Nykyään yritykset voivat saada apua tietoturvansa haavoittuvuuksien löytämiseen hakkereilta. Tietoturvatestaaminen onnistuu esimerkiksi bug bounty -ohjelman avulla.

Lea Viljasen, Thomas Malmbergin ja Sami Sara-Ahon vuonna 2016 perustama yritys Hackrfi Oy on erikoistunut yhteisöllisten haavoittuvuuksien koordinoinnin ja tietoturvatestaamisen eli bug bounty -ohjelmien hallinnointiin.

– Tuomme suomalaiset huippuhakkerit ja tietoturvallisuutensa vakavasti ottavat organisaatiot yhteen sekä toimimme yhteyspisteenä kumpaankin suuntaan, kuvailee Lea Viljanen yrityksen toimintatapaa.

Tietoturva-aukkoja bongaaville hakkereille maksetaan löydetyistä haavoittuvuuksista palkkio, joka vaihtelee esimerkiksi havaitun haavoittuvuuden vakavuuden tai organisaation koon mukaan.

Hackrfi Oy tarjoaa organisaatioille palvelua, jossa niitä autetaan bug bounty -ohjelmien luomisessa, tuetaan raporttien käsittelyssä ja tarvittaessa hoidetaan myös palkkionmaksurutiinit asiakkaan puolesta suomalaisen verotuskäytännön mukaisesti.

– Näin voimme tarjota myös hakkereille sellaisia ohjelmia, joihin he eivät muuten pääsisi osallistumaan, Viljanen sanoo.

Asiakkaita pk-yrityksistä aina valtionhallintoon

Viljasen mukaan yrityksen toimintakonsepti on otettu hyvin vastaan niin pk-sektorilla kuin suuremmissakin organisaatioissa.

Tällä hetkellä Hackrfi Oy:lla on käynnissä kaikille hakkereille julkiset bug bounty -ohjelmat muun muassa opetus- ja kulttuuriministeriön sekä ostohyvityksiä verkkokauppaostoksista tarjoavan Bonusway-verkkopalvelun kanssa.

Verohallinnon kanssa viime vuonna käynnistynyt OmaVero Bug Bounty on luonteeltaan kutsuohjelma.

– Olemme olleet positiivisesti yllättyneitä siitä, että myös jäykkinä pidetyt valtionhallinnon toimijat, kuten Verohallinto tai Väestörekisterikeskus, ovat ottaneet tämän konseptin avosylin vastaan. Heillä on kaikkien suomalaisten tietoja ja muuta koko yhteiskuntaan vaikuttavaa arvokasta dataa tietokannoissaan, mikä näkyy myös ohjelmien maksimipalkkioiden suuruudessa, Viljanen sanoo.

Esimerkiksi OmaVero Bug Bountyn haavoittuvuuspalkkiot vaihtelevat sadasta eurosta aina 30 000 euroon.

– Kokemustemme mukaan hakkerit osallistuvat innokkaasti myös pienempien organisaatioiden ohjelmiin, sillä he ovat aidosti kiinnostuneita auttamaan kaikkia asiakkaita tietoturva-aukkojen etsinnässä, Viljanen sanoo.

Esimerkiksi sähköpostien salausteknologiaan perustuvan Eezy Keyz -mobiilisovelluksen haavoittuvuuksien etsintään osallistui runsaasti tietoturvatestaajia.

Uusien sovellusten bugien etsinnässä hakkereita motivoikin palkkiota enemmän maine löytää ensimmäisten joukossa uusia haavoittuvuuksia.

Kybermaailma ei ole koskaan valmis

Bug bounty -ohjelmat alkoivat yleistyä maailmalla 1990-luvulla, kun www-teknologioiden edelläkävijäyritys Netscape lanseerasi Netscape Bugs Bounty -ohjelman vuonna 1995.

– Vasta tällä vuosikymmenellä bug bounty -konsepti on lähtenyt nousuun, kun ohjelmien kohteeksi on tullut työasema- ja palvelinohjelmistojen sijaan www-sovelluksia ja verkkopalveluita. Iso vaikutus on viime vuosina tietenkin ollut HackerOne-palvelulla, joka on tehnyt sekä ohjelman pyörittämisestä itsepalvelun että ohjelmiin osallistumisesta helppoa, Viljanen sanoo.

HackerOne-palvelun globaaliin verkostoon kuuluu noin 200 000 tutkijaa, jotka ovat ratkoneet noin tuhannessa ohjelmassa 72 000 haavoittuvuutta. Niistä on maksettu palkkioita lähes 30 miljoonaa euroa.

– Vaikka se on globaalisti suurin toimija alalla, muitakin löytyy. Lisäksi moni organisaatio ei tee haavoittuvuuspalkkio-ohjelmastaan julkista, vaan se tehdään kaikessa hiljaisuudessa. Meilläkin on tällaisia asiakkaita, jotka eivät halua ohjelmaansa julkiseksi. Toimialat vaihtelevat, toki it-ala on aika hyvin edustettuna, mutta toimialaa enemmän käytäntöihin vaikuttaa organisaation moderni turvallisuuskulttuuri, Viljanen sanoo.

Haavoittuvuuksia tutkitaan niin prosessori- kuin ohjelmistotasoilla.

– Ohjelmistotason ohjelmat hallitsevat tutkimusta, sillä hakkereiden on harvemmin mahdollista päästä tekemään testauksia laitteistotasolla, hän sanoo.

Viljasen mukaan on mielenkiintoista, että nimenomaan www-ohjelmistoissa samat ikivanhat tiedossa olevat ongelmat vaivaavat edelleen.

– Esimerkiksi selaimia saastuttavia xss-haavoittuvuuksia löytyy lähes järjestelmästä kuin järjestelmästä. Niillä ei tosin netota suuria palkkioita. Tämä vain tarkoittaa sitä, että oikeasti turvallisen ohjelmiston tekeminen on vaikeaa, Viljanen sanoo.

Kybermaailma ei ole koskaan valmis.

Mitä bug bounty -ohjelma vaatii organisaatiolta?

Bug bounty- eli haavoittuvuuspalkkio-ohjelman perustaminen vaatii organisaatiolta johdon sitoumuksen, tietoturvaprosessien kypsyyttä sekä kykyä tehdä palkkionmaksupäätöksiä.

Johdon sitoumus on oleellinen, koska ohjelma vaikuttaa organisaation julkisuuskuvaan. Yleensä vaikutus on positiivinen ja korostaa organisaation vastuullista tapaa huolehtia tietoturvasta, mutta on syytä varautua myös negatiiviseen palautteeseen.

Organisaation tietoturvaprosessien ei tarvitse olla täydellisiä, mutta jonkinlainen kyky organisaatiossa pitää olla ottaa vastaan haavoittuvuusraportteja, analysoida niitä ja ohjata ongelmien korjausta.

– Vaikka me Hackrfi Oy:ssä tuomme analyysiin oman asiantuntijanäkemyksemme ja käsityksen siitä, kuinka vakava havaittu haavoittuvuus on, asiakkaalla pitää olla kyky tehdä päätös ja ottaa vastuu siitä, Lea Viljanen sanoo.

Varaudu tietoturvauhkiin Pohjola Vakuutuksen Kybervakuutuksella.