Lyckat utfall av utrikesministeriets kollektiva it-säkerhetstest – bug bounty-programmet blir en permanent testform

Utrikesministeriet testade sina offentliga webbtjänsters it-säkerhet genom ett kollektivt testprogram under perioden december 2019–maj 2020. Detta buggbelöningsprogram, eller bug bounty-program, gick ut på att hackare, enligt vissa fastställda regler, fick belöning för att hitta sårbarheter i webbplatsernas kod och säkerhet. Systemens skyddsprogram nedmonterades inte under projektet.

Kuvaus siitä miten tietoturva-aukkoja paikannetaan eli säännöllinen menetelmä tai niin sanottu bug bounty -menetelmä. 

Projektet gällde utrikesministeriets webbplatser um.fi(Länk till en annan webbplats.)matkustusilmoitus.fi(Länk till en annan webbplats.) och  vaarinkayttoilmoitus.fi(Länk till en annan webbplats.). Eftersom dessa webbtjänster i vilket fall som helst utsätts för olovliga dataintrång, ville utrikesministeriet uppmuntra lagliga hackare att granska webbplatserna och rapportera om sina observationer mot belöning.

”Projektet var nyttigt och inspirerande. Det var också exceptionellt öppet, eftersom utrikesministeriets projekt för utveckling av it-säkerheten vanligtvis inte är offentliga”, konstaterar datasäkerhetschef Antti Savolainen.

I programmet deltog 30 hackare från Finland, Indien och Argentina. Hackarna lämnade in över 100 sårbarhetsrapporter, varav 32 belönades. I euro uppgick belöningarna till en summa på sammanlagt cirka 10 000. Den största belöningen, 3 000 euro, betalades för en rapport som påvisade att det går att olovligen publicera egna videor på utrikesministeriets webbplats. De rapporterade bristerna i it-säkerheten avhjälptes i samband med projektet.

Utrikesministeriet beställde sitt första buggbelöningsprogram av företaget Hackrfi. Pilotprogrammet fungerade som planerat, och metoden ska nu bli en permanent del av utrikesministeriets program för att testa it-säkerheten. Den offentliga upphandlingen av en testprogramleverantör inleds i oktober 2020.

”Jag tycker det är fint att utrikesministeriet modigt öppnade sina webbplatser för oss som söker sårbarheter i it-säkerheten. It-säkerhet kräver samarbete och det bästa resultatet nås när flera ögonpar ser på en och samma helhet”, understryker hackaren Laura Kankaala, som deltog i it-säkerhetstestet.

Ytterligare information: Antti Savolainen, datasäkerhetschef, tfn 0295 351 425, e-post: [email protected]