LähiTapiola hyödyntää valkohattuisia hakkereita tietoturvahaavoittuvuuksien etsinnässä. Tietoturvajohtaja Leo Niemelä sanoo hakkeriyhteistyön hyödyttävän kaikkia osapuolia.
LähiTapiolan tietoturvahaavoittuvuuksien etsimiseen kannustava avoin palkinto eli Bug Bounty -ohjelma sai alkunsa halusta tunnistaa haavoittuvuudet aiempaa tehokkaammin ja ennakoivammin. Vaikka LähiTapiolan ICT-järjestelmien ja sähköisten palveluiden tietoturvallisuutta varmistetaan monipuolisesti, ei perinteisiä keinoja pidetty riittävinä. Niemelä korostaa, että huolellisinkaan testaus ei paljasta jokaista tietoturvahaavoittuvuutta. Mitä vaativammasta koodista on kyse, sitä todennäköisemmin osa virheistä löydetään vasta tuotannossa.
”Digitaalisen murroksen pyörteissä kaikki koodaajat tekevät joskus virheitä. Bug Bounty -ohjelman avulla olemme saaneet lisää silmäpareja niiden etsintään. Tarkoituksena ei ole syyllistää koodaajia, vaan kehittää palveluidemme tietoturvaa”, Leo Niemelä toteaa.
Ensimmäisenä pohjoismaisena finanssitalona Bug Bounty -ohjelman aloittanut LähiTapiola ei rynnännyt hakkeriyhteistyöhön suin päin. Puoli vuotta kestäneen suunnitteluvaiheen aikana yrityksessä tehtiin perinpohjaisia riskianalyysejä ja uhkamallinnusta, sillä tarkkaan säännellyssä liiketoiminnassa henkilötietojen luottamuksellisuuteen ja tietosuojaan on kiinnitettävä erityistä huomiota.
Uhkakuvat eivät ole realisoituneet vaan päinvastoin. Kokemukset Bug Bounty -ohjelmasta ovat olleet niin hyviä, että sitä on laajennettu ja yksittäinen palkintosumma on nostettu 20 000 eurosta 50 000 euroon. Käytännössä palkintosumma on sitä suurempi, mitä merkittävämpi haavoittuvuuden liiketoimintavaikutus on. EU:n uuden tietosuoja-asetuksen piiriin liittyvistä löydöistä maksetaan erillinen GDPR-bonus.
”Tähän mennessä suurin maksamamme palkinto on ollut 18 000 euroa. Kyseisestä haavoittuvuudesta ja sen korjaamisesta lähetettiin ilmoitus Viestintäviraston Kyberturvallisuuskeskukseen. Sieltä tieto levisi eteenpäin myös muille yrityksille”, Niemelä kertoo.
Hakkerit saavat Bug Bounty -ohjelman kautta itselleen rahaa sekä positiivista tunnustusta taidoistaan. Se on parempi houkutin kuin tehdä jotain laitonta ja vilkuilla jatkuvasti olkansa yli viranomaisia peläten.
Bug Bounty täydentää perinteistä tietoturvaa
Bug Bountyn kaltaiset haavoittuvuusohjelmat ovat yksi keino yritysten verkkopalveluiden tietoturvan parantamiseksi, koska ne joutuvat ei-toivotun hakkeroinnin kohteeksi joka tapauksessa. Pelko siitä, että palveluita luvallisesti hakkeroiva henkilö muuttaisi mielensä ja myisi haavoittuvuudet pimeille markkinoille, ei ole osoittautunut aiheelliseksi.
”Hakkerit saavat Bug Bounty -ohjelman kautta itselleen rahaa sekä positiivista tunnustusta taidoistaan. Se on parempi houkutin kuin tehdä jotain laitonta ja vilkuilla jatkuvasti olkansa yli viranomaisia peläten”, vakuuttaa Niemelä.
Bug Bounty -ohjelman positiivisten kokemusten siivittämänä LähiTapiola on osallistanut hakkereita yhä enemmän esimerkiksi oman Hack Dayn kautta, missä tutkitaan tiimeittäin valitun kohdejärjestelmän turvallisuutta.
Bug Bounty ei korvaa perinteisiä tietoturvapalveluja, vaan täydentää niitä. Sen käyttö on kuitenkin näkynyt LähiTapiolassa esimerkiksi säästöinä tietoturva-auditointien vaatimissa investoinneissa. Ohjelma paikkaa myös tietoturvan katvealueita eri kumppanien kanssa toimittaessa.
”LähiTapiola kehittää jatkuvasti uusia palveluja ja sovelluksia kumppaneidensa kanssa. Kaikessa tekemisessä asiakkaiden tietoturva ja tiedon luottamuksellisuus ovat meille erittäin tärkeitä asioita”, korostaa Niemelä.
LähiTapiolan Bug Bounty -ohjelman saama julkisuus perustuu yrityksen päätökseen toimia asiassa mahdollisimman avoimesti. Vastaavanlaisia hankkeita toteutetaan tälläkin hetkellä suomalaisissa yrityksissä kaikessa hiljaisuudessa, jolloin niistä tietävät vain palveluita testaavat hakkerit. Toteutustavasta riippumatta Niemelä on vakuuttunut Bug Bounty -ohjelman hyödyistä, jotka näkyvät palveluiden parantuneen tietoturvan lisäksi yrityksen turvallisuuskulttuurin kehityksenä ja sisäisen turvallisuuden paranemisena.
”Kaikkien yhteisenä tavoitteena on tuottaa mahdollisimman hyvälaatuista koodia. Siksi löydettyjä haavoittuvuuksia käytetään apuna koodaajien ja tietoturvan testaajien osaamisen kehittämisessä”, hän sanoo.
ICT-kumppanit mukana ohjelmassa
Bug Bounty -ohjelman pyörittämisestä LähiTapiolassa vastaa sitä varten nimetty tiimi, johon kuuluu yrityksen omien tietoturva-asiantuntijoiden lisäksi ICT-kumppaneiden edustajia. Kumppanien mukanaolo on tuonut hankkeeseen laajempaa käsitystä tietoturvasta ja mahdollistanut nopean reagoinnin löydettyihin korjaustarpeisiin.
Pienen alkutunnustelun jälkeen ohjelma on kulkenut tehokkaasti omia raiteitaan. Nykyisin LähiTapiolan ICT-sopimuksissa on maininta siitä, että sen palvelujen ulkoiset rajapinnat kuuluvat Bug Bounty -ohjelman piiriin.
Menestyksekkään haavoittuvuusohjelman kytkeminen osaksi päivittäistä tekemisestä ei ole luonut tarvetta lisärekrytoinneille, sillä helppoutta, nopeutta ja kustannustehokkuutta pystytään lisäämään ulkopuolisten kumppaneiden avulla, jotka tuntevat yrityksessä käytettävät sovellukset.
”Bug Bountyn kaltaisten ohjelmien käyttö tulee pakostakin lisääntymään erityisesti asiakasrajapinnan ratkaisuissa. Siellä hakkerit ovat yksi työkalu lisää tietoturvallisuuden puolesta käytävässä taistelussa”, kiteyttää Niemelä.
Teksti Ari Rytsy. Kuvat Shutterstock Ja Sampo Korhonen.
