wel ‘wijsheid’ wordt genoemd. [SUR005] Waar komt deze vorm vandaan? En wat is de invloed ervan op het werkterrein van de IT-auditor?

De potentie van de intelligentie van de groep is bekend sinds het begin van de 20ste eeuw [SURO05]. De enorme ontwikkeling van internet in de 21ste eeuw maakt het nu mogelijk om deze intelligentie te bundelen, breed zichtbaar te maken en in te zetten. Het kan gaan om het inzetten van groepen mensen voor uiteenlopende taken, zoals beoordelen, zoeken of probleem oplossen. Het benutten van deze vorm van groepsintelligentie is beter bekend onder de naam ‘crowdsourcing’. De auteur signaleert een ontwikkeling die het organisaties mogelijk maakt om groepsintelligentie in te zetten om kwetsbaarheden in hun ICT te vinden en noemt dit ‘crowditing’.

Wat is crowdsourcing?

Het begrip ‘crowdsourcing’ wordt de laatste jaren veel gebruikt voor een brede ontwikkeling op internet. Een vrij vertaalde, algemene definitie van ‘crowdsourcing’ is: Verkrijgen van informatie of input voor een bepaalde taak of project door een beroep te doen op de diensten van een groot aantal mensen, hetzij beloond hetzij onbeloond, meestal via internet. [SHAR15]

CrowdsourcingWikipedia, Linux en Apache zijn grote en bekende namen van producten die tot stand zijn gekomen en worden onderhouden via crowdsourcing. Bij Wikipedia is het resultaat een gratis toegankelijke online-encyclopedie, die zeer bruikbaar is bij bijvoorbeeld een interessant artikel in een gespecialiseerd vakblad. [WIKI17] De software van Linux en Apache kan de concurrentie met producten ontwikkeld door organisaties met betaalde, ervaren specialisten gemakkelijk aan. Deze voorbeelden laten zien dat crowdsourcing slimme en blijvende resultaten oplevert. Het laat ook zien dat dit voor organisaties externe producten zijn, die niet gemaakt zijn door een of meerdere andere bedrijven of organisaties. Ook online-social networks, zoals Facebook of Instagram, worden gezien als een vorm van crowdsourcing. In social networks leveren gebruikers informatie aan het bedrijf dat het social network heeft opgezet. Dit betreft bijvoorbeeld data over interacties en welke foto’s worden gewaardeerd en welke niet. Deze informatie wordt bijvoorbeeld gebruikt om zeer gerichte marketing aan te bieden via hetzelfde sociale netwerk.

Berucht en verboden in Nederland is de crowdsourcingvariant voor taxivervoer: Uberpop. De introductie van de dienst leidde eerder tot heftige protesten van taxichauffeurs. Crowdsourcing van overnachtingen via AirBnB en recent het Nederlandse zusje AirDnD voor de thuisrestaurants zorgen voor protesten van brancheorganisaties. [NUNL17b] Ook dit kan worden beschouwd als een aspect van de ontwikkeling: de introductie gaat snel, bestaande partijen hebben moeite om zich aan te passen en protesteren heftig tegen de introductie.

Een mooie invalshoek op ‘crowdsourcing’ geeft de samenstelling van het woord zelf: crowdsourcing kan worden gezien als een vorm van outsourcing en de insourcer is de crowd. In de verschillende varianten van de definities van crowdsourcing zijn er ook definities waarin materiële beloningen, zoals geld, soms worden uitgesloten. Volgens de gebruikers van deze definities zou er in geval van betaling niet langer sprake zijn van zuivere crowdsourcing. [WIKI17] Voor dit artikel wordt uitgegaan van een brede definitie waarin beloning is meegenomen. In het initiatief dat in dit artikel wordt behandeld speelt beloning een voorname rol. Andere termen voor crowdsourcing zijn ‘collaboratieve systemen’, ‘user-generated content’ of ‘peer production’. [BAR14]

In de literatuur worden als algemene voordelen van crowdsourcing systems genoemd:

  • Toegang tot het potentieel en de wijsheid van de crowd.
  • In de crowd is unieke kennis beschikbaar, die daarom ‘wijsheid’ wordt genoemd. [SURO05]
  • Relatief goedkope en altijd beschikbare arbeid.

