Inkomstregistret bjuder in hackare för att testa informationssäkerheten
2.10.2023I oktober 2023 inleder inkomstregistret ett nytt bug bounty -program.
I programmet söks sårbarheter i informationssäkerheten i en testmiljö. När informationssäkerheten sätts på prov i en testmiljö som motsvarar produktionsmiljön, blir riktiga person- och inkomstuppgifter i inkomstregistret inte föremål för hackning. Samtidigt kontrollerar man att användbarheten och säkerheten i inkomstregistret inte äventyras medan programmet pågår.
Bug bounty-programmet har använts i inkomstregistret sedan 2019. Föregående program avslutades 2021. Skatteförvaltningen använde programmet första gången 2017 i tjänsten MinSkatt.
I de tidigare programmen upptäcktes inga allvarliga informationssäkerhetsbrister i inkomstregistret, men utifrån observationerna har informationssäkerheten förbättrats ytterligare. Observationerna har rört bland annat tjänstens tillförlitlighet.
Under årens lopp har tiotals hackare deltagit i programmen.
– Vi vill tacka alla deltagare. Kvaliteten och nivån på observationerna har varit riktigt hög och nyttig för oss. Vi hoppas att så många hackare som möjligt som har bjudits in till det nya programmet blir intresserade av att testa tjänsten lika mångsidigt, säger Samuli Bergström, säkerhets- och riskhanteringsdirektör på Skatteförvaltningen.
Garantering av informationssäkerheten och en säker behandling av uppgifter är en mycket viktig princip för e-tjänsten och överhuvudtaget för all verksamhet i inkomstregistret och Skatteförvaltningen.
Bug bounty är ett socialt sätt att testa informationssäkerheten
Till inkomstregistrets nya program inbjuds 10‒20 informationssäkerhetsutredare, så kallade vithattar. Bug bounty genomförs med andra ord som ett slutet program och det krävs en inbjudan för att kunna delta i programmet.
Ett arvode utlovas till hackare som rapporterar om observationer av informationssäkerheten. Beloppet på arvodet beror på hur betydande den upptäckta risken är. De hackare som deltar i programmet förbinder sig att följa Skatteförvaltningens regler. Dessa omfattar bland annat att arvoden betalas ut enbart för validerade observationer. Dessutom förbinder sig hackarna att hemlighålla de upptäckta sårbarheterna och undvika att orsaka opåkallade störningar i tjänsten. Deltagarna ska också vara oberoende. Det innebär att de till exempel inte får vara anställda på Skatteförvaltningen och inte heller får delta i utvecklingen av den tjänst som ska testas.
Programmet genomförs i samarbete med den franska tjänsten YesWeHack.
– Vi är övertygade om att vi med hjälp av en internationell tjänsteleverantör kan nå en allt större grupp hackare. Och vi hoppas naturligtvis att de som tidigare har undersökt tjänsten blir intresserade av att delta i den nya omgången, säger Bergström.