Yhä useampi hakkeri pääsee testaamaan OmaVeron tietoturvaa

Uutinen, 20.5.2020

OmaVerossa käynnistettiin helmikuussa 2020 suljettu bug bounty- eli haavoittuvuuspalkinto-ohjelma, jossa valikoitu joukko valkohattuhakkereita on testannut OmaVeron tietoturvaa. Nyt testaus laajenee: haku bug bounty -ohjelmaan avautuu julkiseksi, jolloin entistä monipuolisempi joukko tietoturvatestaajia pääsee mukaan.

OmaVeron bug bounty -ohjelmaan voi hakea, jos tietoturvatestaajalla on

  • suomalainen verokortti
  • suomalainen pankkitili.

Hackr.fi-sivustolla voi luoda oman tilin ja siten liittyä tietoturvatestaajien joukkoon.
Ohjelmaan osallistuvat tietoturvatestaajat sitoutuvat noudattamaan Verohallinnon sääntöjä.

Tietoturva-aukkoja löytäville tietoturvatutkijoille maksetaan palkkio. Palkkion määrä riippuu siitä, miten merkittävä löydetty riski on. OmaVeron avoin bug bounty on käynnissä toistaiseksi.

OmaVeron ja tulorekisterin bug bountyyn uusi bonusjärjestelmä

Myös tulorekisterin tietoturvaa testataan hakkereiden avulla. Tietoturva Verohallinnon palveluissa on entistä tärkeämpää, koska sähköinen asiointi lisääntyy jatkuvasti. Nyt Verohallinto ottaa käyttöön kahden viikon ajaksi uuden bonusjärjestelmän, joka koskee sekä tulorekisteriä että OmaVeroa.

Käytännössä tietoturvatestaaja saa 20 %:n bonuksen jokaisesta pätevästä havainnosta, joka liittyy tulorekisterin tai OmaVeron tietoturva-aukkoihin. Tietoturvatestaaja saa bonuksen tavanomaisen palkkion lisäksi eli esimerkiksi 1 000 euron bountyn sijasta tietoturvatestaaja saa 1 200 euroa. Bonusjärjestelmä on käytössä 20.5.−3.6.2020.

Bug bounty on tärkeä osa tietoturvatyötä

Verohallinto on hyödyntänyt haavoittuvuuspalkinto-ohjelmaa OmaVerossa ja tulorekisterissä aiemminkin, ja kokemukset ovat olleet erittäin positiivisia. Bug bounty -ohjelma on tärkeä osa tietoturvatestaamista jatkossakin. Sitä on tarkoitus myös laajentaa ja kehittää.

- Verohallinnolla on hyviä kokemuksia bug bountysta ja aiomme jatkaa sen käyttämistä yhtenä tietoturvatestauksen osa-alueena. Palveluidemme toimivuus ja tietoturva on näinä aikana erityisen tärkeää ja olemme kiitollisia valkohattuhakkereilta saamastamme avusta, Verohallinnon turvallisuudesta vastaava johtaja Samuli Bergström kertoo.

Verohallinto on kehittänyt pitkäjänteisesti sähköistä asiointia ja laadukkaita verkkopalveluja, joissa tietoturvan varmistaminen on erittäin tärkeää. Valkohattuhakkerien ammattitaidon hyödyntäminen bug bounty -ohjelman avulla on tärkeä lisä siihen tietoturvatyöhön, jota Verohallinnossa tehdään.

Verohallinto toteuttaa bug bounty -ohjelman yhteistyössä 2NS:n ja Hackrfin kanssa.

Lisätietoa