Bug Bounty -toiminnan käynnistäminen Verohallinnossa

Hankkeen tavoitteena oli parantaa kansalaisten luottamusta ja mahdollisuutta hyödyntää Verohallinnon sähköisiä asiointipalveluita. Hankkeen tehtävänä oli käynnistää yhteisöllinen tietoturvatestaustoiminta ensimmäisenä julkishallinnon organisaationa. Hankkeen tavoitteena oli löytää uusia ja innovatiivisempia, entistä toimintaa täydentäviä tapoja varmistaa sähköisten palveluiden turvallisuus ja saatavuus. Toimintaympäristön ja uhkakentän muuttuessa perinteinen tietoturvatestaus ja -auditointitoiminta eivät ole enää riittäviä. Lisäksi tavoitteena oli saada kampanjalle myönteistä julkisuutta ja vahvistaa kansalaisten luottamusta Verohallintoon ja sen sähköisiin asiointipalveluihin. Tämän tavoitteen avulla voidaan lisätä sähköisten palveluiden käyttöä ja vähentää kansalaisten ja virkailijoiden asiointiin käyttämää aikaa.

Vaihe

Hankevaihe on nyt päättynyt, mutta yhteisöllistä tietoturvatestausta jatketaan normaalina linjatyönä.

Kansalaisten arjen helpottaminen ja tuotoksen yhteentoimivuus

Hankkeessa käynnistettiin ulkopuolisen palvelutoimittajan avulla tietoturvatestaustoiminta, jossa ulkopuoliset hakkerit pääsivät testaamaan asiointipalvelun turvallisuutta. Hankkeen aikana saatiin varsin hyvä varmuus kansalaisille tarjottavan sähköisen asiointipalvelun turvallisuudesta. Testaajat löysivät ainoastaan yhden merkittävän haavoittuvuuden, jota ei olisi todennäköisesti löytynyt perinteisillä testausmenetelmillä. Turvallisuuden varmistaminen lisää luottamusta palvelun saatavuuteen ja toimivuuteen 24/7 silloin kun kansalaiset haluavat asioida veroviranomaisen kanssa.

Onnistumiset ja haasteet

Hanke oli ensimmäinen yhteisöllistä tietoturvatestausta hyödyntävä kampanja valtionhallinnossa. Sen kokemuksia ja tuloksia hyödynnetään myös muualla julkishallinnossa. Verohallintoon saatiin uuden toimintamallin käyttämisestä hyvä osaaminen, jota hyödynnetään myös julkishallinnon yhteisissä palveluhankinnoissa. Yhteistyö eri tahojen kanssa sujui saumattomasti, mukana olivat Bug Bounty palvelun toimittaja, Verohallinnon käyttöpalvelu- ja sovellustoimittajat sekä Väestörekisterikeskus. Hankkeessa tehtiin tiivistä yhteistyötä Väestörekisterikeskuksen ja sen tuottaman tunnistus-palvelun kanssa. Myös VRK käynnisti oman Bug Bounty -kampanjansa alkuvuodesta 2018.

Hanke kohtasi käynnistysvaiheessa epäilyksiä ja ennakkoluuloja organisaation sisällä. Niitä pystyttiin kuitenkin hyvin hallitsemaan käynnistämällä testaustoiminta ensin rajatulla kohteella ja laajentamalla sitä vähitellen puolen vuoden testausjakson kuluessa.

Mukana olevat organisaatiot

  • Verohallinto
  • Väestörekisterikeskus
  • Fast Nortal