Suomi.fi-lompakko pääsi valkohattuhakkerien testiin – hakkeriyhteistyö täydentää tavallista tietoturvatestausta

Kehitteillä oleva digitaalisen henkilöllisyyden mobiilisovellus Suomi.fi-lompakko pääsi 12.11.2022 valkohattuhakkerien testattavaksi. Hakkerien kohteena oli sähköinen tunnistautuminen digitaalisella henkilöllisyystodistuksella. Hakkeritiimit onnistuivat löytämään versiosta muutamia haavoittuvuuksia ja parhaat havainnot palkittiin.

Digi- ja väestötietovirasto järjesti yksipäiväisen hakkeritapahtuman eli hackdayn yhdessä Hackr.fin ja Goforen kanssa. Päivään oli kutsuttu valkohattuhakkereita, sekä ammattilaisia että harrastajia. Tavoitteena oli löytää tietoturvahaavoittuvuuksia digitaalisen henkilöllisyyden mobiilisovelluksesta Suomi.fi-lompakosta. Aikaa oli seitsemän tuntia ja osallistujia 25, jotka toimivat seitsemänä tiiminä.

– Hakkerien testauksen kohteena oli Suomi.fi-lompakon sähköisen tunnistautumisen toiminnallisuus. Koska Suomi.fi-lompakko on vielä keskeneräinen, ei koko sovellusta voitu vielä avata tutkittavaksi. Laajempi testaaminen kannattaa tehdä vasta, kun sovelluksen tietoturvaelementit on laajemmin toteutettu, Riikka Noponen Digi- ja väestötietovirastosta kertoo.

Parhaat hakkeritiimit palkittiin

Hackdayn aikana kuusi tiimiä raportoi yhteensä 30 havaintoa, joista tuomaristo hyväksyi 14. Jokainen hyväksytty havainto pisteytettiin sen kriittisyyden perusteella ja palkinnot jaettiin saatujen pisteiden mukaisesti. Lisäksi huomioitiin eniten havaintoja raportoinut tiimi sekä mielenkiintoisimman löydöksen tehnyt tiimi.

Voittajatiimi sai 4500 euroa, toiseksi tullut 3500 euroa ja kolmas 2000 €. Yhteensä palkintoja jaettiin 10 000 euron edestä.

Hakkeriyhteistyö jatkuu keväällä 2023

Tietoturva on Suomi.fi-lompakon kehittämisen perusta. Kehittämisessä noudatetaan Digi- ja väestötietoviraston turvallisen sovelluskehityksen ohjeistusta. Suomi.fi-lompakon tietoturvan testaaminen on osa sen kehitystyötä. Lisäksi hyödynnetään uhkamallinnusta tietoturvariskien tunnistamisessa. 

– Hackday täydentää erittäin hyvin tavanomaista tietoturvatestausta. Suunnitelmissa on, että keväällä 2023 järjestämme uuden hakkeripäivän. Suomi.fi-lompakko kehittyy koko ajan ja keväällä voimme avata sen huomattavasti laajemmin hakkerien testattavaksi, Riikka Noponen kertoo.

Ennen tuotantokäytön aloitusta Suomi.fi-lompakon tietoturvan arvioi myös ulkopuolinen arviointilaitos.

Digi- ja väestötietovirasto kehittää digitaalisen henkilöllisyyden mobiilisovellusta eli Suomi.fi-lompakkoa. Sovellus mahdollistaa digitaalisen henkilöllisyystodistuksen käytön. Digitaalisen henkilöllisyystodistuksen käyttöönotto edellyttää muutoksia lakiin ja lakiesitys on nyt eduskunnan käsiteltävänä. Lain on tarkoitus tulla voimaan ja digitaalisen henkilöllisyystodistuksen käyttöön 1.9.2023.

Lue lisää digitaalisen henkilöllisyyden uudistuksesta

Eduskunta ei ehdi käsitellä digitaalisen henkilöllisyyden uudistusta mahdollistavia lakiesityksiä ennen istuntokauden loppua. Eurooppalaisen digitaalisen identiteettilompakon valmistelu jatkuu. Lue lisää tiedotteestamme.