Ook wordt een aantal algemene nadelen gesignaleerd:

  • De bekende crowdsourcing-voorbeelden die hierboven zijn genoemd, laten zien dat crowdsourcing via internet een brede ontwikkeling is. Er is meer vraag naar deelnemers in de crowd, waardoor er meer schaarste komt in het aanbod. Hierdoor wordt het moeilijker om deelnemers aan te trekken voor bepaalde initiatieven.
  • Er zijn duidelijke incentives nodig om de interesse van potentiële deelnemers te krijgen.
  • Anonimiteit van deelnemers kan in sommige gevallen een probleem zijn. Bijvoorbeeld om een gebruiker definitief te kunnen verwijderen van een platform.
  • De controle over de vertrouwelijkheid van de gegevens die gebruikers generen. Op een groot crowdsourcingplatform, zoals Facebook, is het voor individuele gebruikers moeilijk zicht houden op waarvoor, hoe en door wie gegevens worden gebruikt. [BAR14]

Crowdsourcingystemen kunnen op verschillende manieren worden geclassificeerd. Een van de dimensies in de classificatie is de aard van de samenwerking: expliciet of impliciet. Linux is een voorbeeld van een crowdsourcingsysteem, waarin expliciet gebouwd wordt aan software. De bijdrage wordt minder transparant voor de gebruiker wanneer bijvoorbeeld, op basis van een like van een bepaalde foto, gegevens worden afgeleid door een bedrijf. Facebook is dus een goed voorbeeld van een impliciete samenwerking. [BAR14]

In dit artikel wordt ingegaan op een specifieke vorm van een crowdsourcingsysteem: de online-crowdsourcingmarktplaats. [BAR14] Een marktplaats is een plek op internet waar vragers naar een bepaalde dienst samenkomen met mogelijke dienstverleners. De dienstverleners worden gevormd door de crowd. De beloning op de marktplaats is expliciet, want de beloning is geld op basis van behaalde resultaten of uitgevoerde taken. Een online-crowdsourcingmarktplaats die al langer bestaat is Amazone Mechanical Turk. Op deze marktplaats plaatsen opdrachtgevers opdrachten of werkzaamheden, die leden van de website tegen een beloning kunnen uitvoeren. Een voorbeeld van een opdracht is het beantwoorden van drie vragen over een bepaalde website. [AMAZ17]

In dit artikel wordt verder aandacht besteed aan gespecialiseerde crowdsourcingmarktplaatsen. Dit zijn de online-crowdsourcingmarktplaatsen voor het detecteren van risico’s en kwetsbaarheden in de IT-beveiliging. Voorbeelden zijn Hackerone.com en concurrent Bugcrowd.com. IT-auditors zijn van oudsher betrokken bij onderzoeken naar de IT-beveiliging. Je zou kunnen stellen dat de online-marktplaats zich (ook) ontwikkelt op het terrein van IT-auditing.

 

Crowdsourcing op het gebied van IT-auditing: een voorbeeld

Sinds enkele jaren bestaat Hackerone.com. Deze site kan worden gezien als een online-crowdsourcingmarktplaats waar organisaties en beveiligingsonderzoekers/ethische hackers aan elkaar worden gekoppeld. In dit artikel wordt Hackerone.com als voorbeeld gebruikt om te laten zien hoe zo’n online-marktplaats werkt.

De website van Hackerone.com biedt functionaliteit voor het managen van kwetsbaarheden tussen hackers en organisaties. Er is een systeem voor het toekennen van beloningen aan hackers. Enkele grote organisaties op internet, zoals Dropbox, Twitter, Adobe en Marktplaats, hebben zich al aangesloten bij Hackerone.com. Wanneer je als organisatie jouw website en achterliggende infrastructuur onderzocht wil hebben, dan kun je je bij Hackerone aanmelden. Vervolgens kun je als organisatie hackers uitnodigen om jouw website te onderzoeken. De ethical hackers die een eigen profiel op Hackerone.com hebben aangemaakt, gaan aan de slag. Als een deelnemende hacker risico’s en kwetsbaarheden vindt, dan meldt hij deze aan via de speciale functionaliteit, zodat de organisatie kan starten met het oplossen. De hacker die een relevante kwetsbaarheid als eerste vindt, krijgt via de Hackerone-marktplaats een bedankje, spullen of een premie van de organisatie. De beloning is afhankelijk van de ernst van de kwetsbaarheid. Individuele hackers krijgen naast een premie ook punten waarmee ze een reputatie opbouwen en bijvoorbeeld specifieke uitnodigingen ontvangen om deel te nemen aan besloten hackingopdrachten via Hackerone.com.

