Hakkerit löysivät kymmeniä haavoittuvuuksia LähiTapiolan järjestelmistä ja tienasivat rahaa – ”palkkiot tuovat kisafiilistä”

15.10.2018 - Turvallisuus

LähiTapiolan kutsumat hakkerit löysivät viikonloppuna yrityksen järjestelmistä 28 haavoittuvuutta korjattavaksi. Haavoittuvuuksista maksettiin palkkioita yhteensä lähes 7 000 euroa ja lisäksi tapahtumasta kertyi lasten kooditaitojen kouluttamiseen 1 000 euron lahjoitus. Hakkereita tapahtumaan vetävät rahapalkkioiden lisäksi uuden oppiminen ja yhteishenki.

LähiTapiolan kaikkien aikojen suurimmassa hakkeritapahtumassa 50 hakkeria yritti murtautua yrityksen järjestelmiin. Hakkerit työskentelivät yhteensä 11 tiimissä 8 tunnin ajan. Hakkerit tekivät tietoturvatutkimusta tuotantoa vastaavassa ympäristössä, joka ei vaarantanut asiakkaiden turvallisuutta. Haavoittuvuudet löytyivät myöhemmin julkaistavasta järjestelmästä ja ne korjataan ennen julkaisua.

– Hakkeriyhteistyö on meille erinomainen keino saada palautetta järjestelmiemme haavoittuvuuksista ja myös kehittää uusien palveluidemme tietoturvaa. Hakkerit käyttävät laajaa työkalujen kirjoa, mutta valkohattuiset ”hyvishakkerit” käyttävät osaamistaan tietoturvan parantamiseksi. Pelkästään viikonlopun aikana saimme 96 tietoturvaraporttia hakkereilta, joista lähes 30 osoittautui korjattaviksi haavoittuvuuksiksi, kertoo LähiTapiolan tietoturvajohtaja Leo Niemelä.

Tapahtuma oli osa yrityksen Bug Bounty -tietoturvaohjelmaa, jossa hakkereille maksetaan löydetyistä haavoittuvuuksista rahalliset palkkiot. Viikonloppuna maksetuista haavoittuvuuksista hakkereille maksettiin 6 898 euroa palkkioina. Lisäksi hakkereille tarjolla olleesta bonustehtävästä kertyi lasten koodauskerhoja järjestävälle Koodikerholle yhteensä 1 000 euron lahjoitus palkkioina.

Hakkereita tapahtumaan vetävät paikalle rahapalkkioiden lisäksi myös hyvä yhteishenki ja uuden oppiminen.

- Valkohattuhakkeroinnissa minua innostaa mahdollisuus tehdä hyvää. Minulle on tärkeää käyttää tietoturvaosaamistani yritysten ja ennen kaikkea loppukäyttäjien auttamiseen ja suojeluun. Hack Day -tapahtumassa palkkiot toki merkitsevät ja ne tuovat päivään hyvää kisafiilistä. Itselleni tärkeintä on kuitenkin tapahtuman yhteisöllisyys ja muiden hyvishakkereiden kanssa verkostoituminen, kertoo TEMPORARY ARCHER -tiimiä edustanut F-Securen tietoturvakonsultti Laura Kankaala.

Bug Bounty -ohjelma on tuottanut vuoden 2015 jälkeen LähiTapiolalle yli 600 tietoturvaraporttia sekä suomalaisilta että kansainvälisiltä hakkereilta. Ohjelmasta on maksettu hyvishakkereille yli 125 000 Yhdysvaltain dollaria korvauksia löydetyistä haavoittuvuuksista.

Hakkeriyhteistyö lisääntyy Suomessa

- Hakkerien kanssa tehtävä yhteistyö on Suomessa viime vuosina lisääntynyt, kun kyberrikollisuus ja myös tietoturvaan liittyvä sääntely ovat lisääntyneet. Edelläkävijöiden esimerkin kannustumina monet yritykset ja julkisen sektorin toimijatkin, kuten Verohallinto, ovat kuluneen vuoden aikana aloittaneet omia vastaavia hakkeriohjelmiaan, Niemelä kertoo.

Yritysten tietoturvan lisäksi Leo Niemelä on huolissaan nuorten tekemistä kyberrikoksista.

- Nuorista moni ei tiedä, että jo nuorena tehdyistä nettirikkomuksista voi olla ankaria seuraamuksia. Nuoret voisivat käyttää hakkeriosaamistaan myös valkohattuisten ”hyvishakkerien” leirissä ja tienata jopa rahaa. Mustahattuiset ”pahishakkerit” ovat tunnetumpi ilmiö ja tämä valitettavasti leimaa edelleen koko hakkerointia, kertoo Niemelä.
Nuorten tietoisuuden kasvattamiseksi on käynnissä erilaisia hankkeita, joista Niemelä nostaa esiin Espoon kaupungin lukioissaan aloittaman kurssin, jossa nuorille opetetaan hakkerointia.