Hackare med vit hatt söker luckor i informationssäkerheten i Suomi.fi-tjänsten – även digitala identitetsbevis kan testas

– Vi vet mycket väl att brottslingar ständigt är ute efter digitala tjänster. Det är mycket nyttigt att bedriva testsamarbete med hackare med vit hatt, berättar datasäkerhetschef Pekka Ristimäki vid Myndigheten för digitalisering och befolkningsdata.

Den hackning som sker i programmet och under hackday äventyrar inte systemets datasäkerhet. Tvärtom möjliggör en stor skara testare en mer omfattande testning, varmed eventuella sårbarheter kan hittas effektivt.

Suomi.fi:s datasäkerhet testas med hjälp av hackare i ett halvt år

Den 31.10.2022 inledde Myndigheten för digitalisering och befolkningsdata bug bounty-programmet, där man letar efter eventuella sårbarheter i Suomi.fi-webbtjänstens dataskydd. I programmet testas Suomi.fi-webbtjänsten, inklusive gränssnittet för Suomi.fi-identifikation och Suomi.fi-fullmakter.

Suomi.fi är en webbtjänst som samlar ihop offentliga tjänster och instruktioner för olika livssituationer. Via Suomi.fi kan man också kontrollera sina egna uppgifter i olika myndigheters register, ta emot myndighetspost elektroniskt och ge och begära rättigheter att uträtta ärenden för en annan persons eller ett företags räkning. Myndigheten för digitalisering och befolkningsdata ansvarar för utvecklingen av Suomi.fi.

Den 12.11 testar hackare datasäkerheten för digitala identitetsbevis

Myndigheten för digitalisering och befolkningsdata ordnar en hackerdag, det vill säga en hackday, den 12.11.2022. Under Hackday är hackarnas objekt elektronisk identifiering med digitalt identitetsbevis.

Myndigheten för digitalisering och befolkningsdata utvecklar mobilappen för digital identitet (Suomi.fi-plånbok). Applikationen gör det möjligt att använda ett digitalt identitetsbevis. Införandet av digitala identitetsbevis förutsätter lagändringar och lagförslaget behandlas nu av riksdagen. Avsikten är att lagen träder i kraft och att det digitala identitetsbeviset tas i bruk den 1.9.2023.

Hur fungerar hackersamarbetet?

Hackersamarbetet sker i form av sårbarhetsprisprogram. Till dessa bjuder man in yrkes- och amatörhackare för att undersöka dataskyddet i de tjänster som är föremål för programmet. Programmen handlar om att testa sårbarheter i det offentliga dataskyddet, där utomstående testare, dvs. hackare, får möjlighet att testa organisationernas digitjänster inom ramen för överenskomna principer och gränser.

– Vi har bedrivit motsvarande samarbete med hackare tidigare och erfarenheterna har varit goda. Programmet för sårbarhetspriset kompletterar på ett bra sätt vår normala applikationstestning. Samtidigt ger vi kunniga hackare möjlighet att testa sina färdigheter med tillstånd och också tjäna lite pengar för det, konstaterar Pekka Ristimäki.

Hackarna anmäler sig till testningen och förbinder sig att följa de fastställda reglerna. Om sårbarheter hittas får den som hittat sårbarheterna en belöning som står i proportion till hur betydande fyndet är. Belöningen är mellan 100 € - 30 000 €.

Big bounty -programmet och hackday för digital identitet produceras av Hackrfi Oy, som är ett företag som har specialiserat sig på koordinering av sårbarheter i samhället och förvaltning av dataskyddstestning. Myndigheten för digitalisering och befolkningsdatas bug bounty-program pågår 31.10.2022 - 30.4.2023. Hackday för digital identitet hålls den 12.11.2022 och även Gofore deltar också i organiseringen av den. Till båda blir man inbjuden på basis av ansökan.

Läs mer om Myndigheten för digitalisering och befolkningsdatas bug bounty-program och ansök om att delta på Hackrfi Oy:s webbplats.

Fråga mer om hackday för digital identitet och ansök om att delta genom att skicka ett meddelande till hackday@hackr.fi.