Mikä bugi? S-Pankki ja FIM avaavat nettipankkinsa hakkereiden koputeltavaksi

3.11.2018

Bug bounty -buginmetsästystä on kokeiltu Suomessa onnistuneesti muun muassa valtionhallinnossa ja vakuutusalalla. S-Pankki on tiettävästi ensimmäinen suomalainen pankki, joka kutsuu hakkerit testaamaan tietoturvaansa. Tavoitteena on triplavarmistaa yli 3 miljoonan suomalaisen pankkitietojen turvallisuus.

S-Pankin bug bounty järjestetään yhteistyössä verkkopankkitoimittajansa Crosskeyn ja HackerOnen kanssa, joka on valvonut tunnettujen kansainvälisten yritysten, kuten Twitterin ja Salesforcen, buginmetsästyksiä. HackerOne tarjoaa alustan bugien metsästykselle ja raportoinnille, ja S-Pankki maksaa palkkiot hakkereiden löytämistä haavoittuvuuksista.

“Asiakkaidemme tietojen ja tilien turvallisuus on meille tässäkin hankkeessa kaikista tärkein asia. Tavoitteenamme on, että asiakkaamme voivat jatkossa olla entistäkin varmempia siitä, että heidän tietonsa ja rahansa ovat turvassa. Haluamme kehittää tietoturvaa entisestään ja tässä hyödynnämme myös uusia menetelmiä, joista bug bounty on yksi esimerkki”, sanoo S-Pankin riskienhallintapäällikkö Juha Nieminen.

Hakkereille maksettavat palkkiot liikkuvat noin 130 eurosta 1 800 euroon HackerOnen suosituksen mukaisesti. Buginmetsästyksen ideana on, että mahdolliset haavoittuvuudet löydetään, jolloin niitä ei päästä hyväksikäyttämään haitallisella tavalla. Buginmetsästykseen hyväksytyt hakkerit sitoutuvat raportoimaan löytämänsä bugit HackerOnelle ja sitä kautta S-Pankille.

“Bug bountyssa mukana olevat hakkerit ovat useimmiten ihan tavallisia ihmisiä, esimerkiksi tietoturva- tai tietotekniikka-alan ammattilaisia ja asiantuntijoita, joille tämän kaltainen toiminta on usein intohimoinen harrastus”, Nieminen valottaa.

Valvottu buginmetsästys on turvallinen tapa testata palveluita maailmanluokan hakkereilla – joko palvelut osoittautuvat vedenpitäviksi tai vikoihin päästään kiinni. Myös buginmetsästyksen aikana S-Pankin asiakkaiden tiedot ja rahat ovat visusti turvassa, sillä järjestelmien tietoturvallisuus on testattu jo ennen hakkereiden astumista kuvaan.

“Tietoturva on meille erittäin tärkeä ja vakava asia. Meillä on monta eri tapaa varmistua asiakkaiden tietojen turvallisuudesta, kuten erilaiset tietoturva-auditoinnit, ohjeistukset ja riskiarvioinnit. Bug bounty on siis yksi uusi keino olemassa olevien toimenpiteiden lisäksi”, Nieminen sanoo.

Aiemmin Suomessa valvottuja buginmetsästyksiä ovat järjestäneet muun muassa Verohallinto ja LähiTapiola.

Lisätietoja:
Juha Nieminen, riskienhallintapäällikkö, S-Pankki, juha.a.nieminen@s-pankki.fi, p. 050 599 1882