De functionaliteit van Hackerone.com biedt beide partijen informatie en mogelijkheden om met elkaar te communiceren. Je kunt bijvoorbeeld als hacker zien wat de status is van kwetsbaarheden die jij hebt aangemeld. De organisatie zelf kan het complete overzicht zien van de gemelde kwetsbaarheden. Het totaalbedrag aan premies dat de organisatie al heeft uitgedeeld voor gemelde kwetsbaarheden is bijvoorbeeld ook voor hackers zichtbaar.

Hackerone.com zelf moedigt het publiek maken van kwetsbaarheden aan. Kwetsbaarheden worden via de Hackerone.com software automatisch publiek gemaakt wanneer melder en organisatie hiermee hebben ingestemd. Een voorwaarde hierbij is dat de kwetsbaarheid is opgelost.  [HACK17a]

 

De basis is responsible disclosure

Initiatieven zoals Hackerone.com kennen we misschien nog niet goed, maar Nederland loopt internationaal voorop als het gaat om responsible disclosure-beleid. [GCCS15] Zo’n beleid houdt in dat de organisatie personen de mogelijkheid biedt om risico’s en kwetsbaarheden rond de IT te melden, ook als een persoon niet bij de betreffende organisatie zelf in dienst is. In 2013 publiceerde het Nederlandse National Cyber Security Center [NCSC] een leidraad over responsible disclosure. In de definitie uit de leidraad komt duidelijk naar voren dat een van de doelen van responsible disclosure is om kwetsbaarheden openbaar te maken. [NCSC13] Het NCSC heeft de leidraad opgesteld, zo meldt het in de toelichting, omdat het de toevoegde waarde ziet van een responsible disclosure-beleid bij het verhogen van de veiligheid van informatiesystemen. Responsible disclosure zoekt een balans tussen volledige transparantie en geheimhouding van online-kwetsbaarheden. [MAUR13]

Responsible betekent ‘verantwoord’ in de zin dat bijvoorbeeld een organisatie eerst een periode heeft gekregen om de kwetsbaarheid op te lossen, voordat de melder deze publiek bekend mag maken. Als onderdeel van responsible disclosure wordt ook de melder door de organisatie op de hoogte gehouden van de voortgang van de oplossing. De kern van een goed responsible disclosure-beleid is dat de organisatie belooft om geen strafrechtelijke vervolging in te zetten richting de melder. De melder dient zich dan wel te houden aan de afspraken in het beleid.

Wanneer een organisatie een beleid heeft voor responsible disclosure kan dit worden gezien als een begin van crowdsourcing. Ook met een minimaal responsible disclosure-beleid benut een organisatie de crowd, of buitenwereld, om kwetsbaarheden te achterhalen. De organisatie weet dat het meerwaarde heeft als gebruikers kwetsbaarheden in online-systemen melden bij de organisatie zelf. Voor een organisatie die deze eerste, belangrijke stap zet, kan aanmelden bij Hackerone.com een volgende stap op het crowdsourcing-pad zijn. De profielen van organisaties op Hackerone.com bevatten bijvoorbeeld onderdelen die deel zouden kunnen uitmaken van een responsible disclosure-beleid, bijvoorbeeld met het aangeven wat is toegestaan om kwetsbaarheden te vinden en wat niet. [HACK17c] Sommige organisaties noemen de informatie in het profiel regelrecht responsible disclosure-beleid. [HACK17b]

Het responsible disclosure-beleid is en blijft een basis. Nadat een organisatie met een responsible disclosure-beleid zich heeft aangemeld op een online-marktplaats, zal een ethical hacker een kwetsbaarheid in een online-systeem eerder melden via die marktplaats. Waarom zou je als ethical hacker een kwetsbaarheid nog melden via een losstaande responsible disclosure-procedure als je het ook kunt doen via een marktplaats met kans op een beloning en reputatie?

