LähiTapiola varmistaa tietoturvaa myös valkohattuisten hakkereiden avulla

25.1.2017 - Turvallisuus

LähiTapiolassa on erinomaisia kokemuksia valkohattuisten hakkereiden eli vapaiden tietoturva-asiantuntijoiden hyödyntämisestä tietoturvahaavoittuvuuksien etsimisessä. Käytössä on Bug Bounty -palkinto-ohjelma, jonka avulla haavoittuvuuksia etsitään tuotannosta. LähiTapiolan tietohallinto suosittelee Bug Bounty -ohjelmaa kaikille ohjelmistoista riippuvaisille yrityksille.

LähiTapiola varmistaa sähköisten palveluidensa tietoturvallisuutta monipuolisesti. Kaikki ICT-järjestelmät testataan tarkasti ennen niiden käyttöönottoa. Henkilötietojen luottamuksellisuuteen ja tietosuojaan kiinnitetään tarkkaan säännellyssä liiketoiminnassa erityistä huomiota.

Huolellisinkaan testaus ei paljasta aivan kaikkia tietoturvahaavoittuvuuksia vaan osan niistä voi löytää vasta tuotannossa.

─ Bug Bounty -ohjelmissa hakkerit testaavat LähiTapiolan tietoturvaa ja etsivät palveluistamme haavoittuvuuksia, LähiTapiolan tietoturvajohtaja Leo Niemelä kertoo. ─ Mitä vaativampaa koodi on, sitä todennäköisempää on, että kaikkia virheitä ei löydetä testauksessa vaan vasta tuotannossa.

LähiTapiola aloitti ensimmäisenä pohjoismaisena finanssitalona Bug Bounty –ohjelman toissa syksynä. Kokemukset olivat niin hyvät, että ohjelmaa laajennettiin viime syksynä. Suurin yksittäinen palkintosumma nostettiin 20 000 eurosta 50 000 euroon, sillä ohjelman tasoa haluttiin nostaa entisestään. Palkintosumma on sitä suurempi, mitä merkittävämpi haavoittuvuuden liiketoimintavaikutus on.

─ Kokemukset Bug Bountyista ovat olleet erinomaiset ja olemme korjanneet sen avulla useita haavoittuvuuksia. Hakkeriyhteistyön ansiosta sähköisten palveluidemme tietoturvan taso on nyt, jos mahdollista, entistäkin parempi. Uusien tahojen joukkoistaminen tietoturvatyöhön hyödyttää kaikkia osapuolia, niin hakkereita, LähiTapiolaa kuin asiakkaitammekin, Niemelä jatkaa.

Yhdysvalloissa Bug Bountysta tulossa uusi normaali

Kalifornian Piilaaksossa toimivan Hacker One -tietoturvayhtiön toimitusjohtaja Mårten Mickos on vaikuttunut LähiTapiolan toimintatavoista. Hän arvioi LähiTapiolan Bug Bountyn olevan maailman parasta tasoa huolellisine toteutuksineen ja korkeine palkintosummineen.

Piilaakso on edelläkävijä Bug Bounty –ohjelmien hyödyntämisessä, ja siitä on Yhdysvalloissa tulossa Mickoksen mukaan uusi normaali. Euroopassa erityisesti Suomessa, Ruotsissa ja Hollannissa on väestömäärään nähden runsaasti taitavia hakkereita.

─ Yhdysvalloissa moni päättäjä pitää vastuuttomana, jos yritys ei pyöritä Bug Bounty –ohjelmaa. Moni bränditietoinen yritys käyttää hakkereita tietoturvahaavoittuvuuksien etsimiseen, koska haluaa suojella brändiä tietomurron negatiivisilta vaikutuksilta, Mickos kertoo.

Hän ja Leo Niemelä suosittelevat Bug Bounty –ohjelmaa Suomessa erityisesti yrityksille, jotka ovat riippuvaisia ohjelmistoista ja yrityksille jotka käsittelevät runsaasti asiakastietoja.

─ Bug Bounty ei ratkaise kaikkia ongelmia, mutta se on merkittävimpiä menetelmiä löytää haavoittuvuuksia tuotannosta ja se on myös edullisin, Mårten Mickos arvioi.

EU:n tietosuojauudistuksen myötä vuonna 2018 yrityksen tulee ilmoittaa tietovuodosta valvontaviranomaiselle ja tietosuojan laiminlyönneistä voi koitua yritykselle maksuja. Ajanmukaisen tietoturvavakuutuksen ohella asetukseen voi valmistautua esimerkiksi Bug Bounty –ohjelmin.

Lisätietoa:

Leo Niemelä
tietoturvajohtaja, LähiTapiola-ryhmä
+358 40 7430 696
etunimi.sukunimi@lahitapiola.fi

Viestinnän mediapuhelin puh. 040 183 5806 (ma-pe klo 9-16)