Julkishallinnon digijärjestelmille bug bounty -ohjelmat

Tuli mieleeni, että onkohan julkishallinnon organisaatioilla paljonkin kyberhaavoittuvuuksien paljastamiseen tarkoitettuja bug bounty-ohjelmia. Pikaisella googlettamisella löytyy ainakin Verottajan tulorekisteriä ja oMaVeroa koskevat haavoittuvuuspalkinto-ohjelmat, [CSC/Opetus- ja kulttuurinimisteriön kokeilu](Myös Opetus- ja kulttuuriministeriö ja CSC ovat kokeilleet: Hakkerit testasivat MPASSid:n tietoturvaa – oletusasetuksia tiukennettiin | Opetushallitus), sekä yksi Lapin yliopistossa tehty opinnäytetyö aiheesta.

Kaikilla vakavasti otettavilla suurilla toimijoilla on Bug Bounty -ohjelma ja julkisella sektorillakin tulisi olla. Tätä voisi Vihreätkin ajaa. Yksittäiskokeilujen sijaan parempi voisi olla pysyvä ja laaja-alainen ohjelma, joka kattaisi kaikki hallinnonalat. Jos jostakin voisi aloittaa, niin vaikka edes kaikki Valtorin tuottamat palvelut.

Ulkomailta löytyy mm:

Singapore: https://portswigger.net/daily-swig/singapore-government-launches-bug-bounty-program-for-digital-services

US Homeland Security: DHS Announces “Hack DHS” Bug Bounty Program to Identify Potential Cybersecurity Vulnerabilities | Homeland Security

1 Like

Pari muutakin löytyi vielä:

DVV Väestörekisterikeskuksen tuottaman Suomi.fin tietoturvaa testataan hakkereiden avulla | Digi- ja väestötietovirasto

UM: Ulkoministeriön yhteisöllinen tietoturvatestaus onnistui – bug bounty -ohjelmasta pysyvä testausmuoto - Ulkoministeriö

Mielestäni hyvä ja konkreettinen idea.

1 Like

Ehkä tämän voisi laittaa muutosehdotuksena vihreiden poliittiseen ohjelmaan @jannepeltola ?

Ehdottomasti! Jos et itse pääse puoluekokoukseen, voin tuoda omissa nimissäni.

1 Like