Hackare testar hur säkert det så omsusade inkomstregistret är

28.10.2019

Testet riskerar inte inkomstregistrets användarbarhet och säkerhet, meddelar inkomstregistret.

Inkomstregistret, som varit i fokus i diskussionen om eftersläpningar i kommunernas skatteintäkter, inleder ett så kallat bug bounty-program i slutet av oktober, meddelar registret på sin webb.

Avsikten är att hitta eventuella sårbarheter i datasäkerheten. Ett arvode betalas till datasäkerhetsforskare – så kallade white hat hackers – som lyckas finna sårbarheter i datasäkerheten. Beloppet på arvodet beror på hur betydande risken som funnits är.

År 2017 testade Skatteförvaltningen sårbarhetsprogrammet i tjänsten MinSkatt.  Metoden ledde till goda resultat och nu tas den också i bruk i inkomstregistret. Eventuella sårbarheter i systemet åtgärdas strax efter att observationen gjorts.

– Tiotals hackare deltog i bug bounty-programmet för MinSkatt. Vi fann flera brister i tjänstens sårbarhet, som nödvändigtvis inte skulle ha upptäckts i de normala datasäkerhetskontrollerna. Det största arvodet för en enskild observation uppgick till 3 500 euro, säger Skatteförvaltningens säkerhetsdirektör Samuli Bergström i ett pressmeddelande.

Systemet utvecklas kontinuerligt

Hackarna kan utföra omfattande tester i systemet, eftersom testmiljön inte innehåller riktiga person- eller inkomstuppgifter. Bug bounty-programmet riskerar inte inkomstregistrets användarbarhet och säkerhet, meddelar inkomstregistret.

Hittills har över 43 miljoner anmälningar om löneuppgifter redan lämnats in till inkomstregistret, som innehåller löneuppgifter för varje finländare.

– Inkomstregistret är ett relativt nytt system, vars datainnehåll är mycket omfattande. I fortsättningen kommer en allt större del av myndigheterna och andra organisationer att utnyttja inkomstregistrets uppgifter. Systemet utvecklas kontinuerligt och nya sårbarheter kan dyka upp vid utvecklingsfasen. Därför hoppas vi att inkomstregistret uppmuntrar hackarna att fortsätta bland utmaningen en lång tid, säger Bergström.

Datasäkerhetsforskarna som deltar i programmet förbinder sig till att följa Skatteförvaltningens regler.

Bug bounty-programmet inleds i inkomstregistret i slutet av oktober. Skatteförvaltningen genomför bug bounty-programmet i samarbete med 2NS Oy och portalen hackr.fi.