Ulkoministeriö joukkoistaa osan tietoturvastaan hakkereille

Ulkoministeriö joukkoistaa osan tietoturvastaan hakkereille

Ulkoministeriö käynnistää yhteisöllisen tietoturvatestauksen osaan julkisista verkkopalveluistaan 22.9.2021. Tämä niin sanottu palkkionmetsästys- eli bug bounty -ohjelma toteutetaan yhdessä Hackrfi-yrityksen kanssa. Siinä tietoturvatutkijoille ja hakkereille annetaan sääntöjen puitteissa mahdollisuus tutkia ja etsiä haavoittuvuuksia valituista kohteista. Haavoittuvuuksien raportoinnin perusteella osallistujille maksetaan mahdollisia palkkioita.

Kaavio, jossa teksti. Otsikko: Tietoturva-aukkojen paikantaminen. Ensimmäinen vaihe: Testaus kehitysvaiheessa: Puutteet korjataan osana järjestelmän kehitysprosessia. Tämän jälkeen kaksi vaihtoehtoa: Säännöllinen tai toistuva menetelmä, jossa tarkastuslistaan tai valmiiseen sääntökantaan perustuva auditointi tai haavoittuvuusskannaus. Säännöllisen menetelmän lisäksi vaihtoehtona on bug bounty –menetelmä: Yhteisöllinen ja epäsystemaattinen haavoittuvuuksien etsiminen, jossa palkkionmetsästäjälle luvataan vakauteen suhteutettu rahasumma tämän havaitsemasta ja raportoimasta tietoturva-aukosta.

Ulkoministeriö pilotoi ohjelmaa joulukuun 2019 ja toukokuun 2020 välillä. Tällöin hakkerit toimittivat yhteensä yli 100 haavoittuvuusraporttia, joista 32 osalta maksettiin palkkio. Nyt ohjelma on hankittu pysyväksi osaksi ulkoministeriön tietoturvan toteuttamista ja siihen valittavia kohteita tullaan ohjelman kehittyessä vaihtelemaan.

”Ulkoministeriön verkkopalveluita tutkitaan, halusimme tai emme. Tiedostamme olevamme ulkopuolisten jatkuvan mielenkiinnon kohteena, ja kaikilla heillä tarkoitusperät eivät välttämättä ole hyviä.  Ohjelman avulla pyrimme saattamaan tietoomme ja korjattavaksi sellaisia haavoittuvuuksia, jotka muutoin olisivat jääneet huomaamatta”, ulkoministeriön tietoturvapäällikkö Matti Parviainen kertoo.

Testauksen kohteeksi valikoituu ensisijaisesti verkkopalveluita, jotka ovat jokaisen käytettävissä suoraan internetistä. Palveluissa korostuu luottamuksellisuuden lisäksi niin tiedon saatavuus kuin eheys. Esimerkiksi testauksen kohteena oleva matkustusilmoitus.fi(Linkki toiselle verkkosivustolle) -palvelu on yksi tärkeimmistä välineistä saada tietoa ja tavoittaa kriisialueella olevat Suomen kansalaiset.