Verohallinto hyödyntää hakkereita OmaVero-verkkopalvelun tietoturvan testauksessa

Verohallinnon tiedote, 2.10.2017

Verohallinto on aloittanut lokakuun alussa bug bounty -pilottihankkeen, jossa etsitään OmaVero-verkkopalvelun mahdollisia tietoturvahaavoittuvuuksia. OmaVero on lokakuussa 2016 avattu Verohallinnon sähköinen asiointipalvelu, joka korvaa vaiheittain suurimman osan nykyisistä sähköisistä asiointipalveluista.

Bug bounty eli haavoittuvuuspalkkio-ohjelmat ovat yhteisöllinen tapa toteuttaa tietoturvatestausta. Ohjelmassa valikoidulle joukolle tietoturvatutkijoita eli niin sanottuja valkohattuhakkereita annetaan kohteeksi tietty palvelu, jota he testaavat kukin omien mielenkiinnon kohteidensa mukaisesti. Mikäli ohjelmistosta löytyy haavoittuvuuksia, he raportoivat niistä palveluntarjoajalle, joka tarkistaa tietojen paikkansapitävyyden ja välittää ne tarvittaessa Verohallinnolle.

– OmaVero-verkkopalvelun käytettävyys ja turvallisuus eivät vaarannu pilotissa. Tietoturvatutkijoita on kutsuttu mukaan laajasta yhteisöstä ja osallistuessaan ohjelmaan he sitoutuvat noudattamaan Verohallinnon määrittämiä sääntöjä, Verohallinnon turvallisuusjohtaja Samuli Bergström sanoo.

Mahdollisten haavoittuvuuksien löytämisestä maksetaan niiden suuruuteen suhteutettu palkkio. Maksettavan palkkion suuruus riippuu riskin vakavuudesta: mitä isommasta haavoittuvuudesta on kyse, sitä isompi palkkio.

– Palkkio-ohjelman keskeinen ero tavalliseen tietoturvatestaukseen on se, että siinä maksetaan vain tuloksista, ei käytetystä testausajasta, Bergström kertoo.

Uusi tapa kehittää tietoturvaa

Verohallinnossa järjestetään jatkuvasti useita erillisiä tietoturvatarkastuksia. Nyt käynnistynyt kokeilu on yksi uusi tapa pitää huolta tietoturvasta. Turvallisuusjohtaja Samuli Bergström uskoo, että tulevaisuudessa testaustavan suosio kasvaa.

– Samoilla resursseilla saadaan käyttöön entistä isompi ryhmä tietoturvan testaajia eli käytännössä useammat aivot, Bergström summaa ohjelman hyödyt.

Suomessa Verohallinto on tiettävästi ensimmäinen valtionhallinnon toimija, joka kokeilee haavoittuvuuspalkkio-ohjelmaa oman tietoturvansa parantamiseksi.