Elisan bug bounty -ohjelma valjastaa hyväntahtoiset hakkerit etsimään haavoittuvuuksia palveluistamme rahapalkkioita vastaan. Yhteistyö valkohattuhakkerien kanssa on koko ajan tiiviimpää, ja samalla palveluiden turvallisuus ja laatu on parantunut entisestään.
Elisa on pyörittänyt jo neljän vuoden ajan niin sanottua bug bounty -ohjelmaa. Maailmalla valtavan suosion saaneet bug bountyt perustuvat siihen, että organisaatiot päästävät hyväntahtoiset valkohattuhakkerit etsimään haavoittuvuuksia digitaalisista palveluistaan. Vastineeksi hakkerit saavat raha- ja esinepalkintoja sekä mainetta ja kunniaa.
Palveluiden turvallisuus paranee, ja lopulta kaikki voittavat – paitsi rikolliset mustahattuhakkerit haittaohjelmineen.
– Toisinaan ihmetellään, miksi hakkerit pitäisi päästää oikein luvan kanssa tutkimaan järjestelmien haavoittuvuuksia. Fakta kuitenkin on, että joku siellä porteilla kolkuttelee koko ajan. On parempi, että kolkuttelija on ystävä, joka kertoo löytämistään ongelmista, toteaa Jarkko Vesiluoma.
Vesiluoman titteli Elisalla on Principal Offensive Security Lead. Sen lisäksi että hänen päivätyönsä on kyberturvallisuuden parissa, Vesiluoma osallistuu vapaa-ajallaan muiden tahojen bug bounty -ohjelmiin. Menestystäkin on tullut, suurimmillaan jopa 10 000 dollarin palkinto.
– Suurin osa koputteluista järjestelmiin on automaattisia, mutta joukossa on myös oikeita hyökkäysyrityksiä, jotka onnistuessaan voivat tehdä paljon tuhoa, Vesiluoma jatkaa.
Tietoturvan täydentäjä
Elisan järjestelmiä kohtaan hyökätään arviolta sata tuhatta kertaa vuodessa, minkä vuoksi esimerkiksi perinteinen tasaisin väliajoin suoritettava turvallisuusauditointi ei ole riittävä keino estää haavoittuvuuksien löytymistä ja hyväksikäyttämistä.
– Bug bounty täydentää Elisan omaa tietoturvatyötä arvokkaalla tavalla, ja se sopii moderniin softakehitysmalliimme, kertoo Matti Hiljanen, Senior Security Manager ja Elisan bug bounty -ohjelman pääasiallinen pyörittäjä.
Ohjelman arvosta kertoo paljon, että parhaimmillaan bug bounty -palkintoja jahtaavat hakkerit ovat löytäneet haavoittuvuuden muutamassa tunnissa sen jälkeen, kun järjestelmään on tehty muutos.
– Jos organisaatio ajattelee, ettei heidän järjestelmässään ole haavoittuvuuksia, se johtuu vain ja ainoastaan siitä että niitä ei ole vielä löydetty, Hiljanen jatkaa.
Raportteja ympäri maailmaa
Elisan bug bounty -ohjelma käynnistyi vuonna 2018, ja sitä alettiin rakentaa hyvin pienistä lähtökohdista. Elisa Viihde oli aluksi ainoa ohjelman piirissä ollut palvelu, ja mukaan kutsuttiin kymmenkunta suomalaista hakkeria.
– Ohjelma vaikutti todella toimivalta, ja päätimme lähteä kasvattamaan sitä voimakkaasti, Matti Hiljanen kertoo.
Tällä hetkellä Elisan ohjelmassa on mukana yli kolme tuhatta hakkeria joka puolelta maailmaa. Raportteja haavoittuvuuksista on tullut sisään noin 360 kappaletta, aina Brasiliasta asti, ja palkkioita on maksettu yli 50 000 euroa.
Osa Elisan ja muiden organisaatioiden bug bounty -ohjelmiin osallistuvista hakkereista on harrastajia, mutta joukosta löytyy myös alan omia rocktähtiä – ammattimaisia valkohattuhakkereita, jotka tekevät miljoonatuloja haavoittuvuuksia etsimällä.
– Viiden tuhannen euron maksaminen hakkerille voi kuulostaa paljolta, mutta jos joku pääsee esimerkiksi varastamaan asiakastietoja järjestelmästä, vahinko on taatusti moninkertainen siihen nähden, Jarkko Vesiluoma toteaa.
Oppimisen paikka
Elisan kaikki merkittävimmät verkkopalvelut ovat tällä hetkellä ohjelman piirissä, joten softakehittäjät Elisan yksiköissä saavat myös sen kautta tietoa haavoittuvuuksista heti kun kyberturvayksikkö on arvioinut raportin.
– Bug bounty on organisaatiolle tilaisuus oppia, ei pelkästään olemassa olevien haavoittuvuuksien korjaamisesta vaan myös siitä, miten niiden syntyminen vältetään, Matti Hiljanen sanoo.
Jarkko Vesiluoma tähdentää, että toimivan bug bounty -ohjelman sääntöjen pitää olla selkeät sekä organisaatiolle että hakkereille. Asiallisten palkkioiden lisäksi hakkerit arvostavat sitä, että raportit haavoittuvuuksista käsitellään nopeasti.
– Hakkerit haluavat tietää mahdollisimman paljon löytämänsä haavoittuvuuden merkityksestä. Tarkoituksena on, että kumpikin osapuoli oppii ja pystyy kehittymään, Jarkko Vesiluoma sanoo.
Kaikki palaa luottamukseen
Hiljanen kehuu sekä kollegaansa että koko bug bounty -ohjelmaa siitä, että Elisa on saanut rakennettua luottamuksellisen suhteen valkohattuhakkereiden yhteisöön.
– Jarkko osasi alusta asti neuvoa kyberturvakeskusta, miten raportteja käsitellään ja ylittää mahdolliset kielimuurit hakkerien kanssa, hän sanoo.
– Yksi hienoimmista esimerkeistä yhteistyöstä hakkerien kanssa oli, kun eräästä hyvin yleisestä avoimen lähdekoodin komponentista löytyi vakava haavoittuvuus. Me saimme verkostomme kautta siitä vinkin tunteja ennen kuin haavoittuvuus oli yleistä tietoa, ja pääsimme tilkitsemään aukon paljon ennen muita.
– Haluamme ajatella, että koska Elisa luottaa palveluiden turvallisuuteen niin paljon, että päästämme hakkerit etsimään haavoittuvuuksia, myös asiakkaamme voivat luottaa palveluiden turvallisuuteen, Hiljanen summaa.
Haluatko liittyä mukaan Elisan Bug ohjelmaan?
Lue lisää ohjelmasta ja katso liittymisohjeet
Lue myös:
Palvelunestohyökkäykset ovat yleistyneet
Kaikki artikkelit