Nationalbanken og virksomheder i den finansielle sektor har i tæt samarbejde etableret et red team-testprogram, TIBER-DK. De enkelte test skaber konkret læring om, hvordan avancerede cybertrusler kan imødegås. Formålet er at styrke cyberrobustheden for derved at fremme den finansielle stabilitet i Danmark.
TIBER står for Threat Intelligence-Based Ethical Red-teaming og er overordnet udviklet af Den Europæiske Centralbank, ECB. TIBER-EU er betegnelsen for det fælleseuropæiske rammeværk, mens TIBER-DK henviser til den danske nationale implementering. TIBER-DK blev indført i december 2018 med test fra januar 2019. Nationalbanken var blandt de første centralbanker i Europa til at etablere et TIBER-program og gennemføre test.
EU-forordningen DORA, Digital Operational Resilience Act, etablerer trusselsbaserede test, TLPT, som lovpligtige for væsentlige finansielle virksomheder i EU. Nationalbanken er myndighed for TLPT i Danmark, og udpeger de virksomheder, som skal udføre test. Nationalbanken er ansvarlig for TIBER-DK-programmet og faciliterer gennemførelsen af test i virksomhederne.
I TIBER-DK-implementeringen er kravene til TLPT under DORA indbygget. Dermed vil gennemførsel af en TIBER-DK-test gælde som gennemførsel af en DORA TLPT.
Sådan foregår en TIBER-test
I en TIBER-test skal virksomheden identificere, forhindre og reagere på avancerede cyberangreb for derigennem at lære mere om, hvordan virksomheden beskytter samfundskritiske aktiviteter mod cyberangreb og undgår, at cyberangrebene forårsager skade.
Cyberangrebene er baseret på konkrete trusler identificeret af en leverandør af trusselsefterretninger, så testen simulerer faktiske taktikker, teknikker og procedurer fra aktive cybergrupper.
Med udgangspunkt i skræddersyede scenarier efterligner etiske hackere (også kaldet red team testers) de aktive cybergrupper og forsøger at angribe samfundskritiske funktioner og systemer i virksomheden.
I testen indgår et control team, som er en lille gruppe i virksomheden med kendskab til testen, der står for planlægning og koordinering. Blue teamet består af medarbejdere i virksomheden, som skal stoppe cyberangrebene og forhindre skade. Blue teamet er uvidende om, at testen finder sted.
Testene foregår i faktisk kørende produktionsmiljøer, dvs. i de kritiske systemer, som til daglig understøtter aktiviteten i den finansielle sektor. Både i forberedelsen og gennemførelsen af testen er der fokus på identifikation og afdækning af risici, så de samfundskritiske systemer ikke påvirkes under testen.
Realismen i testene gør resultaterne håndgribelige og effektfulde. I testene ses konkrete, avancerede cyberangreb udspillet fra start til slut. Læringen er desuden unik, da testene giver mulighed for at komme bredt rundt i de kritiske systemer, den underliggende infrastruktur og de understøttende processer.
Læringen forankres i virksomheden bl.a. gennem replay og purple teaming aktiviteter, hvor blue team og red team testers gennemspiller angrebene og alternative metoder.
TIBER-DK-implementering
Dokumenterne, som anvendes i TIBER-DK- implementeringen, er tilgængelige nedenfor. Dokumentationen består dels af nøgledokumenterne ’TIBER-DK Implementation Document’, som beskriver TIBER-DK programmet og går i dybden med testprocessen, samt ’TIBER-DK Test Process Overview’, som giver et visuelt overblik over testforløbet. I tillæg til disse findes en række vejledende dokumenter og skabeloner, der anvendes i TIBER-DK-testprocessen. Desuden anvendes TIBER-EU-dokumenter i TIBER-DK, og disse er tilgængelige på ECB’s hjemmeside.