.
.
Hjælp og support

Ofte stillede spørgsmål

Find svar på de mest almindelige spørgsmål om Defend.gl, bug bounty-programmer, sårbarhedsrapportering og Fællesskabsfonden.

Scroll

Generelt om Defend.gl

Hvad er Defend.gl?

Defend.gl er Grønlands første bug bounty-platform. Vi forbinder etiske hackere med grønlandske virksomheder og offentlige organisationer for at identificere og rapportere sikkerhedssårbarheder, før de kan udnyttes af ondsindede aktører.

Vores mission er at styrke Grønlands digitale infrastruktur gennem samarbejde og transparens.

Hvem står bag Defend.gl?

Defend.gl drives af Defend Greenland ApS, et grønlandsk selskab grundlagt af erfarne cybersikkerhedseksperter med rødder i Grønland. Vi arbejder tæt sammen med lokale virksomheder, myndigheder og det internationale sikkerhedsfællesskab.

Hvorfor fokuserer I specifikt på Grønland?

Grønlands digitale infrastruktur er i hastig udvikling, men mange organisationer mangler ressourcer til professionel sikkerhedstest. Ved at fokusere på Grønland kan vi:

  • Tilbyde lokalt tilpassede løsninger
  • Opbygge et fællesskab af grønlandske sikkerhedseksperter
  • Sikre at også mindre organisationer får adgang til sikkerhedstest
  • Styrke den nationale digitale modstandsdygtighed
Er Defend.gl kun for grønlandske virksomheder?

Vores primære fokus er grønlandske virksomheder og organisationer, men vi arbejder også med virksomheder der opererer i Grønland eller har grønlandske kunder. Kontakt os for at høre mere om dine muligheder.

For virksomheder

Hvad koster det at deltage som virksomhed?

Vi tilbyder tre medlemsniveauer tilpasset forskellige behov:

  • Starter (2.000 DKK/md): Grundlæggende adgang til platformen, 1 aktivt program, email-support
  • Professional (5.000 DKK/md): Op til 3 programmer, prioriteret triage (48 timer), dedikeret account manager, månedlige sikkerhedsrapporter
  • Enterprise (12.000 DKK/md): Ubegrænsede programmer, 24-timers triage, API-adgang, compliance-dokumentation (ISO 27001, GDPR)

30% af medlemsgebyrer går til Fællesskabsfonden, som finansierer bug bounties for organisationer der ikke selv har budget.

Derudover betales 15% transaktionsgebyr på bounty-udbetalinger (10% til drift, 5% til fonden). Bounties ligger typisk mellem 500-50.000 DKK afhængig af sårbarhedens alvorlighed.

Se detaljeret prissammenligning

Hvordan opretter jeg et bug bounty-program?

Efter du er blevet medlem, hjælper vi dig med at:

  • Definere scope (hvilke systemer må testes)
  • Fastsætte bounty-beløb for forskellige sårbarhedstyper
  • Skrive klare regler og retningslinjer
  • Lancere dit program til vores community

Læs mere om processen for virksomheder

Hvad hvis hackerne ødelægger noget?

Etiske hackere på Defend.gl er forpligtet til at følge vores Safe Harbor-politik og retningslinjer, som forbyder destruktive handlinger. De må kun teste inden for det definerede scope og skal minimere påvirkning på systemer.

Vi anbefaler altid at starte med et begrænset scope (f.eks. kun staging-miljøer) og udvide gradvist, når du bliver tryg ved processen.

Kan vi holde vores program privat?

Ja! Du kan vælge mellem:

  • Offentligt program: Synligt for alle forskere på platformen
  • Privat program: Kun udvalgte, verificerede forskere får adgang

Mange virksomheder starter med et privat program og åbner det senere, når de har fået erfaring med processen.

Hvor hurtigt skal vi reagere på rapporter?

Vi anbefaler følgende responstider:

  • Bekræftelse: Inden for 48 timer
  • Vurdering: Inden for 7 dage
  • Fix: Inden for 90 dage (afhængig af kompleksitet)

Defend.gl hjælper med at facilitere kommunikationen og holder begge parter opdateret.

For etiske hackere

Hvordan bliver jeg etisk hacker hos Defend.gl?

For at deltage som etisk hacker skal du:

  • Oprette en profil på vores platform
  • Acceptere vores Code of Conduct
  • Læse og forstå vores Safe Harbor-politik
  • Vælge programmer at deltage i

Læs mere om at blive etisk hacker

Hvor meget kan jeg tjene?

