Ulkoministeriö joukkoistaa osan tietoturvastaan hakkereille
Ulkoministeriö käynnistää yhteisöllisen tietoturvatestauksen osaan julkisista verkkopalveluistaan 22.9.2021. Tämä niin sanottu palkkionmetsästys- eli bug bounty -ohjelma toteutetaan yhdessä Hackrfi-yrityksen kanssa. Siinä tietoturvatutkijoille ja hakkereille annetaan sääntöjen puitteissa mahdollisuus tutkia ja etsiä haavoittuvuuksia valituista kohteista. Haavoittuvuuksien raportoinnin perusteella osallistujille maksetaan mahdollisia palkkioita.
Ulkoministeriö pilotoi ohjelmaa joulukuun 2019 ja toukokuun 2020 välillä. Tällöin hakkerit toimittivat yhteensä yli 100 haavoittuvuusraporttia, joista 32 osalta maksettiin palkkio. Nyt ohjelma on hankittu pysyväksi osaksi ulkoministeriön tietoturvan toteuttamista ja siihen valittavia kohteita tullaan ohjelman kehittyessä vaihtelemaan.
”Ulkoministeriön verkkopalveluita tutkitaan, halusimme tai emme. Tiedostamme olevamme ulkopuolisten jatkuvan mielenkiinnon kohteena, ja kaikilla heillä tarkoitusperät eivät välttämättä ole hyviä. Ohjelman avulla pyrimme saattamaan tietoomme ja korjattavaksi sellaisia haavoittuvuuksia, jotka muutoin olisivat jääneet huomaamatta”, ulkoministeriön tietoturvapäällikkö Matti Parviainen kertoo.
Testauksen kohteeksi valikoituu ensisijaisesti verkkopalveluita, jotka ovat jokaisen käytettävissä suoraan internetistä. Palveluissa korostuu luottamuksellisuuden lisäksi niin tiedon saatavuus kuin eheys. Esimerkiksi testauksen kohteena oleva matkustusilmoitus.fi(Linkki toiselle web-sivustolle.) -palvelu on yksi tärkeimmistä välineistä saada tietoa ja tavoittaa kriisialueella olevat Suomen kansalaiset.