Hakkerit testaavat tulorekisterin ja OmaVeron tietoturvaa entistä laajemmin

14.2.2020

Tulorekisteri aloitti lokakuussa 2019 bug bounty -ohjelman, jossa etsitään tulorekisteristä mahdollisia tietoturvahaavoittuvuuksia. Haavoittuvuuspalkkio-ohjelmaa käytettiin myös OmaVero-palvelussa vuonna 2017. Menetelmä on johtanut hyviin tuloksiin, ja nyt hakkereiden käyttämistä Verohallinnon järjestelmien tietoturvatestauksessa laajennetaan.

Tietoturva-aukkoja löytäville tietoturvatutkijoille eli niin sanotuille valkohattuhakkereille maksetaan palkkio. Palkkion määrä riippuu siitä, miten merkittävä löydetty riski on. Bug bounty on yhteisöllinen tapa toteuttaa tietoturvatestausta. Bug bounty -ohjelmassa valikoitu joukko hakkereita testaa kohteena olevaa ohjelmistoa oman kiinnostuksensa mukaisesti.

Tarkoituksena on, että tietoturvatutkijoiden joukko löytäisi järjestelmästä mahdolliset haavoittuvuudet ja ongelmat päästäisiin korjaamaan heti havainnon jälkeen.

– Tulorekisterin bug bounty -ohjelmaan osallistui syksyllä kymmeniä hakkereita. Palvelua hakkeroitiin rajatussa testausympäristössä, joka osoittautui varsin tietoturvalliseksi, sillä sieltä löytyi vain muutama havainto. Nyt laajennamme bug bounty -ohjelmaa tulorekisterissä ja käynnistämme sen uudestaan OmaVerossa, Verohallinnon turvallisuudesta vastaava johtaja Samuli Bergström kertoo.

Tietoturvaa kehitetään pitkäjänteisesti

Tulorekisteri ja OmaVero sisältävät laajasti sekä henkilöiden, yritysten ja yhteisöjen tietoja. Järjestelmien tietoturvasta pidetään huolta tarkasti. Hakkerien hyödyntäminen haavoittuvuuksien etsinnässä on kiinnostava lisä tavanomaisiin tietoturvakäytäntöihin.

– Verohallinnon järjestelmiä kehitetään jatkuvasti ja siksi haluamme laajentaa myös tietoturvan testaamista. Pitkäjänteinen tietoturvan kehittäminen ja parantaminen lisäävät omalta osaltaan järjestelmien luotettavuutta. On kuitenkin muistettava, että bug bounty on vain yksi osa tietoturvallisuuden varmistamista, Bergström kertoo.

Bug bounty laajenee helmikuussa

Bug bounty-ohjelma laajenee tulorekisterin sähköiseen asiointipalveluun 17.2.2020 ja OmaVeroon 19.2.2020. Ohjelmaan kutsutaan vain valikoitu joukko valkohattuhakkereita, joille on ilmoitettu asiasta henkilökohtaisesti. Ohjelmaan osallistuvat tietoturvatutkijat sitoutuvat noudattamaan Verohallinnon sääntöjä.

Verohallinto toteuttaa bug bounty -ohjelman yhteistyössä 2NS:n ja hackr.fi-portaalin kanssa.

Lue lisää:

Tulorekisterissä hyödynnetään hakkereita tietoturvan testauksessa (tulorekisteri.fi)

Verohallinto vakinaistaa yhteisöllisen tietoturvatestaamisen – hakkerit jatkossakin tervetulleita testaamaan verkkopalvelujen tietoturvaa (vero.fi)