Bounty-beløb varierer baseret på sårbarhedens alvorlighed:

  • Kritisk: 10.000 - 50.000+ DKK
  • Høj: 5.000 - 15.000 DKK
  • Medium: 1.000 - 5.000 DKK
  • Lav: 500 - 2.000 DKK

Hvert program har sine egne bounty-tabeller, så tjek altid programmets specifikke vilkår.

Hvordan får jeg udbetalt mine bounties?

Når din rapport er verificeret og godkendt, udbetaler vi bounty inden for 14 dage via bankoverførsel. Du skal blot oplyse dine bankoplysninger i din profil.

Husk at du selv er ansvarlig for at betale skat af dine indtægter.

Hvad sker der hvis min rapport er en dublet?

Hvis en anden forsker allerede har rapporteret den samme sårbarhed, markeres din rapport som dublet og du modtager ingen bounty. Vi følger "first come, first served"-princippet baseret på tidsstemplet for rapporten.

Vi anbefaler at rapportere hurtigt når du finder noget – men sørg stadig for at din rapport er grundig og veldokumenteret.

Er jeg juridisk beskyttet når jeg tester?

Ja, så længe du følger vores Safe Harbor-politik og programmets specifikke regler. Dette inkluderer:

  • Kun test inden for det definerede scope
  • Ingen destruktive handlinger
  • Rapportér sårbarheder privat først
  • Handl i god tro

Læs vores fulde disclosure-politik

Skal jeg være professionel for at deltage?

Nej! Bug bounty er åbent for alle med interesse i cybersikkerhed – fra studerende til erfarne professionelle. Det vigtigste er at du:

  • Følger reglerne og handler etisk
  • Skriver klare og detaljerede rapporter
  • Er villig til at lære og udvikle dig

Mange succesfulde bug bounty-jægere er selvlærte.

Fællesskabsfonden

Hvad er Fællesskabsfonden?

Fællesskabsfonden er en solidarisk pulje finansieret af medlemsgebyrer fra virksomheder på platformen. Fonden bruges til at betale bug bounties for organisationer der ikke selv har budget til sikkerhedstest – f.eks. små virksomheder, NGO'er og offentlige institutioner.

Læs mere om Fællesskabsfonden

Hvordan kan min organisation få støtte fra fonden?

Organisationer kan ansøge om støtte fra Fællesskabsfonden hvis de:

  • Er en grønlandsk organisation eller opererer i Grønland
  • Ikke har budget til egen bug bounty-program
  • Varetager vigtige samfundsfunktioner

Vi prioriterer organisationer inden for sundhed, uddannelse, kritisk infrastruktur og offentlig service.

Hvor meget går til fonden vs. administration?

Vores bæredygtige fordelingsmodel sikrer både drift og fællesskabsstøtte:

  • 30% af medlemsgebyrer går til Fællesskabsfonden
  • 5% af bounty-transaktioner tilføjes til fonden
  • 70% af medlemsgebyrer finansierer platformdrift og udvikling

Denne model sikrer at Defend.gl kan drive en bæredygtig platform, samtidig med at fonden kontinuerligt vokser og kan hjælpe flere organisationer i Grønland.

Læs mere om Fællesskabsfonden

Rapportering og proces

Hvordan rapporterer jeg en sårbarhed?

Du kan rapportere sårbarheder via vores rapporteringsformular. En god rapport inkluderer:

  • Beskrivende titel
  • Detaljeret beskrivelse af sårbarheden
  • Trin-for-trin reproduktionsvejledning
  • Proof-of-concept (screenshots/video)
  • Påvirkningsvurdering

Læs vores fulde disclosure-politik

Hvad sker der efter jeg har indsendt en rapport?

Processen er som følger:

  • Dag 0-2: Vi bekræfter modtagelse
  • Dag 2-7: Vi vurderer rapporten og verificerer sårbarheden
  • Dag 7-14: Bounty-beløb fastsættes (hvis gyldig)
  • Dag 14-90: Virksomheden fikser sårbarheden
  • Efter fix: Bounty udbetales inden for 14 dage

Du kan følge status på din rapport i dit dashboard.

Hvad hvis jeg er uenig i vurderingen?

Hvis du mener at din rapport er fejlvurderet, kan du anmode om en revurdering. Beskriv hvorfor du mener vurderingen er forkert, og fremlæg eventuelt yderligere dokumentation. Vores sikkerhedsteam gennemgår sagen og træffer en endelig beslutning.

Kan jeg offentliggøre min research?

