Hackare bjuds in för att testa inkomstregistrets datasäkerhet

28.10.2019

Inkomstregistret inleder ett bug bounty-program i slutet av oktober i vilket man har som avsikt att finna eventuella sårbarheter i datasäkerheten. Ett arvode betalas till datasäkerhetsforskare det vill säga så kallade white hat hackers som lyckas finna sårbarheter i datasäkerheten. Skatteförvaltningen har redan tidigare testat sårbarhetsprogrammet i tjänsten MinSkatt.

Avsikten med inkomstregistrets bug bounty-program är att söka sårbarheter i inkomstregistrets testmiljö. Hackarna kan utföra omfattande tester i systemet, eftersom testmiljön inte innehåller riktiga person- eller inkomstuppgifter. Person- och inkomstuppgifterna som inkomstregistret innehåller är med andra ord inte föremål för hackarna och bug bounty-programmet riskerar inte inkomstregistrets användarbarhet och säkerhet.

Datasäkerhetsforskare har bjudits in från ett stort samfund, och de hackare som deltar i programmet förbinder sig till att följa Skatteförvaltningens regler. Beloppet på arvodet beror på hur betydande risken som funnits är.

"Tiotals hackare deltog i bug bounty-programmet för MinSkatt. Vi fann flera brister i tjänstens sårbarhet, som nödvändigtvis inte skulle ha upptäckts i de normala datasäkerhetskontrollerna. Det största arvodet för en enskild observation uppgick till 3 500 euro", berättar Skatteförvaltningens säkerhetsdirektör Samuli Bergström.

Över 43 miljoner anmälningar om löneuppgifter har lämnats in till inkomstregistret

Inkomstregistret innehåller löneuppgifter för varje finländare. Datasäkerheten prioriteras högt. Användningen av hackare vid sökning av sårbarheter är ett intressant tillägg i den sedvanliga praxisen för datasäkerheten.

"Inkomstregistret är ett relativt nytt system, vars datainnehåll är mycket omfattande. I fortsättningen kommer en allt större del av myndigheterna och andra organisationer att utnyttja inkomstregistrets uppgifter. Systemet utvecklas kontinuerligt och nya sårbarheter kan dyka upp vid utvecklingsfasen. Därför hoppas vi att inkomstregistret uppmuntrar hackarna att fortsätta bland utmaningen en lång tid", berättar Bergström.

Inkomstregistret är en elektronisk databas som infördes i januari 2019, dit uppgifter om betalda löner och arvoden anmäls. Datavolymen som inkomstregistret innehåller är enorm. Hittills har enbart över 43 miljoner anmälningar om löneuppgifter redan lämnats in.

Bug bounty-programmet utnyttjar gemenskapligheten

Bug bounty är ett gemenskapligt sätt att testa sårbarheter. I ett bug bounty-program testar en selekterad grupp hackare en viss programvara enligt sina egna intressen.

"Förhoppningsvis engagerar inkomstregistrets omfattande databas ett stort antal hackare att delta i testningen. Ju fler ögonpar som deltar, desto bättre kommer resultaten antagligen att vara", konstaterar Bergström.

Skatteförvaltningen genomför bug bounty-programmet i samarbete med 2NS Oy och portalen hackr.fi.

Läs mera: Skatteförvaltningen gör den gemenskapliga datasäkerhetstestningen permanent − hackare är välkomna att testa datasäkerheten för webbtjänsten även i fortsättningen (på finska)

Ytterligare information om bug bounty-programmet: hackr@hack@.fi

Ytterligare information till medierna:

kommunikationschef Marjo Björk
tfn 029 512 3780
viestinta.tulorekisteri@vero.fi