Verohallinto kertoo vakinaistavansa niin sanotun yhteisöllisen tietoturvatestaamisen. Viime vuoden lokakuussa käynnistettyyn haavoittuvuuspalkkio-ohjelmaan osallistui pilottijaksolla noin 50 testaajaa.
– Muualla maailmassa bug bounty on jo vakiintunut toimintamalli, jota suuret yritykset, kuten Facebook ja Google, käyttävät palveluidensa turvallisuuden testaamiseen. Siihen suuntaan mekin haluamme edetä, Verohallinnon turvallisuusjohtaja Samuli Bergström toteaa.
Verohallinnon mukaan kyseinen toimintamalli oli pilotin alkaessa suhteellisen uusi asia sekä Verohallinnossa että laajemmin julkishallinnossa. Hakkerien kanssa tehtävä yhteistyö herätti alussa jonkin verran epäilyä ja jopa pelkoja.
– Räväkämmällä lähestymistavalla olisimme ehkä saaneet enemmän raportteja ja löytäneet enemmän tietoturvahaavoittuvuuksia, mutta varovaisella etenemisellä pääsimme ylipäätään kokeilemaan tätä, Bergström sanoo.
Verohallinnon ja Hackrfi:n järjestämän ohjelman suurin yksittäinen maksettu palkkio on tähän mennessä ollut 3 500 euroa.
Puoli vuotta kestänyt pilotti päättyi huhtikuun alussa, mutta itse ohjelma jatkuu myös kokeilun jälkeen. Tämän vuoden aikana testaamista laajennetaan myös muihin verkkopalveluihin.
Verohallinnon mukaan mahdolliset riskitekijät punnittiin huolella ennen kokeilun aloittamista, minkä jälkeen osallistujat rekisteröityivät henkilökohtaisilla pankkitunnuksilla.
Bergström toteaa, että perinteiset tietoturvatestaukset alkavat olla riittämättömiä nopeasti muuttuvassa toimintaympäristössä.
– Bug bounty kehittää tietoturvatestausta vastaamaan nykyajan vaatimuksia. Sen avulla saadaan käyttöön laajempi osaaminen ja toimintamallissa maksetaan vain saavutetuista tuloksista, Bergström pohtii.
Bug bounty palkittiin viime marraskuussa vuoden kybertekona.
