Verohallinto on kokeillut haavoittuvuuspalkkio-ohjelmaa aiemmin jo OmaVero-palvelussa.
Tulorekisterin bug bounty -ohjelmassa tietoturvahaavoittuvuuksia etsitään tulorekisterin testausympäristöstä. Hakkerit pääsevät testaamaan järjestelmää laajalti, sillä ympäristössä ei ole oikeita henkilö- tai tulotietoja.
Tulorekisterin sisältämät oikeat henkilö- ja tulotiedot eivät siis ole hakkereiden kohteena, eivätkä tulorekisterin käytettävyys ja turvallisuus vaarannu bug bounty -ohjelmassa.
Tietoturvatutkijoita on kutsuttu mukaan laajasta yhteisöstä, ja ohjelmaan osallistuvat hakkerit sitoutuvat noudattamaan Verohallinnon sääntöjä. Maksettavan palkkion määrä riippuu siitä, miten merkittävä löydetty riski on.
– OmaVeron bug bounty -ohjelmaan osallistui kymmeniä hakkereita. Löysimme palvelusta useampia tietoturva-aukkoja, joita ei normaaleilla tietoturvatarkastuksilla olisi välttämättä havaittu. Suurin yksittäisestä havainnosta maksettu palkkio oli 3500 euroa, kertoo Verohallinnon turvallisuusjohtaja Samuli Bergström.
Tulorekisteri sisältää kaikkien suomalaisten palkkatiedot.
– Tulorekisteri on suhteellisen uusi järjestelmä, jonka tietosisältö on erittäin laaja. Tulorekisterin tietoja hyödyntää jatkossa entistä suurempi joukko viranomaisia ja muita organisaatioita. Järjestelmää kehitetään jatkuvasti, ja kehitysvaiheessa voi ilmetä uusia tietoturva-aukkoja. Toivomme siksi tulorekisterin innostavan hakkereita pysymään haasteen parissa pitkään, Bergström sanoo.