Verohallinto testaa palveluidensa turvallisuutta antamalla ne hakkereiden käsiin.
Verohallinto aloitti lokakuun alussa pilottihankkeen, jossa etsitään verohallinnon sähköisen asiointipalvelu OmaVero-verkkopalvelun mahdollisia tietoturvahaavoittuvuuksia.
Verohallinto kertoo, että pilottihankke toteutetaan haavoittuvuuspalkkio-ohjelman eli bug bountyn tavoin. Ohjelmassa valikoidulle joukolle tietoturvatutkijoita eli niin sanottuja valkohattuhakkereita annetaan kohteeksi tietty palvelu, jota he testaavat kukin omien mielenkiinnon kohteidensa mukaisesti.
Mikäli ohjelmistosta löytyy haavoittuvuuksia, he raportoivat niistä palveluntarjoajalle, joka tarkistaa tietojen paikkansapitävyyden ja välittää ne tarvittaessa Verohallinnolle.
– OmaVero-verkkopalvelun käytettävyys ja turvallisuus eivät vaarannu pilotissa. Tietoturvatutkijoita on kutsuttu mukaan laajasta yhteisöstä ja osallistuessaan ohjelmaan he sitoutuvat noudattamaan Verohallinnon määrittämiä sääntöjä, Verohallinnon turvallisuusjohtaja Samuli Bergström sanoo.
Palkkio vain tuloksista
Pilottihankkeessa mukana oleville toimijoille ei makseta esimerkiksi tuntiperusteista palkkaa, vaan mahdollisten haavoittuvuuksien löytämisestä maksetaan niiden suuruuteen suhteutettu palkkio.
Verohallinnon mukaan maksettavan palkkion suuruus riippuu riskin vakavuudesta: mitä isommasta haavoittuvuudesta on kyse, sitä isompi palkkio on.
– Palkkio-ohjelman keskeinen ero tavalliseen tietoturvatestaukseen on se, että siinä maksetaan vain tuloksista, ei käytetystä testausajasta, Bergström kertoo.
Verohallinnon mukaan se on Suomessa tiettävästi ensimmäinen valtionhallinnon toimija, joka kokeilee haavoittuvuuspalkkio-ohjelmaa oman tietoturvansa parantamiseksi.