Bug Bountyn hyödyt tietoturvatestauksessa : tapaustutkimus - Lähitapiola

Bug Bountyn hyödyt tietoturvatestauksessa tapaustutkimus - Lähitapiola

Tämän tutkimuksen tarkoituksena oli tuottaa tieteellistä dataa Bug Bountyn hyödyistä ja haitoista yrityksille. Tutkimuksella haluttiin avata uutta tutkimuskenttää Bug Bountyn parissa ja rohkaista yrityksiä ottamaan Bug Bounty käyttöön. Tutkimuskysymyksiä tässä tutkimuksessa oli kolme kappaletta. Ne...

Täydet tiedot

Bibliografiset tiedot
Päätekijä: Jarnola, Miikka
Muut tekijät: Informaatioteknologian tiedekunta, Faculty of Information Technology, Informaatioteknologia, Information Technology, Jyväskylän yliopisto, University of Jyväskylä
Aineistotyyppi: Pro gradu
Kieli:fin
Julkaistu: 2018
Aiheet:
Bug Bounty
CIA
penetraatiotestaus
Tietojärjestelmätiede
Information Systems Science
601
joukkoistaminen
tietoturva
ohjelmistokehitys
haavoittuvuus
hakkerit
hakkerointi
Linkit: https://jyx.jyu.fi/handle/123456789/60760
Kuvaus
Yhteenveto:Tämän tutkimuksen tarkoituksena oli tuottaa tieteellistä dataa Bug Bountyn hyödyistä ja haitoista yrityksille. Tutkimuksella haluttiin avata uutta tutkimuskenttää Bug Bountyn parissa ja rohkaista yrityksiä ottamaan Bug Bounty käyttöön. Tutkimuskysymyksiä tässä tutkimuksessa oli kolme kappaletta. Ne olivat: Mitä hyötyjä LähiTapiolalle on ollut Bug Bountyn käyttöönotosta, mitä ongelmia ja riskejä Bug Bountysta on ollut LähiTapiolalle, sekä Mitä opittiin ja mitä vietiin käytäntöön? Tutkimus toteutettiin kirjallisuuskatsauksen ja empiirisen tutkimuksen yhdistelmänä. Tutkimustulokset olivat kohtalaisen yksimielisiä. Haastateltujen mukaan Bug Bounty on selvästi auttanut yritystä tuottamaan parempaa tietoturvaa sovelluksilleen. Hyötyinä nähtiin positiivinen julkisuus, vapautuneet resurssit ja haavoittuvuuksien konkreettinen vähentyminen. Suoranaisia ongelmia ei löytynyt. Riskit olivat potentiaalisia riskejä, jotka eivät koskaan toteutuneet. Nämä riskit olivat, negatiivinen julkisuus, palveluiden kaatuminen liiallisten käyttäjämäärien takia ja negatiivinen palaute. Nämä riskit nähtiin geneerisinä ja niiden todettiin pätevän lähes kaikkiin yrityksiin. Tutkimustulosten puitteissa tunnistettiin joitain haittoja, mitä Bug Bounty aiheutti LähiTapiolalle. Nämä haitat voivat aiheutua myös muille yrityksille. Niitä olivat palveluiden hitaus yhden päivän ajan Bug Bounty julkistamisesta, pitkä prosessi haavoittuvuuden löytymisen ja sen korjaamisen välillä, sekä kielimuuri, koska LähiTapiolan Bug Bounty on kansainvälinen. Opittuina asioina esille nousivat muun muassa uusi tapa suhtautua tietoturvaan ja sen parempi ymmärtäminen, ammatillisen osaamisen kehittyminen ja kansainvälisyyden aiheuttamat erot etiikan ja moraalin rajoissa. Empiirisen osion tulokset vastasivat hyvin pitkälti kirjallisuuskatsauksen aikana esitettyjä aiempien tutkimusten ja teorioiden tuloksia. Tämän perusteella tulosten voidaan todeta olevan käytettäviä jatkossa ja ne puoltavat yleistä linjaa, jonka mukaan Bug Bountysta on hyötyä yrityksille. Bug Bountyn käyttö on turvallista ja se tuo positiivista mainetta yrityksille. Tulokset ovat myös luotettavia.

Samankaltaisia teoksia