Valkohattuhakkerit testaavat yritysten tietoturvaa – ”valitettavan usein vihjeen antajaa uhkaillaan poliisilla”
LähiTapiola kutsui viidettä kertaa hyvishakkereita testaamaan järjestelmiensä tietoturvaa. Yhteensä päivään osallistui lähes sata hyväntahtoista valkohattuhakkeria. Löydetyistä haavoittuvuuksista maksettiin palkkioita ennätykselliset 19 700 euroa.
Viidettä kertaa järjestetty LähiTapiolan Hack Day keräsi vuonna 2019 ennätysmäärän osallistujia lokakuiseen Espooseen. Yhteensä 50 ammattihakkeria, 30 alasta kiinnostunutta naista ja 10 yläaste- ja lukioikäistä junnua testasivat LähiTapiolan Elämänturvasovellusta ja Rahastoasiakkaiden verkkopalvelua. Löytyneet haavoittuvuudet raportoitiin LähiTapiolan tietoturvajohdolle, ja niistä maksettiin palkkio.
– Hyvishakkerit löysivät päivän aikana yli 40 haavoittuvuutta. Kaksi löydetyistä haavoittuvuuksista oli sellaisia, jotka raportoimme eteenpäin Kyberturvallisuuskeskukselle. Keskus huolehtii, että tieto haavoittuvuudesta ja sen asianmukaisesta korjauksesta päivityksineen päätyy kaikille, myös tuotteen loppukäyttäjille. Tähän pyritään varmistamalla, että haavoittuvuudet korjataan ja korjaukset otetaan käyttöön. Rikollisten käsissä nämä bugit voisivat aiheuttaa paljon harmia, sanoo LähiTapiolan tietoturvajohtaja Leo Niemelä.
Myös LähiTapiolan yhteistyökumppanit Symbio ja iLOQ toivat laitteitaan testattavaksi. Symbion laitteissa testattiin esimerkiksi rakennuskypärään sijoitettavaa anturia, joka kertoo rakennustyöläisen sijainnin lisäksi myös esimerkiksi sen, onko henkilö mahdollisen kaatumisen jälkeen tajuissaan.
– Osallistuimme tänä vuonna ikään kuin jatkumona kesällä SuomiAreenassa tekemämme yhteistyön merkeissä. Siellä hakkerit testasivat autoihin sijoitettavia viihdejärjestelmiä, ja tänä vuonna tätä rakennustyömaan turvallisuutta parantavaa anturia. Hakkerit testasivat, saako tähän verkkoyhteydessä olevaan IoT-laitteeseen asennettua esimerkiksi palvelua häiritseviä haittaohjelmia, kuvailee Symbion Ari Kuusisto.
Kyberturvallisuuskeskuksen tietoturva-asiantuntija Jan Wikholm vastasi Hack Day:ssä junnuhakkereiden ohjeistuksesta ja valmennuksesta. Häneen mukaansa useamman yrityksen ja viranomaisen kannattaisi tehdä yhteistyötä valkohattuisten hakkereiden kanssa.
– Valitettavan usein törmätään tapaukseen, jossa valkohattuinen hakkeri kertoo yritykselle, että on löytänyt yrityksen verkkosivuilta ongelman, ja yrityksessä vedetään paniikkimoodi päälle ja aletaan uhkailla poliisilla. Tällainen vaara toki on aina, jos hakkerilla ei ole lupaa testata järjestelmiä. Siksi Hack Day:n ja Bug Bounty -ohjelmien kaltaiset tilaisuudet ovat tietoturvastaan huolehtiville yrityksille erittäin suositeltavia, Wikholm sanoo.
Hukattu osaaminen käyttöön
Hakkerointi ja tietoturva ovat aloina perinteisesti miesvaltaisia. Vaikka Hack Day’hyn osallistuvissa ammattilaishakkerijoukkueissa on jäseninä naisia, on alalla silti huutava pula nimenomaan naispuolisista tietoturvaosaajista. Siksi tämän vuoden Hack Day’hin koottiin ensimmäistä kertaa joukkue, joka koostui kokonaisuudessaan hakkeroinnista ja tietoturvasta kiinnostuneista naisista. Joukkuetta mentoroivat viisi naispuolista ammattilaishakkeria.
– #mimmithakkeroi -hankkeen tavoitteena on saada tietoturva-alalle enemmän naisia. Konsepti on jatkoa #mimmitkoodaa -hankkeelle, joka puolestaan pyrkii madaltamaan kynnystä tutustua koodaukseen. Tietoturvatestaus ja hakkerointi on paitsi hauskaa, myös hyödyllistä. Kaikkien tulisi ymmärtää hieman, että mikä esimerkiksi on hyvis- ja pahishakkeroinnin ero, sanoo Nixu:lla tietoturvakonsulttina työskentelevä Anne Oikarinen.
Hack Day:n kaltaisten päivien järjestäminen on organisaatioille todella hyödyllistä matkalla kohti turvallisempia digipalveluita. LähiTapiola saa tilaisuuksista aina todella ylistävää palautetta, ja vuoden 2020 Hack Dayn kaikki tiimihuoneet ovat jo varattuna.