Tulorekisteri kutsuu hakkerit testaamaan tietoturvaa

Tulorekisterissä alkaa lokakuussa 2023 uusi bug bounty -ohjelma.

Ohjelmassa etsitään tietoturvahaavoittuvuuksia testausympäristöstä. Kun tietoturvaa koetellaan tuotantoympäristöä vastaavassa testausympäristössä, tulorekisterin sisältämät oikeat henkilö- ja tulotiedot eivät joudu hakkeroinnin kohteeksi. Samalla varmistetaan, että tulorekisterin käytettävyys ja turvallisuus eivät vaarannu ohjelman aikana.

Bug bounty -ohjelmaa on tulorekisterissä hyödynnetty vuodesta 2019 alkaen. Edellinen ohjelma päättyi vuonna 2021. Verohallinnossa ohjelmaa käytettiin ensimmäisen kerran vuonna 2017 OmaVero-palvelussa.

Tulorekisteristä ei ole aiemmissa ohjelmissa löydetty vakavia tietoturvapuutteita, mutta saatujen havaintojen perusteella on parannettu tietoturvaa entisestään. Havainnot ovat kohdistuneet muun muassa palvelun luotettavuuteen.

Ohjelmiin on vuosien saatossa osallistunut kymmeniä hakkereita.

‒ Haluamme kiittää kaikkia osallistuneita: saamiemme havaintojen laatu ja taso on ollut todella korkea ja meille hyödyllinen. Toivomme, että mahdollisimman moni uuteen ohjelmaan kutsutuista hakkereista innostuu testaamaan palvelua yhtä monipuolisesti, sanoo Verohallinnon turvallisuus- ja riskienhallintajohtaja Samuli Bergström.

Tietoturvan varmistaminen ja turvallinen tietojen käsittely on erittäin tärkeä periaate tulorekisterin ja Verohallinnon sähköisessä asioinnissa ja ylipäätään kaikessa toiminnassa.

Bug bounty on yhteisöllinen tapa toteuttaa tietoturvatestausta

Tulorekisterin uuteen ohjelmaan kutsutaan mukaan 10‒20 tietoturvatutkijaa eli niin sanottua valkohattuhakkeria. Bug bounty toteutetaan siis suljettuna ja mukaan pääsee vain kutsusta.

Tietoturvahavainnoista raportoiville hakkereille on luvassa palkkio. Maksetun palkkion määrä riippuu siitä, miten merkittävä löydetty riski on. Ohjelmaan osallistuvat hakkerit sitoutuvat noudattamaan Verohallinnon sääntöjä, joihin kuuluu muun muassa se, että palkkiot maksetaan vain validoiduista havainnoista. Lisäksi hakkeri sitoutuu pitämään löytämänsä haavoittuvuuden salassa ja välttämään palvelun perusteetonta häiritsemistä. Osallistujien tulee myös olla riippumattomia eli he eivät voi olla esimerkiksi Verohallinnon palveluksessa tai mukana testattavan palvelun kehittämisessä.

Ohjelma toteutetaan yhteistyössä ranskalaisen YesWeHack-palvelun kanssa.

‒ Uskomme, että kansainvälisen palveluntarjoajan avulla tavoitamme entistä laajemman hakkerijoukon. Ja toki toivomme, että jo aiemmin palvelua tutkineet innostuvat mukaan uudelle kierrokselle, Bergström sanoo.