Toch blijft een aanvullende rol voor het algemene responsible disclosure-beleid weggelegd na aanmelding op een online-marktplaats, zoals Hackerone.com. Denk hierbij aan een route voor een willekeurige gebruiker, die per ongeluk een ernstige kwetsbaarheid vindt en deze wel graag wil melden zonder kans op vervolging.

 

Voordelen met ha(c)ken en ogen

Hierboven bespraken we hoe een responsible disclosure-beleid en aansluiting bij een online-crowdsourcingmarktplaats op elkaar ingrijpen. In vergelijking met de situatie waarin een organisatie zich beperkt tot alleen een responsible disclosure-beleid, heeft zo’n aanpak een aantal voordelen.

  • Een meer structureel karakter. Het gebruikmaken van hackerone.com kan een structurele aanvulling zijn op een responsible disclosure-beleid voor het organiseren van onderzoek naar kwetsbaarheden op de website van de organisatie.
  • Meer structuur in de meldingen van kwetsbaarheden. Organisaties die alleen werken met een responsible disclosure-beleid krijgen vaak in een keer heel veel meldingen binnen van dezelfde kwetsbaarheid na bijvoorbeeld een update. Dit kan onnodig werk met zich meebrengen als het beleid bijvoorbeeld is dat alle melders een bericht terugkrijgen. Een online-marktplaats voorkomt dit soort piekwerkzaamheden veel beter.
  • Geen bevinding, geen geld. Deelnemende organisaties aan de marktplaats tonen openbaar welke beloningen zij uitloven voor welke soort ontdekte kwetsbaarheid. Ook is de kwaliteit van expertise duidelijk door het inzicht in de reputatie scores van de ethical hackers. Betalen als organisatie doe je alleen als een kwetsbaarheid daadwerkelijk wordt gevonden. Een goede beveiliging scheelt dus direct geld. Er is in meerdere opzichten veel transparantie in deze markt.
  • Toegangscontroles. Een marktplaats biedt toegangscontroles om beveiliging van gegevens over kwetsbaarheden van de organisatie te beschermen. Dit is belangrijk in crowdsourcingsystemen, omdat er confidentiële en waardevolle gegevens worden verzameld.
  • Het nieuwe online-maatschappelijk verantwoord ondernemen. Een organisatie die zich aansluit bij een legale marktplaats draagt bij aan een steeds belangrijker maatschappelijk doel voor een veiliger internet. Aansluiten op een legale marktplaats draagt mogelijk bij aan het verkleinen van het aanbod van gevonden kwetsbaarheden door kwaadwillende hackers, die kunnen worden misbruikt. Hier worden ook gevonden kwetsbaarheden verhandeld, maar dan om ze te misbruiken om gegevens te stelen.
  • Zeer dynamisch online-kennisgebied. Kennis over hacking en online-kwetsbaarheden is een kennisgebied dat zich zeer sterk en snel ontwikkelt via internet. Wanneer een organisatie zich aansluit bij een platform waar internet en deze specifieke kennis samen komen, is dit een actie die veel voordelen kan opleveren tegen relatief lage kosten.

 

Aandachtpunten rond online-crowdsourcingmarktplaatsen

Enkele algemene aandachtpunten voor een auditor bij initiatieven zoals Hackerone.com zijn zaken zoals:

