Hyppää sisältöön

Digi- ja väestötietoviraston haavoittuvuuspalkinto-ohjelma laajenee Suomi.fi-viesteihin  

Julkaisuajankohta 13.2.2023 9.13
Tiedote

Digi- ja väestötietoviraston haavoittuvuuspalkinto-ohjelma (bug bounty) laajenee 13.2.2023 kattamaan Suomi.fi-viestit. Ohjelmassa virasto tekee yhteistyötä valkohattuhakkerien kanssa palvelujen mahdollisten tietoturvapuutteiden löytämiseksi. Haavoittuvuuspalkinto-ohjelma (bug bounty) jatkuu 30.4.2023 saakka. 

– Digitaalisten palvelujen haavoittuvuudet johtavat pahimmillaan onnistuneeseen tietomurtoon. On erittäin hyödyllistä tehdä Bug Bountyn kaltaista pitkäaikaista yhteisöllistä testausta internettiin avoinna olevien palvelujen osalta, tietoturvapäällikkö Pekka Ristimäki Digi- ja väestötietovirastosta kertoo.

Ohjelmassa tehtävä hakkerointi ei vaaranna järjestelmien tietoturvaa. Päinvastoin, laaja testaajajoukko mahdollistaa laajemman testauksen ja mahdollisten haavoittuvuuksien tehokkaan löytämisen.

Miten hakkeriyhteistyö toimii?

Haavoittuvuuspalkinto-ohjelmaan kutsutaan ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille eli hakkereille annetaan mahdollisuus testata organisaatioiden digipalveluja sovittujen periaatteiden ja rajoitusten puitteissa.

– Olemme tehneet vastaavaa yhteistyötä hakkerien kanssa aiemminkin ja kokemukset siitä ovat olleet hyviä. Haavoittuvuuspalkinto-ohjelma täydentää hyvin normaalia sovellustestaustamme. Samalla annetaan kyvykkäille hakkereille mahdollisuus testata taitojaan luvan kanssa ja tienata myös siinä sivussa hieman rahaa, toteaa Pekka Ristimäki.

Hakkerit ilmoittautuvat mukaan testaukseen ja sitoutuvat noudattamaan asetettuja sääntöjä. Jos haavoittuvuuksia löytyy, maksetaan niiden löytäjälle löydöksen merkittävyyteen suhteutettu palkkio. Palkkiohaitari on 100 € - 30 000 €.

Bug bounty -ohjelman tuottaa Hackrfi Oy, joka on yhteisöllisen haavoittuvuuksien koordinoinnin ja tietoturvatestaamisen hallinnointiin erikoistunut yritys. Digi- ja väestötietoviraston bug bounty -ohjelma on käynnissä 31.10.2022 - 30.4.2023. Ohjelmaan kutsutaan mukaan hakemuksen perusteella.

Lue lisää Digi- ja väestötietoviraston bug bounty -ohjelmasta ja hae mukaan Hackrfi Oy:n sivuilla: https://www.hackr.fi/ohjelmat/DVV-BB.html 

Lisätietoja

Digi- ja väestötietovirasto, tietoturvapäällikkö Pekka Ristimäki, p. 0295 535 048,  etunimi.sukunimi[at]dvv.fi

Digi- ja väestötietovirasto aloitti 31.10.2022 bug bounty -ohjelman, jossa etsitään Suomi.fi-palvelujen mahdollisia tietoturvahaavoittuvuuksia. Ohjelmassa testataan Suomi.fi-verkkopalvelua sekä Suomi.fi-tunnistuksen, Suomi.fi-valtuuksien ja Suomi.fi-viestien rajapintaa.

Suomi.fi on verkkopalvelu, joka kokoaa yhteen julkiset palvelut ja toimintaohjeet eri elämäntilanteisiin. Suomi.fin kautta voi myös tarkistaa omat tiedot eri viranomaisten rekistereissä, vastaanottaa viranomaispostin sähköisesti ja antaa ja pyytää oikeuksia asioida toisen henkilön tai yrityksen puolesta. Suomi.fin kehittämisestä vastaa Digi- ja väestötietovirasto.