Ulkoministeriön yhteisöllinen tietoturvatestaus onnistui – bug bounty -ohjelmasta pysyvä testausmuoto

Ulkoministeriö järjesti yhteisöllisen tietoturvatestauksen julkisille verkkopalveluilleen joulukuun 2019 ja toukokuun 2020 välillä. Tässä tietoturvahaavoittuvuuksien palkkionmetsästys- eli bug bounty -ohjelmassa tietoturvatutkijoille ja hakkereille annettiin sääntöjen puitteissa mahdollisuus tutkia valittujen kohteiden tietoturvallisuutta internetistä käsin. Kohdejärjestelmien suojauksia ei avattu projektin ajaksi.

Kohteina olivat ulkoministeriön verkkopalvelut um.fi(Linkki toiselle web-sivustolle.)matkustusilmoitus.fi(Linkki toiselle web-sivustolle.) ja  vaarinkayttoilmoitus.fi(Linkki toiselle web-sivustolle.). Näihin internetissä tarjolla oleviin palveluihin kohdistuu joka tapauksessa luvattomia murtoyrityksiä, joten ulkoministeriö halusi kannustaa laillisesti toimivia hakkereita tutkimaan palveluita ja raportoimaan havainnoistaan palkkiota vastaan.

”Hanke oli hyödyllinen ja innostava. Se oli myös poikkeuksellisen avoin, sillä useimmat ulkoministeriön tietoturvallisuuden kehityshankkeet eivät ole julkisia”, toteaa tietoturvapäällikkö Antti Savolainen.

Ohjelmaan osallistui 30 hakkeria Suomesta, Intiasta ja Argentiinasta. Nämä toimittivat yhteensä yli 100 haavoittuvuusraporttia, joista 32 osalta maksettiin palkkio. Palkkioita maksettiin yhteensä noin 10 000 euroa. Palkkioista suurin, 3 000 euroa maksettiin raportista, joka osoitti mahdollisuuden julkaista luvatta omia videoita ulkoministeriön verkkosivuilla. Raportoidut tietoturva-aukot korjattiin ohjelman yhteydessä.

Ulkoministeriö hankki ensimmäisen bug bounty -ohjelmansa Hackrfi-yritykseltä. Pilottiohjelma onnistui suunnitellulla tavalla, ja menetelmä on päätetty vakinaistaa osaksi ulkoministeriön tietoturvallisuuden testausohjelmaa. Testausohjelman kumppanin julkinen hankinta käynnistyy lokakuussa 2020.

”Mielestäni on hienoa, että ulkoministeriö avasi rohkeasti sivustonsa tietoturvatutkijoiden testattavaksi. Tietoturva on yhteistyötä ja paras lopputulos saavutetaan silloin kun monta silmäparia on tutkimassa samaa kokonaisuutta”, painottaa testauksessa mukana ollut hakkeri Laura Kankaala

Lisätietoja: tietoturvapäällikkö Antti Savolainen, p. 0295 351 425, sähköposti: [email protected]