  • Social engineering wordt niet ondersteund. Er is weinig aandacht voor kwetsbaarheden door social engineering. Initiatieven, zoals Hackerone.com, faciliteren niet het opsporen van kwetsbaarheden via social engineering. Social engineering is een krachtige aanvalsmethode van hackers, waarbij de meest moderne beveiligingsmaatregelen worden omzeild, door het achterhalen van bijvoorbeeld wachtwoorden bij nietsvermoedende medewerkers van een organisatie die via een nepmail worden benaderd en misleid.
  • Gebruik automatische scansoftware is beperkt of niet toegestaan. Het gebruik van geautomatiseerde scanners is in veel gevallen niet toegestaan. Hierdoor ontbreekt de toegevoegde waarde van dit soort software om een site razendsnel in de volle breedte te onderzoeken op bekende kwetsbaarheden.
  • Security vraagt om security. Een plek waar informatie over kwetsbaarheden wordt samen gebracht krijgt automatisch een verhoogd security-risico. Zo’n plek dient zelf te beschikken over een topbeveiliging. Uiteraard is Hackerone.com ook klant bij zichzelf.
  • 24/7 professionaliteit. Een online-marktplaats is een 24/7-wereld waarin voor een plek hard moet worden gewerkt en beloning onzeker is. Deze effecten kunnen worden beschouwd als nadelen van een mondiale, online-marktplaats, die de huidige manier van werken omverwerpt. Dit raakt ook aan de voorzieningen die de organisatie moet treffen om gebruik te maken van de voordelen van een online-marktplaats. Het betekent onder andere dat de organisatie een hoogwaardig proces moet hebben ingericht voor het verhelpen van gemelde kwetsbaarheden en het communiceren en belonen van de melder.
  • Traditioneel contact naar de achtergrond. Het contact tussen beveiligingsonderzoeker en organisatie is anoniemer ten opzichte van een traditionele auditsituatie. Het contact verloopt initieel digitaal via software op een marktplaats en het is in principe niet zo dat men elkaar later nog persoonlijk treft. Dit verschilt bijvoorbeeld met een andere crowdsourcinginitiatief, zoals AirBnB waarbij je de eigenaar van de woning die je huurt later vaak alsnog persoonlijk ontmoet.

 

Een DDOS aanval op de huidige vorm van IT-auditing?

De invloed van een crowdsourcinginitiatief op een traditioneel terrein kan groot en plotseling zijn. Kijk bijvoorbeeld naar de invloed van Uberpop op de taximarkt. Wanneer je crowdsourcingmarktplaatsen ziet als een ontwikkeling waarmee crowdsourcing zijn intrede doet in een snelgroeiende tak van de IT-auditing, dan zou het een begin kunnen zijn van een aantal interessante ontwikkelingen:

  • Crowditing. Auditkennis is ruim aanwezig in de crowd en crowdsourcingmarktplaatsen voor het detecteren van kwetsbaarheden zijn initiatieven om die structureel te benutten.
  • Reputation rules. Reputaties van beveiligingsonderzoekers/hackers zijn voor eenieder inzichtelijk en spelen een prominente rol. Het is bepalend of je een uitnodiging krijgt voor een opdracht of niet. Deze reputaties passen meer bij dit vakgebied dan klassieke opleidingen. IT-auditors zouden ook te maken kunnen krijgen met de ontwikkeling naar transparante, professionele reputaties.
  • Reporting Management Software. De manier van rapportage wordt verder geautomatiseerd en gestandaardiseerd. Het toekomstige auditrapport kan meer gaan lijken op een volgsysteem voor meldingen of openstaande punten, zoals dat nu ook wordt gebruikt in de softwareontwikkeling. Een goede structurele follow-up van bevindingen betekent bovendien extra efficiëntie en effectiviteit voor al uitgevoerde audits.
  • Connected in audit. Er ontstaat meer transparantie in het deel van het proces tussen melding en oplossing. Zowel auditor als auditee kunnen de status en oplossing van kwetsbaarheden volgen via het volgsysteem voor openstaande punten.
  • Auditproces data mining. Historische informatie over kwetsbaarheden kan op termijn worden gebruikt voor trendanalyses en het achterhalen van dieperliggende oorzaken. Hackerone.com maakt al gebruik van Hackbot, een digitale assistent in het volgsysteem software, die bijvoorbeeld helpt met het signaleren van dubbele meldingen.

 

Worden we als auditors wijzer van crowditing?

Het wordt een boeiende tijd, waarin we gaan zien hoe online-crowdsourcingmarktplaatsen voor onderzoek hun intrede doen bij de organisaties waarvoor we werken. We gaan ze tegenkomen in de audits die we uitvoeren. IT-auditors zoeken ook in (technische) audits naar kwetsbaarheden in online-systemen of valideren onderzoeksresultaten. Dit soort werkzaamheden verschilt inhoudelijk weinig van het werk van een ethical hacker. We zouden als IT-auditors deze ontwikkeling kunnen benaderen als de opkomst van een geduchte concurrent. Een concurrent die groot, anoniem, krachtig en wijs is. We kunnen het ook heel anders benaderen: we vormen samen de crowd en in eenieder schuilt het potentieel voor IT-auditing. Zijn we op weg naar ‘crowditing’, waarbij onderzoek en auditing naar online-kwetsbaarheden wordt gedaan door de crowd via online-marktplaatsen?

