Artykuł
Cyberryzyko dla sektora finansowego - realne możliwości testowania odporności banków na cyberataki
Czerwiec, 2018 r.
W maju Europejski Bank Centralny (EBC) opublikował ogólnounijne zasady ramowe dotyczące przeprowadzania etycznych testów bezpieczeństwa typu red teaming – czyli symulowanych cyberataków na własną organizację na podstawie analizy informacji o zagrożeniach (Threat Intelligence Based Ethical Red Teaming, w skrócie TIBER-EU).
Jednym z priorytetów organizacji finansowych jest zapewnienie bezpieczeństwa swoich zasobów i zapewnienie odporności na cyberataki. Aby pomóc zrealizować te cele, w 2014 roku Bank of England zdefiniował podejście do testów bezpieczeństwa opartych o analizę zagrożeń dla sektora finansowego w Wielkiej Brytanii, które miało na celu prowadzenie bardziej realistycznych (niż typowe testy penetracyjne) testów bezpieczeństwa, które odzwierciedlałby metody działania cyberprzestępców - w tym ukierunkowane ataki typu APT (Advanced Persistant Threat). Na tej podstawie utworzono ramy CBEST, które definiują zasady realizacji testów opartych o scenariusze ataków i analizę działania atakującego. W ślad za takim podejściem, podmioty regulujące rynki finansowe m.in. w Stanach Zjednoczonych, Honk Kongu i Holandii zaczęły pracować nad opracowaniem podobnych zasad, aby bardziej skutecznie testować odporność instytucji finansowych na cyberataki i budować ich bezpieczeństwo.
TIBER-EU to pierwszy model, który został stworzony w celu określenia podejścia do testowania odporności na cyberataki dla sektora finansowego - wprowadzony na skalę całej unii. TIBER-EU nie wiąże się z wymogiem krajowego wdrożenia w ramach krajowych systemów cyberbezpieczeństwa. TIBER-EU określa ramy, które mogą być wykorzystane przez lokalnych regulatorów rynku / danego sektora dla zdefiniowania własnych wymogów w tym zakresie. TIBER-EU został opracowany z myślą o organach krajowych i europejskich oraz podmiotach, które stanowią krytyczną infrastrukturę państwa (w szczególności sektor finansowy) w tym również o podmiotach prowadzących działalność transgraniczną a przez to podlegających kompetencjom kilku różnych organów regulacyjnych.
TIBER-EU podobnie jak model CBEST, model holenderski TIBER-NL i wymienione, bazuje na testach typu red teaming, które na podstawie prowadzonej analizy zagrożeń, odzwierciedlają profil atakującego i jego sposób działania (tzw. TTP - Tactics, Techniques and Procedures. Testowanie poszczególnych scenariuszów ataku odbywa się bez wiedzy o organizacji (black box) a atakujący zdobywają ją poprzez swoje działania - na podstawie prowadzonego rekonesansu lub eskalacją ataku. Red teaming w realny sposób testuje odporność organizacji, ponieważ o testach wie tylko ograniczone grono pracowników a same testy prowadzone są na „żywym organizmie” – wykorzystywanej infrastrukturze i systemach firmy. W związku z tym, testy takie muszą być realizowane według określonej procedury postepowania, z wymaganą jakością oraz przez wykwalifikowany i doświadczoney zespół.
Testy red teaming mają na celu określać techniczne i organizacyjne słabości organizacji, pomagają również potwierdzić zasadność wdrażanych środków bezpieczeństwa. Mogą dodatkowo stanowić istotny element pomiaru obecnej dojrzałości organizacji, i tym samym określać priorytety dla krótkoterminowych projektów bezpieczeństwa lub w dłuższym horyzoncie - programów cyberbezpieczeństwa oraz planowanych inwestycji. Wyniki testów pozwalają także na ocenę efektywności środków prewencyjnych, wykrywania i reagowania na potencjalne cyberataki a także ocenić świadomość i wyszkolenie pracowników oraz personelu bezpieczeństwa. Testy nie kończą się wynikiem pozytywnym lub negatywnym.
- TIBER-EU to pierwszy europejski wzorzec ramowy kontrolowanych ataków hakerskich wprowadzony w celu testowania i weryfikacji odporności podmiotów rynku finansowego.
- TIBER-EU wykorzystuje red teaming jako metodę testowania bezpieczeństwa, w szczególności w zakresie odporności na ataki typu APT.
- Ramy TIBER-EU umożliwiają testowanie podmiotów prowadzących działalność transgraniczną pod kontrolą kilku organów regulacyjnych.
- Celem TIBER-EU jest pozyskanie wiedzy przez organizację i sektor finansowy na temat własnych możliwości ochrony, wykrywania i reagowania, a w konsekwencji - pomoc w zapewnieniu odporności na potencjalne cyberataki.
Wprowadzenie przez Europejski Bank Centralny ram dla prowadzenia testów bezpieczeństwa (TIBER-EU), polegających na symulacji cyberataków zgodnie z modus operandi cyberprzestępców, stanowi istotny krok w budowaniu spójnego systemu bezpieczeństwa i odporności sektora finansowego. Testy typu red teaming, na których oparty jest TIBER-EU, bardziej realistycznie odzwierciedlają zagrożenia w cyberprzestrzeni i w związku z tym, pomagają instytucjom finansowym skuteczniej określać priorytety w zakresie zabezpieczenia przed cyberatakami, wzmacniać środki wykrywania i reagowania. W szczególności dotyczy to wyrafinowanych ataków typu Advanced Persistent Threat (tłumacząc dosłownie: zaawansowane trwałe zagrożenia), które są jednym z najpoważniejszych zagrożeń dla sektora finansowego, za którymi stoją międzynarodowe grupy przestępcze, grupy inspirowane lub sponsorowane przez służby specjalne różnych państw – mówi Marcin Ludwiszewski, Lider ds. Cyberbezpieczeństwa, Deloitte.