Inkomstregistret utnyttjar hackare vid testning av datasäkerhet

28.10.2019

Inkomstregistret inleder ett bug bounty-program i slutet av oktober i vilket man har som avsikt att finna eventuella sårbarheter i datasäkerheten. Ett arvode betalas till datasäkerhetsforskare det vill säga så kallade white hat hackers som lyckas finna sårbarheter i datasäkerheten. Beloppet på arvodet beror på hur betydande risken som funnits är.

År 2017 testade Skatteförvaltningen bug bounty dvs. sårbarhetsprogrammet i tjänsten MinSkatt.  Metoden ledde till goda resultat och nu tas den också i bruk i inkomstregistret. Avsikten är att datasäkerhetsforskarna skulle finna eventuella sårbarheter i systemet och att problemen därefter skulle åtgärdas strax efter att observationen gjorts.  

"Tiotals hackare deltog i bug bounty-programmet för MinSkatt. Vi fann flera brister i tjänstens sårbarhet, som nödvändigtvis inte skulle ha upptäckts i de normala datasäkerhetskontrollerna. Det största arvodet för en enskild observation uppgick till 3 500 euro", berättar Skatteförvaltningens säkerhetsdirektör Samuli Bergström.

Avsikten med inkomstregistrets bug bounty är att söka sårbarheter i testmiljön. Hackarna kan utföra omfattande tester i systemet, eftersom testmiljön inte innehåller riktiga person- eller inkomstuppgifter. Person- och inkomstuppgifterna som inkomstregistret innehåller är med andra ord inte föremål för hackarna. Bug bounty-programmet riskerar inte inkomstregistrets användarbarhet och säkerhet.

Över 43 miljoner anmälningar om löneuppgifter har lämnats in till inkomstregistret

Inkomstregistret är en elektronisk databas som infördes i januari 2019, dit uppgifter om betalda löner och arvoden anmäls. Datavolymen som inkomstregistret innehåller är enorm. Hittills har enbart över 43 miljoner anmälningar om löneuppgifter redan lämnats in.

Inkomstregistret innehåller löneuppgifter för varje finländare. Datasäkerheten prioriteras högt. Användningen av hackare vid sökning av sårbarheter är ett intressant tillägg i den sedvanliga praxisen för datasäkerheten.

"Inkomstregistret är ett relativt nytt system, vars datainnehåll är mycket omfattande. I fortsättningen kommer en allt större del av myndigheterna och andra organisationer att utnyttja inkomstregistrets uppgifter. Systemet utvecklas kontinuerligt och nya sårbarheter kan dyka upp vid utvecklingsfasen. Därför hoppas vi att inkomstregistret uppmuntrar hackarna att fortsätta bland utmaningen en lång tid", berättar Bergström.

Bug bounty-programmet utnyttjar gemenskapligheten

Bug bounty är ett gemenskapligt sätt att testa sårbarheter. I ett bug bounty-program testar en selekterad grupp hackare en viss programvara enligt sina egna intressen.

"Förhoppningsvis engagerar inkomstregistrets omfattande databas ett stort antal hackare att delta i testningen. Ju fler ögonpar som deltar, desto bättre kommer resultaten antagligen att vara", konstaterar Bergström.

Inkomstregistrets bug bounty inleds i slutet av oktober

Tills vidare har endast en selekterad grupp s.k. white hat hackers bjudits in i inkomstregistrets bug bounty-program. De invalda har personligen fått besked om saken. Datasäkerhetsforskarna som deltar i programmet förbinder sig till att följa Skatteförvaltningens regler.

Bug bounty-programmet inleds i inkomstregistret i slutet av oktober. Skatteförvaltningen genomför bug bounty-programmet i samarbete med 2NS Oy och portalen hackr.fi.

Läs mera:

Hackare bjuds in för att testa inkomstregistrets datasäkerhet (pressmeddelande 28.10.2019)

Skatteförvaltningen gör den gemenskapliga datasäkerhetstestningen permanent − hackare är välkomna att testa datasäkerheten för webbtjänsten även i fortsättningen (på finska)