Hakkerit kutsutaan testaamaan tulorekisterin tietoturvaa

28.10.2019

Tulorekisteri aloittaa lokakuun lopussa bug bounty -ohjelman, jossa etsitään hakkereiden avulla tulorekisteristä mahdollisia tietoturvahaavoittuvuuksia. Tietoturva-aukkoja löytäville tietoturvatutkijoille eli niin sanotuille valkohattuhakkereille maksetaan palkkio. Verohallinto on kokeillut haavoittuvuuspalkkio-ohjelmaa aiemmin jo OmaVero-palvelussa.

Tulorekisterin bug bounty -ohjelmassa tietoturvahaavoittuvuuksia etsitään tulorekisterin testausympäristöstä. Hakkerit pääsevät testaamaan järjestelmää laajalti, sillä ympäristössä ei ole oikeita henkilö- tai tulotietoja. Tulorekisterin sisältämät oikeat henkilö- ja tulotiedot eivät siis ole hakkereiden kohteena, eivätkä tulorekisterin käytettävyys ja turvallisuus vaarannu bug bounty -ohjelmassa.

Tietoturvatutkijoita on kutsuttu mukaan laajasta yhteisöstä, ja ohjelmaan osallistuvat hakkerit sitoutuvat noudattamaan Verohallinnon sääntöjä. Maksettavan palkkion määrä riippuu siitä, miten merkittävä löydetty riski on.

"OmaVeron bug bounty -ohjelmaan osallistui kymmeniä hakkereita. Löysimme palvelusta useampia tietoturva-aukkoja, joita ei normaaleilla tietoturvatarkastuksilla olisi välttämättä havaittu. Suurin yksittäisestä havainnosta maksettu palkkio oli 3 500 euroa", kertoo Verohallinnon turvallisuusjohtaja Samuli Bergström.

Tulorekisteriin on toimitettu yli 43 miljoonaa palkkatietoilmoitusta

Tulorekisteri sisältää kaikkien suomalaisten palkkatiedot. Tietoturvasta pidetään huolta tarkasti. Hakkerien käyttäminen haavoittuvuuksien etsinnässä on kiinnostava lisä tavanomaisiin tietoturvakäytäntöihin.

"Tulorekisteri on suhteellisen uusi järjestelmä, jonka tietosisältö on erittäin laaja. Tulorekisterin tietoja hyödyntää jatkossa entistä suurempi joukko viranomaisia ja muita organisaatioita. Järjestelmää kehitetään jatkuvasti, ja kehitysvaiheessa voi ilmetä uusia tietoturva-aukkoja. Toivomme siksi tulorekisterin innostavan hakkereita pysymään haasteen parissa pitkään", Bergström sanoo.

Tulorekisteri on tammikuussa 2019 käyttöönotettu sähköinen tietokanta, johon ilmoitetaan tiedot maksetuista palkoista ja palkkioista. Tulorekisterin sisältämä tietomäärä on valtava. Tähän mennessä pelkästään palkkatietoilmoituksia on tehty jo yli 43 miljoonaa.

Bug bounty -ohjelmassa hyödynnetään yhteisöllisyyttä

Bug bounty on yhteisöllinen tapa toteuttaa tietoturvatestausta. Bug bounty -ohjelmassa valikoitu joukko hakkereita testaa kohteena olevaa ohjelmistoa oman kiinnostuksensa mukaisesti.

"Toivotaan, että tulorekisterin laaja tietokanta innostaa suuren joukon hakkereita mukaan. Suurempi määrä silmäpareja johtaa todennäköisemmin myös parempiin tuloksiin", toteaa Bergström.

Verohallinto toteuttaa bug bounty -ohjelman yhteistyössä 2NS Oy:n ja hackr.fi-portaalin kanssa.

Lue lisää: Verohallinto vakinaistaa yhteisöllisen tietoturvatestaamisen – hakkerit jatkossakin tervetulleita testaamaan verkkopalvelujen tietoturvaa

Lisätietoja bug bounty -ohjelmasta: hackr@hackr.fi

Lisätietoa medialle:

viestintäpäällikkö Marjo Björk

puh. 029 512 3780

viestinta.tulorekisteri@vero.fi