Het ziet er wel naar uit. Een ontwikkeling naar crowditing lijkt er daarnaast voor te zorgen dat het werkterrein van de IT-auditor wordt vergroot. Wanneer een organisatie gebruikmaakt van een online-marktplaats voor het opsporen van kwetsbaarheden in hun online-systemen, kan dat worden gezien als outsourcingconstructie. Zo’n online-marktplaats ziet er alleen wat anders uit dan de klassieke partijen voor outsourcing. Het management zal zichzelf vragen stellen over de risico’s en bij deze vragen komt de IT-auditor in beeld. Hoe zit het bijvoorbeeld met de beveiliging van de online-marktplaats zelf, waar potentieel gevoelige gegevens worden opgeslagen over kwetsbaarheden in de online-omgeving van de organisatie? Hoe is de verhouding met andere partijen die online-kwetsbaarheden zoeken ten behoeve van de organisatie? Het zijn interessante vragen voor de IT-auditor, waarbij ook de technische kennis weer kan worden ingezet. De onafhankelijkheid van de IT-auditor speelt een rol in de beantwoording van dit soort vragen. Een ander effect van crowditing kan zijn dat de organisatie groeit in professionaliteit. De gewenning binnen organisaties aan het proces van het verhelpen van kwetsbaarheden kan bijdragen aan het verbeteren van de follow-up bij bevindingen van die de IT-auditor meldt aan de organisatie.

Een reactie zoals die van de Parijse taxichauffeurs in de richting van de Uberpop-chauffeurs past niet bij de beroepsgroep van IT-auditors. Crowditing zou weleens spoedig aanleiding kunnen zijn voor vernieuwingen en een verbreding in het IT-auditvak.

 

Literatuur

[NUNL17] Berichten op nu.nl http://www.nu.nl/facebook/4475295/facebook-gaat-verder-inzetten-kunstmatige-intelligentie.html en http://www.nu.nl/gadgets/4459410/ford-investeert-1-miljard-dollar-in-startup-zelfrijdende-autos.html.

[AMAZ17] website van Amazon Mechanical Turk, zoals beschikbaar op 22 februari 2017, https://www.mturk.com.

[BAR14] Confidentiality and integrity in crowdsourcing systems, Amin Ranj Bar, Springer International Publishing, 2014.

[HACK17a] website van Hackerone.com, zoals beschikbaar op 22 februari 2017, https://www.hackerone.com/disclosure-guidelines.

[HACK17b] website van Hackerone.com, zoals beschikbaar op 22 februari 2017, https://hackerone.com/marktplaats.

[HACK17c] website van Hackerone.com, zoals beschikbaar op 22 februari 2017, zie voor een voorbeeld de klant Alvosec, https://hackerone.com/alvosec.

[GCCS15] website van de Global Conference on Cyber Space 2015 van 16 en 17 april 2015 in Den Haag, zoals beschikbaar op 22 februari 2017, https://www.gccs2015.com/nl/themas/veiligheid.

[NCSC13] Leidraad om te komen tot een praktijk van responsible disclosure, Nationaal Cyber Security Center, 2013.

[MAUR13] Disclosure of Security vulnerabilities, legal and ethical issues, Alana Maurushat, Springer International Publishing, 2013.

[OWAS14] Open Web Application Security Project (OWASP) Testing guide version 4, OWASP project, 2014.

[SHAR15] Leveraging the wisdom of the crowd in software testing, Mukesh Sharma en Rajini Padmanaban, CRC Press, 2015

[SURO05] The wisdom of the crowds, James Surowiecki, Anchor, 2005, blz. 37.

[WIKI17] website van Wikipedia, zoals beschikbaar op 22 februari 2017, https://nl.wikipedia.org/wiki/Crowdsourcing.

Gepost op: binnen Geen categorie.

Geef een reactie