Ja, men først efter koordineret disclosure. Vores standard-tidslinje er 90 dage fra rapport til offentliggørelse. Du skal:

  • Vente til sårbarheden er fikset
  • Koordinere offentliggørelsen med os og virksomheden
  • Fjerne følsomme data fra din write-up

Vi hjælper gerne med at promovere din research efter koordineret disclosure.

Teknisk

Hvilke typer sårbarheder belønnes?

Vi belønner alle reelle sikkerhedssårbarheder, inklusiv men ikke begrænset til:

  • Remote Code Execution (RCE)
  • SQL Injection
  • Cross-Site Scripting (XSS)
  • Authentication/Authorization flaws
  • Insecure Direct Object References (IDOR)
  • Server-Side Request Forgery (SSRF)
  • Information disclosure

Se det specifikke programs scope for præcise detaljer om hvad der belønnes.

Hvilke værktøjer må jeg bruge?

Du må bruge alle standard sikkerhedsværktøjer, så længe de bruges ansvarligt. Populære værktøjer inkluderer:

  • Burp Suite
  • OWASP ZAP
  • Nmap
  • Nuclei
  • ffuf

Vigtigt: Automatiserede scans skal køres med forsigtighed for ikke at overbelaste systemer. DoS-test er aldrig tilladt.

Hvad er CVSS og hvordan bruges det?

CVSS (Common Vulnerability Scoring System) er en standardiseret metode til at vurdere sårbarheders alvorlighed på en skala fra 0-10:

  • Kritisk (9.0-10.0): Øjeblikkelig handling påkrævet
  • Høj (7.0-8.9): Alvorlig risiko
  • Medium (4.0-6.9): Moderat risiko
  • Lav (0.1-3.9): Minimal risiko

CVSS-scoren bruges ofte til at fastsætte bounty-beløb. Du kan beregne CVSS på FIRST's hjemmeside.

Sikkerhedskurser

Hvilke kurser tilbyder I?

Vi tilbyder to kursusprogrammer:

Sikkerhedsbevidsthed (for alle medarbejdere):

  • Phishing & Social Engineering
  • Adgangskode & Kontosikkerhed
  • Databeskyttelse & GDPR
  • Sikker fjernarbejde
  • Fysisk sikkerhed

Ledelseskurser (for direktører og teamledere):

  • Cybersikkerhed for ledere
  • Incident Response for ledere
  • Compliance & regulering
  • Sikkerhedsbudgettering

Se komplet kursuskatalog

Hvordan foregår e-learning?

Vores e-learning platform giver medarbejdere adgang til selvstændige online moduler, der kan gennemføres i eget tempo. Hvert modul indeholder:

  • Video-baseret undervisning
  • Interaktive øvelser og quizzer
  • Praktiske eksempler og scenarier
  • Certifikat ved gennemførelse

E-learning er tilgængelig på dansk og engelsk, og kan integreres med jeres eksisterende LMS-system.

Kan I tilpasse kurser til vores organisation?

Ja! Vi tilbyder skræddersyede kurser der tager udgangspunkt i jeres specifikke branche, systemer og sikkerhedspolitikker. Custom-programmer inkluderer:

  • Analyse af jeres aktuelle sikkerhedssituation
  • Tilpasset indhold med relevante eksempler
  • Integration med jeres egne procedurer
  • Opfølgning og måling af effekt

Kontakt os for et skræddersyet tilbud

Hvilke sprog er kurserne tilgængelige på?

Alle vores kurser er tilgængelige på dansk og engelsk. Danske kurser er udviklet specifikt til den grønlandske og danske kontekst, mens engelske kurser er velegnede til internationale teams eller virksomheder med medarbejdere fra forskellige lande.

Hvad er phishing-simulering?

Phishing-simulering er en service hvor vi sender realistiske, men ufarlige, phishing-mails til jeres medarbejdere. Formålet er at teste og træne deres evne til at genkende forsøg på social engineering.

Efter hver test får I:

  • Statistik over klik-rater og rapportering
  • Automatisk målrettet træning til dem der klikkede
  • Benchmark mod andre organisationer
  • Anbefalinger til forbedring

Typisk falder klikraten fra ca. 30% til under 5% efter 12 måneder med regelmæssige simuleringer.

Fik du ikke svar?

Kontakt os direkte

Hvis du ikke fandt svar på dit spørgsmål, er du velkommen til at kontakte os. Vi svarer normalt inden for 48 timer.

Kontakt os Rapportér sårbarhed