Vakavien tietoturvaloukkausten määrä on kasvanut merkittävästi parin viime vuoden aikana niin Suomessa kuin muuallakin maailmalla. Lisäksi miljoonien kuluttajien asiakas- ja henkilötietoja kaapataan jatkuvasti rikolliseen käyttöön voimakkaasti lisääntyneiden kyberhyökkäysten myötä. Tämä on ajanut eri alojen yritykset parantamaan tietoturvaansa ja pyytämään alan erikoisyhtiöitä hakkeroitumaan omiin palveluihinsa haavoittuvuuksien löytämiseksi.
– Tietoturvaloukkausten voimakas kasvu on erittäin huolestuttava tosiasia myös meillä Suomessa. Viestintäviraston vastaanottamien ilmoitusten määrä merkittävistä tietoturvaloukkauksista ja -uhista yli kuusinkertaistui vuodesta 2016 vuoteen 2017, kertoo verkkopalveluiden tietoturva-aukkoja tutkivan Second Nature Security Oy:n teknologiajohtaja Juho Ranta. – Koko maailman mittakaavassa ongelma on jättimäinen. Esimerkiksi Ison-Britannian kyberturvallisuuskeskus on joutunut käsittelemään vuoden 2016 jälkeen lähes 1 700 kyberhyökkäystä, nykyisin lähes kahtakymmentä viikoittain, Ranta jatkaa.
Second Nature Security Oy tutkii yritysten ja julkishallinnon toimijoiden tietoturva-aukkoja, tekemällä niiden digitaalisiin palveluihin hallittuja hakkerointi-iskuja. – Olemme toteuttaneet kaikkiaan yli tuhat hakkerointia ja muuta tietoturvaprojektia koti- ja ulkomaisten yritysten internetsivustoihin sekä muihin verkkopalveluihin ja tietojärjestelmiin. Tällaisten hakkerointipyyntöjen määrä on moninkertaistunut viimeksi kuluneen vuoden aikana. Uhka on todellinen, sillä olemme löytäneet jonkinlaisia haavoittuvuuksia jokaisesta toimeksiannostamme, Ranta kertoo.
Bug Bounty -ohjelmat kasvavat
Myös yritysten ja yhteisöjen käynnistämien niin kutsuttujen Bug Bountyjen määrä on kasvanut merkittävästi. Organisaatiot luovat Bug Bountyillä pelisäännöt tietoturva-aukkojen etsimiseen sekä haavoittuvuuksien raportoijien palkitsemiseen. Suomessakin muun muassa Ylioppilaslautakunta ja verohallinto ovat järjestäneet tällaisia yhteisöllisiä tapoja toteuttaa tietoturvatestausta. Bug Bounty on erittäin hyvä keino haavoittuvuuksien kartoittamiseksi.
– Bug Bountystä saatavat tulokset ja hyödyt jäävät vaillinaisiksi, jos tulosten analysointiin ei paneuduta tarpeeksi. Olemme itse auttaneet jo useita yhtiöitä Bug Bounty -kampanjan koordinoinnissa ja analysoinnissa, ja kysyntä niidenkin suhteen näyttää vain kasvavan, Juho Ranta kertoo.