Tulorekisterissä hyödynnetään hakkereita tietoturvan testauksessa

28.10.2019

Tulorekisteri aloittaa lokakuun lopussa bug bounty -ohjelman, jossa etsitään tulorekisteristä mahdollisia tietoturvahaavoittuvuuksia. Tietoturva-aukkoja löytäville tietoturvatutkijoille eli niin sanotuille valkohattuhakkereille maksetaan palkkio. Palkkion määrä riippuu siitä, miten merkittävä löydetty riski on.

Verohallinto kokeili bug bountya eli haavoittuvuuspalkkio-ohjelmaa OmaVero-palvelussa vuonna 2017. Menetelmä johti hyviin tuloksiin, ja nyt se otetaan käyttöön myös tulorekisterissä. Tarkoituksena on, että tietoturvatutkijoiden joukko löytäisi järjestelmästä mahdolliset haavoittuvuudet ja ongelmat päästäisiin korjaamaan heti havainnon jälkeen.

"OmaVeron bug bounty -ohjelmaan osallistui kymmeniä hakkereita. Löysimme palvelusta useita tietoturva-aukkoja, joita ei normaaleilla tietoturvatarkastuksilla olisi välttämättä havaittu. Suurin yksittäisestä havainnosta maksettu palkkio oli 3 500 euroa", Verohallinnon turvallisuusjohtaja Samuli Bergström kertoo.

Tulorekisterin bug bountyssa tietoturvahaavoittuvuuksia etsitään testausympäristöstä. Hakkerit pääsevät testausympäristössä testaamaan järjestelmää laajalti, sillä ympäristössä ei ole oikeita henkilö- tai tulotietoja. Tulorekisterin sisältämät oikeat henkilö- ja tulotiedot eivät siis ole hakkereiden kohteena. Tulorekisterin käytettävyys ja turvallisuus eivät vaarannu bug bounty -ohjelmassa.

Tulorekisteriin on toimitettu yli 43 miljoonaa palkkatietoilmoitusta

Tulorekisteri on tammikuussa 2019 käyttöönotettu sähköinen tietokanta, johon ilmoitetaan tiedot maksetuista palkoista ja palkkioista. Tulorekisterin sisältämä tietomäärä on valtava. Tähän mennessä pelkästään palkkatietoilmoituksia on tehty jo yli 43 miljoonaa.

Tulorekisteri sisältää kaikkien suomalaisten palkkatiedot. Tietoturvasta pidetään huolta tarkasti. Hakkerien käyttäminen haavoittuvuuksien etsinnässä on kiinnostava lisä tavanomaisiin tietoturvakäytäntöihin.

"Tulorekisteri on suhteellisen uusi järjestelmä, jonka tietosisältö on erittäin laaja. Tulorekisterin tietoja hyödyntää jatkossa entistä suurempi joukko viranomaisia ja muita organisaatioita. Järjestelmää kehitetään jatkuvasti, ja kehitysvaiheessa voi ilmetä uusia tietoturva-aukkoja. Toivomme siksi tulorekisterin innostavan hakkereita pysymään haasteen parissa pitkään", Bergström kertoo.

Bug bounty -ohjelmassa hyödynnetään yhteisöllisyyttä

Bug bounty on yhteisöllinen tapa toteuttaa tietoturvatestausta. Bug bounty -ohjelmassa valikoitu joukko hakkereita testaa kohteena olevaa ohjelmistoa oman kiinnostuksensa mukaisesti.

"Toivotaan, että tulorekisterin laaja tietokanta innostaa suuren joukon hakkereita mukaan. Suurempi määrä silmäpareja johtaa todennäköisemmin myös parempiin tuloksiin", toteaa Bergström.

Tulorekisterin bug bounty alkaa lokakuun lopussa

Tulorekisterin bug bounty -ohjelmaan on toistaiseksi kutsuttu vain valikoitu joukko valkohattuhakkereita, joille on ilmoitettu asiasta henkilökohtaisesti. Ohjelmaan osallistuvat tietoturvatutkijat sitoutuvat noudattamaan Verohallinnon sääntöjä.

Bug bounty -ohjelma aloitetaan tulorekisterissä lokakuun lopussa. Verohallinto toteuttaa bug bounty -ohjelman yhteistyössä 2NS Oy:n ja hackr.fi-portaalin kanssa

Lue lisää:

Hakkerit kutsutaan testaamaan tulorekisterin tietoturvaa (mediatiedote 28.10.2019)

Verohallinto vakinaistaa yhteisöllisen tietoturvatestaamisen – hakkerit jatkossakin tervetulleita testaamaan verkkopalvelujen tietoturvaa