Bug bounty -ohjelmat osana julkishallinnon tietoturvaa
Kuisma, Maaria (2020)
Lapin yliopisto
2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020061644585
https://urn.fi/URN:NBN:fi-fe2020061644585
Tiivistelmä
Tässä tutkimuksessa perehdytään bug bounty -ohjelmien käyttämiseen julkishallinnossa. Tutkimuksessa selvitetään, mitä bug bounty -ohjelmat ovat, miten ne toimivat ja mitä hyötyjä ja riskejä niiden käyttämiseen liittyy. Tämän ohella perehdytään tietoturvaan teoreettisesta näkökulmasta, sekä julkishallinnon ja tietoturvan väliseen yhteyteen. Lisäksi käydään läpi tieto- ja viestintärikoksia koskevaa lainsäädäntöä peilaten sitä ohjelmiin osallistumiseen ja ohjelmien järjestämiseen.
Tutkimuksen tarkoituksena on selvittää, millä perusteilla bug bounty -ohjelmien järjestäminen ja niihin osallistuminen kotimaisessa julkishallinnossa ovat Suomen lain mukaisia. Lisäksi tarkoituksena on vastata kysymykseen, kuka päättää ohjelman käynnistämisestä julkishallinnossa. Taustatavoitteena on myös tuoda bug bounty -ohjelmia tai julkishallinnon tietojärjestelmiin liittyviä tietoturvaliitännäisiä yksityiskohtia yleisesti ottaen tiettävämmäksi juridiikan kentällä.
Tutkimus edustaa oikeusinformatiikan tutkimusalaa. Oikeudenaloista tutkimus voidaan asemoida informaatio-oikeuden ja ICT-oikeuden rajapinnalle. Näitä kolmea yhdistää kiinnostus taloustieteellistä näkökulmaa kohtaan, mistä syystä tutkimuksessa on perehdytty ohjelmien järjestämiseen myös taloustieteen perspektiivistä. Tutkimuksen rikosoikeudellista osiota sen sijaan on lähestytty oikeusdogmatiikan näkökulmasta. Lähdemateriaali koostuu suurelta osin ICT-alan bug bounty -ohjelmia tai muuta tietoturvan testausta käsittelevistä artikkeleista, sillä aihetta on lähestytty juridiikan näkökulmasta vain vähäisesti myös kansainvälisellä tasolla. Erityisesti tutkimuksen rikosoikeudellisen analyysin kohdalla myös Verohallinnon Tulorekisteriä koskevan ohjelman sääntöjä on käytetty lähteenä, rikoslain kriminalisointeja näihin sääntöihin peilattaessa.
Kuten jo tutkimuksen otsikosta käy ilmi, bug bounty -ohjelmat voivat olla osa julkishallinnossa käytettävien tietojärjestelmien tietoturvaa – yksinään ne eivät riitä, vaan tietoturvan ylläpidossa ja testaamisessa on käytettävä myös muita menetelmiä. Tietojärjestelmän tuotantoympäristöön kohdistuvan bug bounty -ohjelman järjestäminen ja ohjelmaan osallistuminen on pääsääntöisesti voimassaolevan lainsäädännön mukaista toimintaa, tiettyjen rikosoikeudellisten kriminalisointien kohdalla ohjelmaan osallistuva henkilö saattaa kuitenkin syyllistyä rikokseen. Erityisesti on korostettava ohjelman sääntöjen merkitystä loukatun suostumuksen lähteenä: ohjelmien sääntöjen laatimisen kohdalla tulisi vastaisuudessa kiinnittää tarkemmin huomiota juridisiin yksityiskohtiin.
Tutkimuksen tarkoituksena on selvittää, millä perusteilla bug bounty -ohjelmien järjestäminen ja niihin osallistuminen kotimaisessa julkishallinnossa ovat Suomen lain mukaisia. Lisäksi tarkoituksena on vastata kysymykseen, kuka päättää ohjelman käynnistämisestä julkishallinnossa. Taustatavoitteena on myös tuoda bug bounty -ohjelmia tai julkishallinnon tietojärjestelmiin liittyviä tietoturvaliitännäisiä yksityiskohtia yleisesti ottaen tiettävämmäksi juridiikan kentällä.
Tutkimus edustaa oikeusinformatiikan tutkimusalaa. Oikeudenaloista tutkimus voidaan asemoida informaatio-oikeuden ja ICT-oikeuden rajapinnalle. Näitä kolmea yhdistää kiinnostus taloustieteellistä näkökulmaa kohtaan, mistä syystä tutkimuksessa on perehdytty ohjelmien järjestämiseen myös taloustieteen perspektiivistä. Tutkimuksen rikosoikeudellista osiota sen sijaan on lähestytty oikeusdogmatiikan näkökulmasta. Lähdemateriaali koostuu suurelta osin ICT-alan bug bounty -ohjelmia tai muuta tietoturvan testausta käsittelevistä artikkeleista, sillä aihetta on lähestytty juridiikan näkökulmasta vain vähäisesti myös kansainvälisellä tasolla. Erityisesti tutkimuksen rikosoikeudellisen analyysin kohdalla myös Verohallinnon Tulorekisteriä koskevan ohjelman sääntöjä on käytetty lähteenä, rikoslain kriminalisointeja näihin sääntöihin peilattaessa.
Kuten jo tutkimuksen otsikosta käy ilmi, bug bounty -ohjelmat voivat olla osa julkishallinnossa käytettävien tietojärjestelmien tietoturvaa – yksinään ne eivät riitä, vaan tietoturvan ylläpidossa ja testaamisessa on käytettävä myös muita menetelmiä. Tietojärjestelmän tuotantoympäristöön kohdistuvan bug bounty -ohjelman järjestäminen ja ohjelmaan osallistuminen on pääsääntöisesti voimassaolevan lainsäädännön mukaista toimintaa, tiettyjen rikosoikeudellisten kriminalisointien kohdalla ohjelmaan osallistuva henkilö saattaa kuitenkin syyllistyä rikokseen. Erityisesti on korostettava ohjelman sääntöjen merkitystä loukatun suostumuksen lähteenä: ohjelmien sääntöjen laatimisen kohdalla tulisi vastaisuudessa kiinnittää tarkemmin huomiota juridisiin yksityiskohtiin.
Kokoelmat
- Pro gradut [3930]