cyberataki regulacje sektor finansowy

Artykuł

Cyberryzyko dla sektora finansowego - realne możliwości testowania odporności banków na cyberataki

Czerwiec, 2018 r.

W maju Europejski Bank Centralny (EBC) opublikował ogólnounijne zasady ramowe dotyczące przeprowadzania etycznych testów bezpieczeństwa typu red teaming – czyli symulowanych cyberataków na własną organizację na podstawie analizy informacji o zagrożeniach (Threat Intelligence Based Ethical Red Teaming, w skrócie TIBER-EU).

Jednym z priorytetów organizacji finansowych jest zapewnienie bezpieczeństwa swoich zasobów i zapewnienie odporności na cyberataki. Aby pomóc zrealizować te cele, w 2014 roku Bank of England zdefiniował podejście do testów bezpieczeństwa opartych o analizę zagrożeń dla sektora finansowego w Wielkiej Brytanii, które miało na celu prowadzenie bardziej realistycznych (niż typowe testy penetracyjne) testów bezpieczeństwa, które odzwierciedlałby metody działania cyberprzestępców - w tym ukierunkowane ataki typu APT (Advanced Persistant Threat). Na tej podstawie utworzono ramy CBEST, które definiują zasady realizacji testów opartych o scenariusze ataków i analizę działania atakującego. W ślad za takim podejściem, podmioty regulujące rynki finansowe m.in. w Stanach Zjednoczonych, Honk Kongu i Holandii zaczęły pracować nad opracowaniem podobnych zasad, aby bardziej skutecznie testować odporność instytucji finansowych na cyberataki i budować ich bezpieczeństwo.

TIBER-EU to pierwszy model, który został stworzony w celu określenia podejścia do testowania odporności na cyberataki dla sektora finansowego - wprowadzony na skalę całej unii. TIBER-EU nie wiąże się z wymogiem krajowego wdrożenia w ramach krajowych systemów cyberbezpieczeństwa. TIBER-EU określa ramy, które mogą być wykorzystane przez lokalnych regulatorów rynku / danego sektora dla zdefiniowania własnych wymogów w tym zakresie.  TIBER-EU został opracowany z myślą o organach krajowych i europejskich oraz podmiotach, które stanowią krytyczną infrastrukturę państwa (w szczególności sektor finansowy) w tym również o podmiotach prowadzących działalność transgraniczną a przez to podlegających kompetencjom kilku różnych organów regulacyjnych.

TIBER-EU podobnie jak model CBEST, model holenderski TIBER-NL i wymienione, bazuje na testach typu red teaming, które na podstawie prowadzonej analizy zagrożeń, odzwierciedlają profil atakującego i jego sposób działania (tzw.  TTP  - Tactics, Techniques and Procedures.  Testowanie poszczególnych scenariuszów ataku odbywa się bez wiedzy o organizacji (black box) a atakujący zdobywają ją poprzez swoje działania - na podstawie prowadzonego rekonesansu lub eskalacją ataku. Red teaming w realny sposób testuje odporność organizacji, ponieważ o testach wie tylko ograniczone grono pracowników a same testy prowadzone są na „żywym organizmie” – wykorzystywanej infrastrukturze i systemach firmy. W związku z tym, testy takie muszą być realizowane według określonej procedury postepowania, z wymaganą jakością oraz przez wykwalifikowany i doświadczoney zespół.

Testy red teaming mają na celu określać techniczne i organizacyjne słabości organizacji, pomagają również potwierdzić zasadność wdrażanych środków bezpieczeństwa. Mogą dodatkowo stanowić istotny element pomiaru obecnej dojrzałości organizacji, i tym samym określać priorytety dla krótkoterminowych projektów bezpieczeństwa lub w dłuższym horyzoncie - programów cyberbezpieczeństwa oraz planowanych inwestycji. Wyniki testów pozwalają także na ocenę efektywności środków prewencyjnych, wykrywania i reagowania na potencjalne cyberataki a także ocenić świadomość i wyszkolenie pracowników oraz personelu bezpieczeństwa. Testy nie kończą się wynikiem pozytywnym lub negatywnym.

  • TIBER-EU to pierwszy europejski wzorzec ramowy kontrolowanych ataków hakerskich wprowadzony w celu testowania i weryfikacji odporności podmiotów rynku finansowego.
  • TIBER-EU wykorzystuje red teaming jako metodę testowania bezpieczeństwa, w szczególności w zakresie odporności na  ataki typu APT.
  • Ramy TIBER-EU umożliwiają testowanie podmiotów prowadzących działalność transgraniczną pod kontrolą kilku organów regulacyjnych.  
  • Celem TIBER-EU jest pozyskanie wiedzy przez organizację i sektor finansowy na temat własnych możliwości ochrony, wykrywania i reagowania, a w konsekwencji - pomoc w zapewnieniu odporności na potencjalne cyberataki.
     

Wprowadzenie przez Europejski Bank Centralny ram dla prowadzenia testów bezpieczeństwa (TIBER-EU), polegających na symulacji cyberataków zgodnie z modus operandi cyberprzestępców, stanowi istotny krok w budowaniu spójnego systemu bezpieczeństwa i odporności sektora finansowego. Testy typu red teaming, na których oparty jest TIBER-EU, bardziej realistycznie odzwierciedlają zagrożenia w cyberprzestrzeni i w związku z tym,  pomagają instytucjom finansowym skuteczniej określać priorytety w zakresie zabezpieczenia przed cyberatakami, wzmacniać środki wykrywania i reagowania. W szczególności dotyczy to wyrafinowanych ataków typu Advanced Persistent Threat (tłumacząc dosłownie: zaawansowane trwałe zagrożenia), które są jednym z najpoważniejszych zagrożeń dla sektora finansowego, za którymi stoją  międzynarodowe grupy przestępcze, grupy inspirowane lub sponsorowane przez służby specjalne różnych państw – mówi Marcin Ludwiszewski, Lider ds. Cyberbezpieczeństwa, Deloitte.

Raport: Cyberryzyko dla sektora finansowego

Dowiedz się więcej, przejdź na stronę raportu
Czy ta strona była pomocna?