Hyvät hakkerit ovat selvässä enemmistössä, vakuuttaa haavoittuvuuksista maksava LähiTapiola - Tietoturva - Ilta-Sanomat

Tapaus Vastaamo toi esiin valkohattuiset hakkerit – mitä he oikein tekevät?

Yhteiskunnan parantaminen tietojärjestelmien heikkouksia penkomalla on saanut potkua Vastaamon kiristystapauksesta. Tällaisia ovat hyvät hakkerit.

Vastaamon tietomurto toi julkisuuteen hyvät eli valkohattuiset hakkerit. Nämä metsästävät verkkorikollisia ja auttavat yrityksiä etsimään tietoturva-aukkoja.­

5.11.2020 7:00

Sana hakkeri tuo monille mielikuvan rikollisesta, joka ei kaihda keinoja tietoja varastaakseen. Mielikuvaa vahvisti entuudestaan Vastaamon poikkeuksellisen julma kiristystapaus. Suomessakin on kuitenkin koko joukko niin sanottuja valkohattuisia hakkereita, jotka ovat vankasti hyvällä asialla.

Suuri osa valkohatuista toimii nimettömästi. Helsingin Sanomien mukaan (maksullinen) suomalaisten valkohattuhakkerien määrä on tuntematon. Raja hyvän ja pahan hakkerin välillä on usein häilyvä, ja toisinaan puhutaankin harmaahattuisista hakkereista. Kovan luokan ammattilaisia valkohattuja lienee Suomessa joitakin kymmeniä.

On harhaluulo, ettei oikealla toiminnalla voi saada rahaa verkossa. Eettisesti toimiva hakkeri voi lyödä rahoiksi laillisesti bug bounty -ohjelmissa. Niitä tarjoaviin yrityksiin saa murtautua luvan kanssa, ja hakkereille maksetaan rahaa raportoiduista ja sen jälkeen todennetuista tietoturvaongelmista. Ohjelmat ovat lähteneet liikkeelle ajatuksesta, että perinteiset prosessit tietoturvaongelmien löytämiseksi eivät riitä.

Hyvää hakkerointia on ajanut merkittävästi maailmalla HackerOne-yritys, joka toimii hakkerien ja palkkio-ohjelmia tarjoavien organisaatioiden solmukohtana.

HackerOnen toimitusjohtaja on suomalainen teknologiapioneeri Mårten Mickos. Hän arvioi HS:lle, että heidän noin 800 000 rekisteröityneestä käyttäjästään ehkä pari sataa on suomalaisia. Mickosin mukaan näillä ihmisillä voi olla osaamista, jota ei löydy edes keskusrikospoliisilta.

Moni hakkereista maailmalla antaa saamansa palkkiot hyväntekeväisyyteen. Suomessa puolestaan toimii kymmenien hyvien hakkerien verkosto KyberVPK, jota Mickos vertaa Lääkärit ilman rajoja -järjestöön.

– Valkohattuhakkereille kehittyy vahva moraalikäsitys. Heillä on usein yhteiskunnallinen aatemaailma, he ovat digimaailman partiolaisia, Mickos kuvailee HS:lle.

”Mätämunia on huomattavasti vähemmän”

Suomeen eettinen palkkionmetsästys tuli vuonna 2015. Ensimmäinen rahaa tietoturva-aukkojen löytämisestä tarjonnut suomalaisyritys oli vakuutusyhtiö LähiTapiola.

Hyvät hakkerit ovat enemmistössä ja jatkossa vielä entistäkin selvemmin niin, arvioi vakuutusyhtiö LähiTapiolan tietoturvajohtaja Leo Niemelä. Hänen mukaansa raukkamainen ja törkeä Vastaamon tapaus on aktivoinut valkohattuhakkereita entistä enemmän.

LähiTapiolan tietoturvajohtaja Leo Niemelä sanoo hyviä hakkereita olevan enemmän kuin pahoja.­

– Mätämunia on huomattavasti vähemmän kuin hyviksiä, johtaja sanoo lohdullisesti.

Hinnoilla ei kilpailla

LähiTapiola on tähän mennessä maksanut hakkereille noin 140 000 dollaria, eli noin 120 000 euroa ja on korjannut yli 260 hakkerien ilmoittamaa ongelmaa. Suurin yksittäinen korvaus on ollut 18 000 dollaria, joka maksettiin pari vuotta sitten Nixun Teemu Kääriäiselle. Tässä tapauksessa ikään kuin lankakerää avaamalla oli mahdollista siirtyä vakuutusyhtiön verkkopalvelussa paikkaan, josta pystyi varastamaan asiakastietoja.

Yleinen oletus on, että hakkerit ovat rahan perässä. Useimmat firmat eivät pysty kilpailemaan palkkioillaan verkon pimeiden markkinoiden hintojen kanssa. Mutta usein sillä ei ole väliä, koska hyviä hakkereita motivoi eniten hyvän tekeminen.

Toiminnan motiivit ei ole aina mustia tai valkoisia. Toisinaan puhutaan myös harmaahattuisista hakkereista.­

– Usein hakkerien motiivi on saada yhteiskunnasta turvallisempi, Niemelä kertoo kokemuksistaan.

Hyväntekeväisyyttä tukee se, että Suomessa hyvät hakkerit eivät melkein koskaan hakkeroi elättääkseen itsensä tai perheensä. Haavoittuvuuksia metsästetään, kun päivätyöltä ja muulta elämältä jää siihen aikaa. Aina on mahdollista, että mitään rahanarvoista ei heti löydy.

– Tässä kun maksetaan suoritteista, ei käytetystä ajasta.

Yhteistyö pelaa

Leo Niemelä kehuu suomalaisia hakkereita. LähiTapiola ei ole törmännyt harmaahattuihin, jotka keinottelisivat löytämillään aukoilla ja uhkaisivat myydä niitä rikollisille. Yhtiö ei kysy hatun väriä, vaan pyrkii tarjoamaan kenelle tahansa kanavan tietoturvaongelmista kertomiselle. Maksimipalkkio, jota ei ole vielä kertaakaan maksettu, on 50 000 dollaria.

Harhaluulo pelkän rahan perässä juoksemisesta voi haitata palkkio-ohjelmien yleistymistä Suomessa. Niemelä peräänkuuluttaa yrityksiä ja muita organisaatioita avaamaan rohkeasti oviaan hakkereille, jotka voivat äkätä kriittisen asiakastiedot vaarantavan haavoittuvuuden vaikkapa uudesta mobiilisovelluksesta ennen sen julkaisua.

LähiTapiolan jälkeen vastaavia palkkio-ohjelmia ovat perustaneet esimerkiksi S-pankki, Elisa, Digi- ja väestötietovirasto ja Verohallinto.

Myös LähiTapiola on mukana HackerOnen verkostossa. Tietoturvajohtaja Niemelän mukaan he eivät olisi edes pystyneet käynnistämään palkkio-ohjelmaansa ilman HackerOnea.

– Se toimii todella hyvin.

LähiTapiolaa rohkaisi mukaan myös Mickosin aloittaminen HackerOnen toimitusjohtajana vuonna 2015.

Osion tuoreimmat

Luitko jo nämä?