#35 – Miten Bug Bounty -ohjelma soveltuu tietoturvahaavoittuvuuksien ratkomiseen?
OP Tech Podcastin jaksossa 35 on aiheena Bug Bounty -ohjelma, jossa hakkerit etsivät OP:n kehittämistä järjestelmistä tietoturvahaavoittuvuuksia. Kristian Luoma saa vieraakseen OP:n Security COE Jani Salmikiven, joka vastaa kyberturvallisuuden kehittämisestä ja testauksesta.
Tässä jaksossa Kristian ja Jani keskustelevat muun muassa siitä,
- miten Bug Bounty -ohjelma toimii OP:n tietoturvahaavoittuvuuksien löytämisessä
- miksi on tarpeellista käyttää tällaista tapaa tietoturvahaavoittuvuuksien paikantamisessa ja
- miten Bug Bounty eroaa perinteisistä tietoturvatyökaluista.
Katso tästä, mitä edellinen jakso käsitteli >>
Mitä Bug Bounty -ohjelma tarkoittaa?
Bug Bounty on haavoittuvuuspalkinto-ohjelma, jossa “hakkerit” eli itsenäiset tietoturvatutkijat kutsutaan etsimään OP:n kehittämistä palveluista ja järjestelmistä tietoturvahaavoittuvuuksia. Kun he löytävät haavoittuvuuksia, he raportoivat niistä OP:lle ja saavat palkkion riihikuivana rahana.
Bug bounty -ohjelmia on ollut käytössä maailmalla jo pitkään, ja nyt ne on otettu myös OP:ssa käyttöön ketterän kehittämisen ja uudistumisen myötä. “Kun meillä kerrotaan löydetyistä haavoittuvuuksista julkisesti talon sisällä, muutkin kehitystiimit voivat oppia löydöksistä“, Jani kertoo.
Miksi Bug Bounty -ohjelmat ovat tarpeellisia esimerkiksi pankeille?
Nykypäivän pankkimaailmassa verkossa kolkutellaan kaikkialla. Bug Bountyn avulla saadaan parhaita tietoturvahaavoittuvuuksiin keskittyneitä osaajia katsomaan OP:n järjestelmistä tiettyjä yksityiskohtia.
“Kenelläkään ei voi olla yhtä terävää kärkiosaamista, jos osaamisen skaala on niin älyttömän laajalla kuin isossa talossa tietoturva-asiantuntijoilla on”, Jani täsmentää. Toisaalta miksi ei hyödyntäisi uudenlaisia työkaluja, jos niitä on olemassa?
“Regulaation puolesta tulee paljon vaatimuksia ja täytyy ottaa kantaa esimerkiksi tietosuojaan sekä tietoturvaan. Miksi ei siis otettaisi kantaa silloin, kun shipataan softaa tuotantoon. Näin pidetään myös huoli, että kehitetyt tuotteet myös pysyvät turvallisina”, Jani muistuttaa.
Miten Bug Bounty -ohjelma eroaa formaaleista työkaluista?
Bug Bounty -ohjelman hyödyntämisellä on iso ero aiempiin toimintatapoihin verrattuna. Normaalissa vanhassa formaalissa mallissa puhutaan tietoturva-auditoinnista ja tietoturvatestaamisesta. Niissä varmistuksia tehdään matkan varrella tietyssä aikaikkunassa, jolloin asiantuntijalla on jokin tietty työaika käytettävänään.
Bug Bountyssa sen sijaan ei olla aikaan sidottuja. Hakkeri saattaa käyttää kaksi viikkoa löytääkseen jonkin yksityiskohdan.
“Ohjelman hienous on osallistujien intohimo ja se vie järkyttävän pitkälle. Kun tehdään normaalisti töitä, jossakin kohtaa intohimo laantuu ja työn loppuun asti puristaminen vaikeutuu eikä se ole enää yhtä tehokasta. Kun intohimo on mukana, havaitaan ihan briljantteja löytöjä”, Jani kuvailee.
Kuuntele Janin ja Kristianin keskustelu kokonaisuudessaan Spotifysta >>
Jakson sisältö
- Miten Bug Bounty -ohjelma toimii OP:n tietoturvahaavoittuvuuksien löytämisessä?
- Miksi on tarpeellista käyttää tällaista tapaa tietoturvahaavoittuvuuksien paikantamisessa?
- Miten Bug Bounty eroaa perinteisistä tietoturvatyökaluista?
- Onko Bug Bounty hintansa arvoinen satsaus?
- Mitä Jani itse on kokeneena kyberturvallisuuden ammattilaisena oppinut Bug Bounty -ohjelman myötä?
- Miten ohjelmaan pääsee mukaan?
Jakson kesto: 17:33 min
Jatketaan keskustelua sosiaalisessa mediassa! Verkostoidu Janin ja Kristianin kanssa
Twitterissä: @kluoma
LinkedInissä: Jani Salmikivi ja Kristian Luoma