Valkohattuhakkerit etsivät tietoturva-aukkoja Suomi.fi-palveluista - myös digitaalinen henkilöllisyystodistus pääsee testiin
Digi- ja väestötietovirasto on kutsunut valkohattuhakkerit etsimään tietoturvapuutteita Suomi.fi-verkkopalvelusta ja digitaalisen henkilöllisyyden sovelluksesta. Suomi.fi-verkkopalvelun haavoittuvuuspalkinto-ohjelma (bug bounty) kestää puoli vuotta. Digitaalisen henkilöllisyyden tietoturvaa hakkerit testaavat yhden päivän ajan.
– Tiedämme hyvin, että digipalvelut ovat jatkuvasti rikollisten kohteina. On erittäin hyödyllistä tehdä testausyhteistyötä valkohattuhakkerien kanssa, tietoturvapäällikkö Pekka Ristimäki Digi- ja väestötietovirastosta kertoo.
Ohjelmassa ja hackdayssa tehtävä hakkerointi ei vaaranna järjestelmän tietoturvaa. Päinvastoin, laaja testaajajoukko mahdollistaa laajemman testauksen ja mahdollisten haavoittuvuuksien tehokkaan löytämisen.
Suomi.fin tietoturvaa testataan hakkereiden avulla puolen vuoden ajan
Digi- ja väestötietovirasto aloitti 31.10.2022 bug bounty -ohjelman, jossa etsitään Suomi.fi-verkkopalvelun mahdollisia tietoturvahaavoittuvuuksia. Ohjelmassa testataan Suomi.fi-verkkopalvelua, mukaan lukien Suomi.fi-tunnistuksen sekä Suomi.fi-valtuuksien rajapintaa.
Suomi.fi on verkkopalvelu, joka kokoaa yhteen julkiset palvelut ja toimintaohjeet eri elämäntilanteisiin. Suomi.fin kautta voi myös tarkistaa omat tiedot eri viranomaisten rekistereissä, vastaanottaa viranomaispostin sähköisesti ja antaa ja pyytää oikeuksia asioida toisen henkilön tai yrityksen puolesta. Suomi.fin kehittämisestä vastaa Digi- ja väestötietovirasto.
Hakkerit testaavat digitaalisen henkilöllisyystodistuksen tietoturvaa 12.11.
Digi- ja väestötietovirasto järjestää hakkeripäivän eli hackdayn 12.11.2022. Hackdayssa hakkerien kohteena on sähköinen tunnistautuminen digitaalisella henkilöllisyystodistuksella.
Digi- ja väestötietovirasto kehittää digitaalisen henkilöllisyyden mobiilisovellusta (Suomi.fi-lompakko). Sovellus mahdollistaa digitaalisen henkilöllisyystodistuksen käytön. Digitaalisen henkilöllisyystodistuksen käyttöönotto edellyttää muutoksia lakiin ja lakiesitys on nyt eduskunnan käsiteltävänä. Lain on tarkoitus tulla voimaan ja digitaalisen henkilöllisyystodistuksen käyttöön 1.9.2023.
Miten hakkeriyhteistyö toimii?
Hakkeriyhteistyötä tehdään haavoittuvuuspalkinto-ohjelmien muodossa. Niihin kutsutaan ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille eli hakkereille annetaan mahdollisuus testata organisaatioiden digipalveluja sovittujen periaatteiden ja rajoitusten puitteissa.
– Olemme tehneet vastaavaa yhteistyötä hakkerien kanssa aiemminkin ja kokemukset siitä ovat olleet hyviä. Haavoittuvuuspalkinto-ohjelma täydentää hyvin normaalia sovellustestaustamme. Samalla annetaan kyvykkäille hakkereille mahdollisuus testata taitojaan luvan kanssa ja tienata myös siinä sivussa hieman rahaa, toteaa Pekka Ristimäki.
Hakkerit ilmoittautuvat mukaan testaukseen ja sitoutuvat noudattamaan asetettuja sääntöjä. Jos haavoittuvuuksia löytyy, maksetaan niiden löytäjälle löydöksen merkittävyyteen suhteutettu palkkio. Palkkiohaitari on 100 € - 30 000 €.
Bug bounty -ohjelman ja digitaalisen henkilöllisyyden hackdayn tuottaa Hackrfi Oy, joka on yhteisöllisen haavoittuvuuksien koordinoinnin ja tietoturvatestaamisen hallinnointiin erikoistunut yritys. Digi- ja väestötietoviraston bug bounty -ohjelma on käynnissä 31.10.2022 - 30.4.2023. Digitaalisen henkilöllisyyden hackday pidetään 12.11.2022 ja sen järjestämiseen osallistuu myös Gofore. Molempiin kutsutaan mukaan hakemuksen perusteella.
