Verohallinto vakinaistaa yhteisöllisen tietoturvatestaamisen – hakkerit jatkossakin tervetulleita testaamaan verkkopalvelujen tietoturvaa

Verohallinnon tiedote, 16.4.2018

Vuoden kybertekona palkittu OmaVero-verkkopalvelun bug bounty -pilottiprojekti toi Verohallinnolle arvokasta kokemusta uudenlaisista tavoista löytää tietoturvahaavoittuvuuksia.

Lokakuussa 2017 käynnistettyyn haavoittuvuuspalkkio-ohjelmaan osallistui pilottijaksolla yhteensä noin 50 testaajaa. Verohallinnon ja Hackrfi:n järjestämän ohjelman suurin yksittäinen maksettu palkkio on tähän mennessä ollut 3 500 euroa.

Puoli vuotta kestänyt pilotti päättyi huhtikuun alussa, mutta itse ohjelma jatkuu myös kokeilun jälkeen ja tämän vuoden aikana testaamista laajennetaan myös muihin verkkopalveluihin.

– Muualla maailmassa bug bounty on jo vakiintunut toimintamalli, jota suuret yritykset, kuten Facebook ja Google, käyttävät palveluidensa turvallisuuden testaamiseen. Siihen suuntaan mekin haluamme edetä, Verohallinnon turvallisuusjohtaja Samuli Bergström kertoo.

Kokeilu eteni varovaisin askelin

Bug bounty -toiminta oli pilotin alkaessa suhteellisen uusi asia paitsi Verohallinnossa myös laajemmin julkishallinnossa. Bergströmin mukaan hakkerien kanssa tehtävä yhteistyö herättikin alussa jonkin verran pelkotiloja ja epäilyksiä.

– Räväkämmällä lähestymistavalla olisimme ehkä saaneet enemmän raportteja ja löytäneet enemmän tietoturvahaavoittuvuuksia, mutta varovaisella etenemisellä pääsimme ylipäätään kokeilemaan tätä.

Mahdolliset riskitekijät punnittiin ennen kokeilun aloittamista huolella, ja ohjelmaan osallistujat esimerkiksi rekisteröityivät siihen henkilökohtaisilla pankkitunnuksillaan. Tämä saattoi toisaalta karsia osallistujamäärää, ja esimerkiksi osa testaajista jätti verifiointiprosessin kesken.

Vastaa nykyajan vaatimuksia

Bergströmin mukaan pelkät perinteiset tietoturvatestaukset eivät enää ole riittävän varmoja ja nopeita muuttuvan maailman tarpeisiin. Kokeilujaksosta saatujen oppien perusteella hän suosittelee vastaavanlaisia ohjelmia myös muille organisaatioille.

– Bug bounty kehittää tietoturvatestausta vastaamaan nykyajan vaatimuksia. Sen avulla saadaan käyttöön laajempi osaaminen ja toimintamallissa maksetaan vain saavutetuista tuloksista.

Vaikka haavoittuvuuspalkkio-ohjelma vaatiikin organisaatiolta tiettyä ketteryyttä ja kyvykkyyttä reagoida havaintoihin, tärkeimmässä roolissa ovat kuitenkin itse testaajat.

– Suurin kiitos kuuluu tietysti mukana olleelle hakkeriyhteisölle: ilman teitä tämä ei olisi ollut mahdollista, Bergström kiteyttää.

OmaVero on lokakuussa 2016 avattu Verohallinnon sähköinen asiointipalvelu, joka korvaa vaiheittain suurimman osan nykyisistä sähköisistä asiointipalveluista. Palvelun sovelluskerrokseen ja palvelimeen kohdennettu bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Bug bounty on käynnissä toistaiseksi.

Lisätietoja:
Turvallisuusjohtaja Samuli Bergström, puh. 029 512 4227