LähiTapiolan vuosi sitten käynnistämä tietoturvahaavoittuvuuksien etsimiseen kannustava avoin palkinto-ohjelma eli Bug Bounty on osoittanut toimivuutensa. Sen avulla on löydetty haavoittuvuuksia, joista on maksettu tähän mennessä yhteensä reilut 20 000 euroa. LähiTapiola käynnisti Bug Bounty -ohjelman ensimmäisenä pohjoismaisena finanssialan yrityksenä. Nyt LähiTapiola nostaa Bug Bountystä maksettavan suurimman yksittäisen palkintosumman 50 000 euroon.

Kokemukset Bug Bountystä ovat olleet erinomaiset, ja LähiTapiola on saanut vuoden aikana yli 200 raporttia sekä suomalaisilta että kansainvälisiltä hakkereilta.

–Tietoturvan taso LähiTapiolassa on erittäin hyvä, ja osittain tämä on Bug Bounty -ohjelman ansiota. Kiitokset kaikille hakkereille, jotka ovat antaneet asiantuntemustaan käyttöömme ja auttaneet meitä turvaamaan palveluitamme. Nostamme nyt suurimman yksittäisen palkinnon arvon 50 000 euroon, mikä on merkittävä summa. Jos järjestelmistämme löytyisi niin vakava haavoittuvuus, löytäjä on palkintonsa ansainnut. Riskin arviointi vaikuttaa aina palkinnon suuruuteen, sanoo LähiTapiolan tietoturvajohtaja Leo Niemelä.

Tietoturva ry valitsi Leo Niemelän huhtikuussa Vuoden tietoturvapäälliköksi Suomessa. Perusteluina oli muun muassa ennakkoluuloton tapa kehittää tietoturvaa Bug Bounty -ohjelman ja Hack Dayn kautta.

LähiTapiolan tapa arvioida tietoturvaa muuttunut hakkeriyhteistyön myötä

Bug Bounty -ohjelma on vaikuttanut koko LähiTapiolan tapaan arvioida tietoturvaa ja muuttanut tietoturvan raportointimallia. LähiTapiola on osallistanut hakkereita yhä enemmän varmistamaan palveluidensa turvallisuutta, mikä näkyy pienenevinä investointeina tietoturva-auditointiin.

–Bug Bounty ei kokonaan korvaa perinteisiä tietoturvapalveluja, mutta se täydentää niitä ja kattaa mahdollisia tietoturvan katvealueita esimerkiksi eri kumppanien kanssa toimiessa. Digitalisaation myötä erilaisia kehityshankkeita on jatkuvasti käynnissä LähiTapiolan sisällä ja kumppanuusverkostossa. Haavoittuvuuksien löytyminen voi olla haasteellista, sillä toimijoilla on omat tapansa tehdä tietoturva-auditointia. Turvallisuutta ei voi yksin perinteisellä keinolla varmistaa, hakkeriyhteistyö tuo tähän uuden tavan, Niemelä sanoo.

Hakkeriyhteistyö on tullut luontevaksi osaksi LähiTapiolan toimintaa ja verkostoa, jolta palveluja ostetaan. Leo Niemelä sanoo, että ict-yritykset Suomessa suhtautuvat asiaan ennakkoluulottomasti.

–Tämä on otettu hyvin vastaan kumppaniverkostossamme, mikä on osoitus hyvästä toimintakulttuurista. Kehitämme paljon uusia palveluja ja sovelluksia kumppaneiden kanssa, ja asiakkaidemme tietoturva ja tiedon luottamuksellisuus on LähiTapiolalle erittäin tärkeä asia.

LähiTapiola järjestää Hack Day 2016 -tapahtuman Espoossa lokakuussa

LähiTapiola järjestää Hack Day 2016 -tapahtuman Espoossa lauantaina 22.10.2016. Tavoitteena on tutkia valitun kohdejärjestelmän turvallisuutta eikä tietoturvatestaus aiheuta haittaa henkilötietojen turvallisuudelle tai palvelujen normaalille käytölle.

Hack Day -tapahtumaan haetaan 2–4 henkilön tiimejä, jotka kutsutaan hakemuksen ammattimaisuuden ja mahdollisten referenssien perusteella. Tiimin jäsenten on oltava 18 vuotta täyttäneitä 22.10.2016 ja Suomessa vakituisesti asuvia. Hakemukset tulee lähettää Leo Niemelälle (etunimi.sukunimi@lahitapiola.fi) 30.9.2016 mennessä tai alla olevalla lomakkeella. Tarkemmat ohjeet sekä tiedot ilmoitetaan valituille tiimeille hyväksymisen yhteydessä.

Lisätietoa:
Leo Niemelä
tietoturvajohtaja, LähiTapiola-ryhmä
+358 40 7430 696
etunimi.sukunimi@lahitapiola.fi

Lisätietoa Bug Bountysta: https://hackerone.com/localtapiola

Hack Day -ilmoittautumislomake.