TIBER-EU

«Framework for Threat Intelligence-based Ethical Red Teaming» eller TIBER-EU, er et europeisk rammeverk ment for standardisert testing av cybersikkerhet i finansiell sektor.

Skrevet av: Maria Jinert Johansson

TIBER-rammeverket berører aktører som utgjør en del av kritisk finansiell infrastruktur, med hensikt å gjøre sentrale aktører i finansiell sektor bedre rustet til å oppdage, beskytte seg mot og håndtere alvorlige cyberangrep. Dersom aktører i betalingssystemet utkontrakterer driften av sine systemer til noen få IKT-leverandører, kan man oppleve en konsentrasjonsrisiko. Svikt hos sentrale leverandører kan ramme viktige deler av betalingssystemet og andre sentrale samfunnsfunksjoner.

TIBER kan styrke cybersikkerheten i finansiell sektor og fremme finansiell stabilitet. Det er fortsatt under vurdering om rammeverket vil være egnet for testing av cybersikkerhet i det norske betalingssystemet. Norges Bank og Finanstilsynet, som i dag fører tilsyn med finanssektoren, er blant aktørene som deltar i vurderingen.

Målet med TIBER-EU er å øke motstandskraften mot en cybertrussel hos spesifikke aktører og i sektoren generelt. Dette kan man gjøre ved å standardisere og koordinere aktørenes gjennomføring av trusselbaserte red team-øvelser, støtte samarbeid over landegrenser og skape en kultur av resultatdeling mellom aktører, myndigheter og land.

Trusselbasert red team-øvelse innebærer at testen blir utført med samme taktikk, teknikk og prosedyre (TTPs) likt et ekte angrep mot en aktør i sektoren. Testen fokuserer på mennesker, prosesser og teknikker for å vurdere hvordan virksomheten unngår, oppdager og handler mot en trussel.

I praksis gjennomføres TIBER red team-øvelser i tre obligatoriske faser:

  • Fase 1 – Forberedelse: en test blir lansert, hvem som har ansvar for testen internt blir avklart, scope blir definert og godkjent, og avtale skrives med de som skal gjennomføre red team-øvelsen.
  • Fase 2 – Testing: en målrettet trussel-rapport blir produsert, som spesifiserer trussel-scenarioet for testen og relevant informasjon om virksomheten som skal testes. Rapporten brukes av red teamet for å utvikle angrepsscenarier og for å gjennomføre en trusselbasert red-test mot kritiske systemer, mennesker og prosesser.
  • Fase 3 – Avslutte testen: red team sammenstiller en testrapport, som inneholder informasjon om hvordan testen ble utført, hva som ble funnet og hva som ble observert. Hvis det er nødvendig kan rapporten også inneholde forslag på områder som kan forbedres med tiltak slik som tekniske kontroller, retningslinjer og prosedyrer, trening og bevissthet. Hendelsene skal gjennomgås og de funnene som er blitt oppdaget skal diskuteres. Basert på funnene fra testen skal man skape en gjenopprettingsplan med innspill fra veileder og/eller tilsynsmann. De viktigste funnene fra testen deles med relevante myndigheter, slik som Finanstilsynet.

Våre konsulenter har lang erfaring med sikkerhetstesting og red team-øvelser, og kunnskap om hvordan man skal gjennomføre en test basert på TIBER-rammeverket. 

Er din virksomhet en av de finansielle aktørene som berøres av TIBER-EU? Ønsker du videre veiledning, samt å få en red team-test gjennomført? Da er du velkommen til å kontakte Watchcom.

Les adm. direktør i Watchcom, Anette Roll Richardsen, sitt innlegg om TIBER-EU i Finansavisen.