TIETOTURVA Väestörekisterikeskuksen helmikuussa 2018 aloittamassa bug bounty– eli haavoittuvuuspalkinto-ohjelmassa on löydetty ensimmäiset tietoturvahaavoittuvuudet. Palkkioita on tähän mennessä maksettu 14:tä löydöksestä, yhteensä 5 100 euroa. Suurin maksettu yksittäinen palkkio oli arvoltaan 2 000 euroa.
Havaitut haavoittuvuudet ovat koskeneet Suomi.fi-verkkopalvelua, Suomi.fi-tunnistusta ja Suomi.fi-valtuuksia. Väestörekisterikeskus on analysoinut ja korjannut havaitut haavoittuvuudet välittömästi.
Suurimpaan palkkioon oikeuttaneen haavoittuvuuden löysi Jarmo Puttonen. Puttonen on suomalainen valkohattuhakkeri, joka on osallistunut useisiin palkkionmetsästysohjelmiin sekä Suomessa että ulkomailla. Hän kuuluu myös Team ROT:iin, jonka jäsenet tekevät tietoturva-alan tutkimusta sekä järjestävät tietoturvatempauksia.
– Valkohattuhakkerien käyttäminen bug bountyissä luo erinomaisen asetelman missä sekä hakkerit että yritykset hyötyvät yhteistyöstä, Puttonen kommentoi.
Hakkereille hanke on kanava käyttää ja kehittää taitojaan laillisesti sekä auttaa yrityksiä ja yhteiskuntaa samanaikaisesti ansaitsemalla palkkioita työstään. Yritykset taas saavat arvokasta tietoa järjestelmiensä tietoturvan tasosta joka mahdollistaa entistä paremmin huolehtimaan sekä yrityksen että sen asiakkaiden turvallisuudesta.
– Löytämälläni haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että hän luulee tunnistautuvansa viralliseen valtion tarjoamaan palveluun, mutta hän kuitenkin päätyy rikollisen hallitsemalle huijaussivustolle, kertoo Jarmo Puttonen.
Väestörekisterikeskuksen tietoturvapäällikkö Pekka Ristimäki on tyytyväinen yhteistyöhön hakkereiden kanssa.
– Olemme saaneet myös parannettua omia prosessejamme löydösten pohjalta. On tärkeä testata palvelua ja etsiä jatkuvasti mahdollisia haavoittuvuuksia, jotta ne voidaan korjata mahdollisimman varhaisessa vaiheessa, Ristimäki sanoo.
Hän kannustaakin hakkereita ilmoittautumaan mukaan palkkio-ohjelmaan ja jatkamaan testausta.
Suomi.fi on verkkopalvelu, joka tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin yhdestä paikasta. Verkkopalvelu on tarkoitettu kansalaisille, yrityksille ja yhteisöille sekä viranomaisille. Suomi.fin kehittämisestä vastaa Väestörekisterikeskus.
Väestörekisterikeskuksen julkaisema bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Väestörekisterikeskuksen ohjelma on käynnissä 12.8.2018 saakka.
Lue myös: Nyt olisi hakkereille töitä – haavoittuvuuksien paljastajalle valtiolta jopa 30 000 euron palkkio
Kommentoi Facebookissa