Bug Bountyn aikana hakkereille sekä tietoturvatutkijoille annettiin mahdollisuus tutkia valittujen kohteiden tietoturvallisuutta internetistä käsin – kuitenkin tiettyjen sääntöjen puitteissa.

Yhteisöllinen tietoturvatestaus suoritettiin joulukuun 2019 ja toukokuun 2020 välillä.

Ohjelman kohteina olivat ulkoministeriön verkkopalvelut um.fi, matkustusilmoitus.fi ja vaarinkayttoilmoitus.fi. Ulkoministeriön mukaan juuri näihin palveluihin kohdistuu laittomia murtoyrityksiä. Tästä syystä hakkereita kannustettiin tutkimaan palveluita rahaa vastaan.

Kaikkiaan 30 hakkeria ilmoittautui mukaan Suomesta, Intiasta sekä Argentiinasta. Lopputuloksena syntyi yli 100 haavoittuvuusraporttia, joista yhteensä 32 maksettiin palkkio.

Ohjelman suurin 3 000 euron palkkio maksettiin raportista, joka osoitti mahdollisuuden julkaista omia videoita ulkoministeriön verkkosivuilla. Esiin nousseet tietoturva-aukot korjattiin ohjelman yhteydessä.

”Mielestäni on hienoa, että ulkoministeriö avasi rohkeasti sivustonsa tietoturvatutkijoiden testattavaksi. Tietoturva on yhteistyötä ja paras lopputulos saavutetaan silloin kun monta silmäparia on tutkimassa samaa kokonaisuutta”, kommentoi testauksessa mukana ollut hakkeri Laura Kankaala.

Ulkoministeriö hankki ensimmäisen bug bounty -ohjelmansa Hackrfi-yritykseltä. Pilottiohjelma osoittautui menestykseksi. Tämän jälkeen menetelmä on päätetty vakinaistaa osaksi ulkoministeriön tietoturvallisuuden testausohjelmaa.

Testausohjelman kumppanin julkinen hankinta käynnistyy lokakuussa 2020.

Juttua korjattu 19.10.2020 kello 13:22. Ingressissä mainittiin virheellisesti, että ohjelman aikana havaittiin yli 100 haavoittuvuutta. Todellisuudessa ulkoministeriö sai noin 100 raporttia, joista 30 johti palkkion maksamiseen.