Bug Bounty kutsuu hakkerit mukaan tietoturvajahtiin

Verohallinnon Bug Bounty -kampanjassa ulkopuoliset hakkerit kutsuttiin testaamaan asiointipalvelun turvallisuutta yhdessä ulkopuolisen palvelutoimittajan avulla. Kampanja oli ehdolla digitalisaation Suunnannäyttäjäksi vuonna 2018.

Digitaaliset toimintaympäristöt ja niihin liittyvät uhkakuvat voivat muuttua uuvuttavalla vauhdilla. Perinteinen tietoturvatestauksen ja -auditointitoiminnan tueksi tarvitaan uusia tapoja testata ja varmistaa sähköisten palveluiden turvallisuus ja saatavuus. Verohallinto lähti rohkeasti käynnistämään uutta yhteisöllisempää tapaa testata tietoturvariskejä lisätäkseen sähköisten asiointipalveluiden turvallisuutta, luottamusta ja käyttöä.

Verohallinnon Bug Bounty -kampanjassa ulkopuoliset hakkerit kutsuttiin testaamaan asiointipalvelun turvallisuutta yhdessä ulkopuolisen palvelutoimittajan avulla. Hakkeroinnissa lähdettiin liikkeelle rajoitetusta kohteesta, josta aluetta laajennettiin vähitellen. Testaajat löysivät ainoastaan yhden merkittävän haavoittuvuuden, jota ei olisi todennäköisesti löydetty perinteisillä testausmenetelmillä.

Työ sujui innostuneissa tunnelmissa, vaikka aluksi hankkeeseen liittyi organisaation sisällä pelkoja mahdollisista väärinkäytöksistä ja palvelun häiriöistä. Epäilykset kuitenkin selätettiin aktiivisella vuorovaikutuksella ja tiedottamisella eri yhteistyötahojen välillä. Mukana olivat Verohallinnon johdon ja asiantuntijoiden lisäksi Bug Bounty -palvelun toimittaja, Verohallinnon käyttöpalvelu- ja sovellustoimittajat sekä Väestörekisterikeskus, jonka kanssa tehtiin tiivistä yhteistyötä Suomi.fi-tunnistuksen kanssa.

Verohallinto kehittää toimintaansa samassa hengessä myös jatkossa, samalla kun yhteisöllinen tietoturvatestaus jatkuu osana normaalia toimintaa. Hyviä kokemuksia ja tuloksia on hyödynnetty myös muualla julkishallinnossa. Väestörekisterikeskus käynnisti oman Bug Bounty -kampanjansa alkuvuodesta 2018.

Digioppimme:

”Uusia asioita ja toimintamalleja voi kokeilla ennakkoluulottomasti. Liikkeelle kannattaa lähteä pienin askelin ja aina varautua myös siihen, että toiminta voidaan joutua keskeyttämään ja palaamaan takaisin lähtötilanteeseen. Toimintaa ei voi kehittää, jos aina pitäydytään vain totutuissa toimintamalleissa.”

Vuoden 2018 Suunnannäyttäjät-kilpailuun ilmoittautui yhteensä 30 tiimiä. Kilpailussa haettiin erityisesti kansalaisten arkea helpottavia digihankkeita, -projekteja ja -kokeiluja. Kilpailun kannalta tärkeäksi nähtiin myös se, että digitalisaatiotekoon osallistui henkilöitä useammasta organisaatiosta. Lisäksi kilpailussa arvostettiin sitä, että mukaan ilmoitetun digiteon lopputuloksia voidaan hyödyntää myös muissa organisaatioissa.

Päivitetty: 5.2.2020