L’Agence d’information numérique et démographique (DVV) a entamé pour la troisième fois une coopération avec des pirates informatiques. Cette fois, la cible concerne une partie du service Web Suomi.fi, des services de certificats et du système d’information sur la population. L’accord stipule que si les pirates suivent les règles convenues, l’agence ne signalera pas leurs actions à la police.
Les pirates informatiques sont souvent considérés comme des criminels qui s’introduisent dans les systèmes d’information afin de mettre la main sur des informations qui ne leur appartiennent pas ou de causer des dommages, par exemple au moyen de logiciels malveillants.
Cependant, cette description ne s’applique qu’aux hackers dits au chapeau noir.
Les hackers au chapeau blanc sont un autre pays. Ils recherchent les vulnérabilités des systèmes d’information avec autorisation et communiquent leurs découvertes aux administrateurs du système d’information. En outre, vous pouvez obtenir de leur part des informations précieuses sur la manière de mieux vous protéger, par exemple, des chapeaux noirs employés par les organisations criminelles internationales.
L’expertise des hackers au chapeau blanc dans le développement de divers systèmes d’information et l’amélioration de la sécurité de l’information est également utilisée en Finlande.
Anu Kivistö, Pasi Liesimaa
Une récompense pouvant aller jusqu’à 30 000 euros
Les pirates informatiques participant au programme de récompense des vulnérabilités de l’Agence d’information sur le numérique et la population, qui a débuté cette semaine, recherchent les failles de sécurité des informations, par exemple dans le service Suomi.fi appartenant à DVV.
Vous pouvez toujours postuler pour le programme d’un an Sur le site Hackrf. Hackrfi est une société spécialisée dans l’édition et la gestion de programmes de récompenses de vulnérabilité.
Ceux qui découvrent des failles de sécurité sont récompensés de 100 à 30 000 euros, selon l’importance de la découverte. Selon Hackrf, la récompense la plus élevée peut être payée, par exemple, pour une découverte révélant une vulnérabilité ou une chaîne de vulnérabilités, qui peuvent être exploitées pour accéder à une quantité importante de données personnelles des utilisateurs.
« Expériences de coopération très bonnes »
Responsable de la sécurité informatique de l’Agence d’information sur le numérique et la population Pekka Ristimäki affirme dans le communiqué de l’agence que la fiabilité des systèmes d’information est de plus en plus importante à mesure que les fonctions de la société deviennent numériques.
– Cette coopération complète très bien nos tests d’applications habituels et permet de tester et de développer plus efficacement la sécurité des services numériques, déclare Ristimäki dans le communiqué de presse.
Il s’agit déjà du troisième programme DVV similaire.
– Les expériences de coopération ont été très bonnes, dit Ristimäki.
Ces règles doivent être respectées
Les pirates participant au programme acceptent de suivre des règles strictes sous la menace d’une action officielle. La police n’est contactée que si la sécurité de la personne est menacée ou si les informations sont utilisées à mauvais escient.
Les règles stipulent entre autres que si un pirate informatique profite d’une vulnérabilité et obtient des informations qu’il n’aurait pas obtenues autrement, il doit garder ces informations secrètes. Les données ne peuvent pas non plus être transférées du serveur vers un autre endroit.
Si l’activité du pirate informatique menace la sécurité de l’individu plus que nécessaire en raison de la détection de la vulnérabilité, il sera expulsé du programme. Si nécessaire, une telle activité peut également être signalée à la police.
Toutes les lacunes en matière de sécurité de l’information doivent être signalées via le canal de signalement officiel et aucun résultat ne peut être publié ailleurs. Le pirate informatique doit également s’assurer que ses « recherches sur la sécurité des données » ne nuisent pas de manière significative à l’utilisation du service.
L’Agence d’information numérique et démographique s’engage en revanche à ne pas adresser de demandes d’enquête à la police concernant les mesures prises conformément aux règles du programme, et à ne pas exiger de sanctions pénales contre les auteurs.
– L’abonné accorde aux testeurs de sécurité de l’information participant à ce programme le droit d’effectuer des activités et des mesures de tests de vulnérabilité sur le système cible de l’abonné de ce programme, ce qui pourrait être interprété comme une tentative de piratage de données ou de perturbation du trafic de données, indiquent les conditions du programme. .
Sources: Agence d’Information Numérique et Population, Hackrfi, Kaspersky