Lue lisää Digi- ja väestötietoviraston bug bounty -ohjelmasta ja hae mukaan Hackrfi Oy:n sivuilla: https://www.hackr.fi/ohjelmat/DVV-BB.html
Kysy lisää digitaalisen henkilöllisyyden hackdaysta ja hae mukaan lähettämällä viestiä osoitteeseen hackday[at]hackr.fi.
Lisätietoja
Digi- ja väestötietovirasto, tietoturvapäällikkö Pekka Ristimäki, p. 0295 535 048, etunimi.sukunimi[at]dvv.fi
Lue lisää digitaalisen henkilöllisyyden uudistuksesta: https://dvv.fi/digitaalisen-henkilollisyyden-uudistus
Eduskunta ei ehdi käsitellä digitaalisen henkilöllisyyden uudistusta mahdollistavia lakiesityksiä ennen istuntokauden loppua. Eurooppalaisen digitaalisen identiteettilompakon valmistelu jatkuu. Lue lisää tiedotteestamme.
- Privatpersoner
- Handläggningstiderna vid kundtjänsten för privatpersoner
- Äktenskap och parförhållande
- Att få eller adoptera barn
- Namnärenden
- Flytt
- Förmyndarskap
- Livsförändringar utomlands
- Flyttning i utlandet
- Registrering i Finland av ett barn som fötts utomlands
- Äktenskap som ingåtts utomlands
- Partnerskap som registrerats utomlands
- Skilsmässa som beviljats utomlands
- Namn som ändrats utomlands
- Könstillhörighet som fastställts utomlands
- Dödsfall utomlands
- Registrering av medborgarskap
- Bevarande av finskt medborgarskap
- Legalisering av utländska handlingar
- Inlämnande av utländska dokument till Myndigheten för digitalisering och befolkningsdata
- Utlänning i Finland
- Registrering av utlänningar
- Registrering av utländska studerande
- Hemkommun
- Anvisningar till dig som kommer till Finland från Ukraina
- Guiden för arbetstagare
- Expressfil för specialsakkunniga och tillväxtföretagare
- Legaliseringsanvisning
- Inlämnande av utländska dokument
- Utlänningars flytt till Finland, inom Finland och från Finland
- Val och rösträtt
- Suomi.fi-webbtjänst
- Medborgarcertifikat och elektronisk identitet
- Registrering av anmälan om gåva
- Intyg från befolkningsdatasystemet
- Kontroll av egna uppgifter -service
- Medborgarinitiativ
- Personuppgifter i befolkningsdatasystemet
- Personbeteckning
- Utlämning av uppgifter ur befolkningsdatasystemet
- Spärrmarkering
- Övervakning och loggföring av användningen av informationen i befolkningsdatasystemet
- Fastställande av annan könstillhörighet
- Utträde ur och inträde i ett religionssamfund
- Förbud mot utlämning av personuppgifter
- Ändring av ett registrerat partnerskap till äktenskap
- Utlämning av uppgifter ur befolkningsdatasystemet
- Byggnads- och lägenhetsuppgifter i befolkningsdatasystemet
- Adresstjänst
- Medborgarrådgivning
- Tjänster av notarius publicus
- Bestyrkande av köp
- Dödsfall och bouppteckning
- Digitalt stöd för medborgare
- Blanketter
- Organisationer
- Certifikat och kort
- Befolkningsdatatjänster för organisationer
- Den offentliga förvaltningens urvals- och uppdateringstjänst
- Informationstjänster inom den privata sektorn
- BDS-ändringsgränssnittet
- Ändringsdatatjänsten
- BDSförfrågan-gränssnittet
- Webbapplikationen för BDSförfrågan
- BDSförfrågans urvalstjänster
- Revidering av personbeteckningen
- Förutsättningar för att använda befolkningsuppgifter
- Magistratregistrens söktjänster
- Upprätthållande av befolkningsdatasystemet
- Suomi.fi-tjänster
- Tjänster som främjar digitaliseringen
- Digistöd
- Förnyelse av den digitala identiteten
- Tjänster för digital säkerhet
- Tjänster av notarius publicus
- Bestyrkande av köp
- Vigselrätt
- E-tjänster
- Finnish Authenticator -identifieringstjänsten
- Anvisningar för välfärdsområdena
- Registerutdrag
- Om myndigheten
- Myndigheten för digitalisering och befolkningsdata
- Jobba med oss
- Kommunicera elektroniskt med oss
- Kontakt
- Aktuellt
- Automatiskt avgörandeförfarande
- Kvalitetspolicy
- Likabehandlingsplan för kunder
- Dataskydd
- Befolkningsdatasystemet
- Till medier
- Broschyrer och publikationer
- Projekten
- Förutseende och forskningssamarbete