Hakkerit parantamaan kansallisen MPASSid-tunnistuspalvelun tietoturvaa

Opetus- ja kulttuuriministeriö 10.9.2018 15.24
Uutinen

Opetus- ja kulttuuriministeriö testaa oppilaiden tunnistautumiseen tarkoitetun MPASSid-palvelun tietoturvaa sen haavoittuvuuksia paikallistavalla palkkio-ohjelmalla.

Perus- ja toisen asteen oppilaitoksissa käytettävän kansallisen MPASSid-tunnistuspalvelun avulla oppilaat voivat käyttää yhtä ja samaa, opetuksen järjestäjän antamaa tunnusta kirjautuakseen eri palveluntarjoajien digitaalisiin palveluihin. Bug bounty haavoittuvuuspalkkio-ohjelmassa etsitään tunnistuspalvelusta haavoittuvuuksia sekä seurataan ja hallitaan palvelun tietoturvan kypsyystasoa.

Haavoittuvuuspalkkio-ohjelmat ovat yhteisöllinen tapa testata tietoturvaa. Ohjelmassa valikoidulle joukolle haavoittuvuuksien paikallistamiseen erikoistuneita ammattilaisia annetaan kohteeksi palvelu, jonka tietoturvaa he testaavat. Mikäli ohjelmistosta löytyy haavoittuvuuksia, he raportoivat niistä palveluntarjoajalle, joka tarkistaa tietojen paikkansapitävyyden ja välittää ne palvelun ylläpitäjälle.

Murtotestausta syyskuusta alkaen

Puoli vuotta kestävän bug bounty -ohjelman murtotestaus käynnistyy syyskuun aikana MPASSid-tunnistuspalvelussa. Ohjelmaan kutsutuille alan ammattilaisille ja harrastajille annetaan käyttäjätunnukset ja laajat oikeudet kuvitteellisen Hakkerilan koulun sähköisiin oppimisen palveluihin.

- Uskomme, että bug bounty nostaa tietoturvan kehittämisen aivan uudelle tasolle täydentäen jo käytössä olevaa, perinteistä mallia. MPASSid-palvelu ei ohjelman myötä vaarannu, sillä hakkeroinnin kohteena on ainoastaan palvelun testiversio, sanoo kehittämispäällikkö Jarkko Moilanen opetus- ja kulttuuriministeriöstä.

Haavoittuvuuspalkinto-ohjelmia on tehty jo vuosikymmenten ajan. Viime vuosina niiden käyttö on kuitenkin kasvanut, kun kyberturvallisuus on noussut enemmän esiin. Opetus- ja kulttuuriministeriön omistamaan ja CSC - Tieteen tietotekniikan keskus Oy:n tuottamaan MPASSid-palveluun haavoittuvuuspalkinto-ohjelma on valmisteltu Hackr.fi:n kanssa.

Lisätietoja:
kehittämispäällikkö Jarkko Moilanen, p. 0295 330 305

Mikä on bug bounty?

Bug bounty -ohjelmassa on mukana sekä julkisia että yksityisiä tutkimusohjelmia. Julkisissa ohjelmissa voi kuka tahansa tietoturvallisuuden ammattilainen tai harrastaja osallistua tutkimukseen. Yksityisissä ohjelmissa taas rajattu määrä hakkereita kutsutaan osallistumaan ohjelmaan. Löydetyistä tietoturva-aukoista maksetaan niin sanottu Bounty-palkkio. Ohjelma on käynnissä rajoitetun ajan. 

Aiemmin palveluidensa tietoturvaa bug bounty -ohjelmalla ovat testanneet muun muassa Väestörekisterikeskus ja Verohallinto.

Koulutus Yleissivistävä koulutus