Google gør det, Facebook gør det, det amerikanske forsvarsministerium har gjort det, og det amerikanske sundhedsministerium interesserer sig for det.
Bug bounty-programmer eller på dansk, dusørprogrammer, hvor venlige hackere får kontant afregning, når de finder sikkerhedshuller i it-systemer hos organisationer, der altså kører sådan et program.
I Danmark er der dog umiddelbart ingen planer om at indføre noget tilsvarende, så en hacker kunne få penge for at finde sikkerhedshuller i eksempelvis en styrelses it-systemer.
»Vi er bekendt med, at myndigheder i USA har gennemført bug bounties, hvor hackere inviteres til at hacke en given myndigheds hjemmeside for at finde sårbarheder. Vi er ligeledes bekendt med, at den nederlandske regering anvender en anden model - responsible disclosure - hvor hackere, der finder en sårbarhed i en myndigheds hjemmeside, opfordres til at rapportere fundet i stedet for at udnytte eller offentliggøre sårbarheden. Gevinsten er bl.a. frit lejde samt en anerkendelse fra myndighedernes side,« oplyser chef for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, Thomas Lund Sørensen, i en mail til Version2 og tilføjer:
»Der er for nuværende ikke en officiel dansk holdning til hverken bug bounties eller responsible disclosure.«
Bekymringerne
Han forklarer, at en af bekymringerne ved den slags ordninger er, at ondsindede hackere kan bruge det som en en model for, hvordan de kan undgå strafforfølgning.
»Hvis de bliver opdaget under eller efter et hackingforsøg, vil de således kunne sige, at de agerede som led i et officielt program, og at de havde til hensigt at kontakte myndighederne, når de havde indsamlet det nødvendige grundlag for at få deres ’bounty’. Der er også nogle særlige problemstillinger, hvis der som led i en bug bounty faktisk opnås adgang til følsomme data, ligesom der er risiko for, at forsøgene på hacking kan medføre, at centrale netværk går ned – f.eks. som følge af, at en lang række ’legitime’ angrebsforsøg resulterer i en overbelastning,« forklarer Thomas Lund Sørensen.
Han fortæller dog også, at CFCS løbende vil følge udviklingen hos udenlandske myndigheder, der laver bug bounty programmer, og overveje, om de eventuelt kunne give inspiration til en dansk model.