TIETOTURVA Väestörekisterikeskus aloitti 12.2.2018 bug bounty -ohjelman, jossa etsitään Suomi.fi-verkkopalvelun mahdollisia tietoturvahaavoittuvuuksia. Mikäli haavoittuvuuksia löydetään, maksetaan niiden löytäjälle löydöksen merkittävyyteen suhteutettu palkkio.
Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin yhdestä paikasta. Verkkopalvelu on tarkoitettu kansalaisille, yrityksille ja yhteisöille sekä viranomaisille. Suomi.fin kehittämisestä vastaa Väestörekisterikeskus.
Bug bounty- eli haavoittuvuuspalkinto-ohjelma kutsuu ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille eli tässä tapauksessa luvallisille hakkereille annetaan mahdollisuus testata organisaatioiden internetpalveluja sovittujen periaatteiden ja rajoitusten puitteissa.
Väestörekisterikeskuksen ohjelmassa testataan Suomi.fi-verkkopalvelua, mukaan lukien Suomi.fi-tunnistuksen rajapintaa.
– Päätimme toteuttaa oman haavoittuvuuspalkinto-ohjelman, koska konseptissa nähtiin potentiaalia täydentää normaalia sovellustestaustamme. Samalla annetaan kyvykkäille hakkereille mahdollisuus testata kykyjään luvan kanssa ja tienata myös siinä sivussa hieman rahaa, toteaa Väestörekisterikeskuksen tietoturvapäällikkö Pekka Ristimäki.
Ohjelmassa tehtävä hakkerointi ei vaaranna järjestelmän tietoturvaa. Päinvastoin, laaja testaajajoukko mahdollistaa laajemman testauksen ja mahdollisten haavoittuvuuksien tehokkaan löytämisen.
– Kyseessä on kutsuohjelma, eli hakkerit ilmoittautuvat mukaan testaukseen ja sitoutuvat noudattamaan asetettuja sääntöjä, Ristimäki jatkaa.
Mikäli haavoittuvuuksia löydetään, maksetaan niiden löytäjälle löydöksen merkittävyyteen suhteutettu palkkio. Palkkiohaitari Väestörekisterikeskuksen kutsuohjelmassa on 100–30 000 euroa.
Ohjelman tuottaa Hackrfi Oy, joka on yhteisöllisen haavoittuvuuksien koordinoinnin ja tietoturvatestaamisen hallinnointiin erikoistunut yritys. VRK:n ohjelma on käynnissä 12.2.2018–12.8.2018. Ohjelmaan kutsutaan mukaan hakemuksen perusteella.
Kommentoi Facebookissa