Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Bug Bounty -ohjelmien avulla tietoturvaongelmat voi kääntää PR-voitoiksi

Tietoturva Nyt!

Bug bounty -ohjelma on helppo tapa tehdä omien järjestelmien ja palveluiden tietoturvatestauksesta maailmanlaajuista ja saada keskitetysti tietoa niiden mahdollisista tietoturvapuutteista. Yritykselle ohjelma voi antaa mahdollisuuden todelliseen avoimuuteen ja suunnannäyttäjän asemaan. Suomessa edelläkävijöitä ovat muun muassa LähiTapiola ja S-pankki.

""

Verkossa on useita eri bug bounty -alustoja, joiden kautta yritykset voivat keskitetysti ottaa vastaan ilmoituksia arkaluontoisistakin haavoittuvuushavainnoista. 

Löydetystä tietoturva-aukoista palkitaan

Bug bounty, eli palkkio löydetyistä virheistä, on myös tapa palkita valkohattuja hyvästä työstä. Hyvä maine ja kiitos tai yrityksen PR-paita kannustavat nekin, mutta palkkioksi tarjotaan myös puhdasta rahaa.

Maailmalla on jo muutama valkohattu, joka ansaitsee elantonsa raportoimalla haavoittuvuuksia bug bounty -ohjelmien kautta. Esimerkiksi tänä vuonna argentiinalaisesta valkohatusta tuli ensimmäinen bug bounty -miljonääri.

Bug bountyn aloitus vie aikaa

Jos yritys avaa oman ohjelmansa, on hyvä varautua siihen, että alkuvaihe voi viedä hetken jos toisenkin. Kun uusi bug bounty avataan, aluksi tietoturvailmoituksia todennäköisimmin tulee yrityksen palvelujen pienimmistä ja yleisimmistä tietoturva-asetusvirheistä. 

Ilmoitustulvan välttämiseksi pienimipiä virheitä voidaan rajata bug bountyn pelisäännöissä pois (out of scope), vaikka palvelujen tietoturva-asetusten pitäisi toki olla turvallisia.

Yrityksessä on oltava osaamista haavoittuvuusilmoitusten arvointiin ja tulkintaan. Jos näin ei ole, palvelu on ostettava ulkopuoliselta ammattilaiselta. Valkohattu ei välttämättä huomaa löydöksensä kytköksiä alan säätelyyn ja mahdollisiin sanktioihin – näistä yrityksen täytyy itse tietää.

Bug bounty -ohjelman alkutaipaleella myös saman turvallisuuspuutteen tupla- tai  jopa triplailmoitukset ovat tavallisia. Tahti muuttuu, kunnes puutteet on korjattu.

Haasteista huolimatta bug bounty -ohjelmat ovat vahvistaneet monen suomalaisen yrityksen tietoturvan tasoa.

Esimerkkejä Suomesta

LähiTapiola suunnannäyttäjänä vakuutusalalla

"Kokemukset Bug Bountyista ovat olleet erinomaiset, ja olemme korjanneet sen avulla useita haavoittuvuuksia. Hakkeriyhteistyön ansiosta sähköisten palveluidemme tietoturvan taso on nyt, jos mahdollista, entistäkin parempi. Uusien tahojen joukkoistaminen tietoturvatyöhön hyödyttää kaikkia osapuolia, niin hakkereita, LähiTapiolaa kuin asiakkaitammekin."

- Leo Niemelä, LähiTapiola

S-Pankki suunnannäyttäjänä pankkialalla

“Tietoturva on meille erittäin tärkeä ja vakava asia. Meillä on monta eri tapaa varmistua asiakkaiden tietojen turvallisuudesta, kuten erilaiset tietoturva-auditoinnit, ohjeistukset ja riskiarvioinnit. Bug bounty on siis yksi uusi keino olemassa olevien toimenpiteiden lisäksi."

- Juha Nieminen, S-Pankki

Verohallinto, LähiTapiola ja Visma saivat Vuoden kyberteko -tunnustuksen 2017

"En näe mitään syytä olla kokeilematta bug bounty -ohjelmia myös julkishallinnossa. Jos Yhdysvalloissa sotavoimat ja Suomessa Verohallinto voivat käyttää tällaista ohjelmaa, miksei mikä tahansa muu organisaatio."

- Samuli Bergström, Verohallinto

Lue myös muut Valkohattuhakkerit-sarjan jutut:

Tuore valkohattu Toni Ruhanen löysi tietoturvaongelmia julkisista palveluista alkuvuonna 2019. Kyberturvallisuuskeskuksen avulla Tonin löydökset saatiin palveluista vastaavien tietoon.
Toni Ruhanen ja muut valkohatut kuuluvat hyvisjengiin  (Ulkoinen linkki)

Kun valkohatut ja yritykset löytävät toisensa helpommin, myös haavoittuvuudet saadaan korjattua nopeammin.
Vinkkejä valkohatuille parempaan ja helpompaan yhteistyöhön  (Ulkoinen linkki)

Tietoturvaongelmista ilmoittavaa valkohattuhakkeria ei tarvitse säikähtää. Lue vinkkimme sujuvaan yhteistyöhön ja jatkotoimiin.
"Palveluistanne löytyi tietoturva-aukko" (Ulkoinen linkki)

Riskienhallinnan perusperiaatteiden ymmärtäminen on tärkeää yrityksille ja hyödyllistä myös valkohatuille. 
Riskienhallinnan (hyvin) lyhyt oppimäärä (Ulkoinen linkki)