Hackare testar informationssäkerheten i inkomstregistret och MinSkatt i större utsträckning än tidigare

14.2.2020

Inkomstregistret inledde i oktober 2019 programmet bug bounty (”buggbelöning”) där hackare letar efter eventuella brister i informationssäkerheten i inkomstregistret. Programmet, där upptäckta brister belönas, användes också i e-tjänsten MinSkatt 2017. Metoden har lett till bra resultat och nu utvidgas användningen av hackare för att testa informationssäkerheten i Skatteförvaltningens system.

Ett arvode betalas till de informationssäkerhetsutredare, så kallade vithattar (goda hackare), som hittar brister i informationssäkerheten. Arvodets storlek beror på hur betydande den upptäckta risken är. Bug bounty är ett socialt sätt att testa informationssäkerheten. I programmet bug bounty testar en utvald grupp hackare enligt sina egna intressen den programvara som är objekt för testningen.

Syftet är att gruppen av informationssäkerhetsutredare hittar eventuella sårbarheter i programvaran och att vi kan åtgärda problemen genast efter upptäckten.

 – I inkomstregistrets bug bounty-program deltog i höstas tiotals hackare. Tjänsten hackades i en begränsad testmiljö som visade sig vara rätt informationssäker. Endast några observationer framkom. Nu utvidgar vi programmet bug bounty i inkomstregistret och startar det på nytt i MinSkatt, säger Skatteförvaltningens säkerhetsdirektör Samuli Bergström.

Informationssäkerheten utvecklas långsiktigt

Inkomstregistret och MinSkatt innehåller omfattande uppgifter om både personer, företag och organisationer. Informationssäkerheten i systemen sköts noggrant. Att utnyttja hackare för att söka efter sårbarheter är ett intressant tillägg till de vanliga informationssäkerhetsåtgärderna.

– Skatteförvaltningens system utvecklas kontinuerligt och därför vill vi också utvidga testningen av informationssäkerheten. Att långsiktigt utveckla och förbättra informationssäkerheten ökar för sin del systemens pålitlighet. Vi ska ändå komma ihåg att bug bounty endast utgör en del av att säkerställa informationssäkerheten, säger Bergström.

Bug bounty utvidgas i februari

Programmet bug bounty utvidgas till inkomstregistrets e-tjänst 17.2.2020 och till MinSkatt 19.2.2020. Till programmet inbjuds endast en utvald grupp vithattar som har meddelats personligen. De informationssäkerhetsutredare som deltar i programmet förbinder sig att följa Skatteförvaltningens regler.

Skatteförvaltningen förverkligar programmet bug bounty i samarbete med 2NS och portalen hackr.fi.

Läs mer:

Inkomstregistret utnyttjar hackare vid testning av datasäkerhet (inkomstregistret.fi)

Verohallinto vakinaistaa yhteisöllisen tietoturvatestaamisen – hakkerit jatkossakin tervetulleita testaamaan verkkopalvelujen tietoturvaa (vero.fi) (på finska)