Danske banker tvinges nu til at gennemgå omfattende it-sikkerhedstjek

Illustration: Andrew Rybalko | Bigstock
Der er endnu ingen, der har prøvet at gennemgå TIBER-proceduren i Danmark, men de første banker er blevet pålagt at gå i gang med testen, der ikke er helt ufarlig.

De finansielle institutioner, herunder bankerne, er en del af Danmarks kritiske infrastruktur. Derfor vil Nationalbanken over det næste år tvinge sektoren til systematisk at gennemgå den systematiske TIBER-procedure, der sætter bankernes it-sikkerhed under pres.

»Bankerne har ikke noget valg. De skal tage testen, hvis Nationalbanken beder dem om det,« siger Philippe Roy, der er sikkerhedskonsulent hos Fort Consult. Inden han fik dette job, arbejdede han hos Nordic Financial CERT, hvor han også arbejdede med it-sikkerhed i finanssektoren. Derudover har han arbejdet med sikkerhed i både Nordea og Danske Bank

Fort Consult er et af de sikkerhedsfirmaer, der håber på at få en bid af kagen, når bankerne skal vælge, hvilke firmaer der skal teste deres systemer. Som udgangspunkt er der ikke lagt op til, at Nationalbanken selv skal testes efter metoden.

»Om de vil tage deres egen medicin også, er op til dem selv,« siger Philippe Roy.

Risikabel test

Testen er ikke helt ufarlig, idet den foregår i et live-miljø. Så hvis noget går galt, kan det have indflydelse på bankdriften. Som en del af TIBER-testen skal et hold etiske, gode hackere, et såkaldt red team, prøve at angribe bankerne.

»Et red team bør ikke gå ind og smadre det angrebne system med en forhammer, men ting kan gå galt,« siger Philippe Roy.

»Hvis man kan få banken ned at ligge, så kommer den ned at ligge, og derfor skal det nok ikke foregå, når banken er travl eller mellem jul og nytår, hvor ingen er på arbejde,« siger Philippe Roy, der fortæller, at man derfor skal tænke over, hvornår man placerer en red team-øvelse.

Todelt test

TIBER-DK-standarden er kraftigt inspireret af TIBER-EU-standarden, der består af to dele: en risikorapport og en omfattende penetrationstest.

Hvis banken ønsker det, eller måske allerede har en risikorapport fra tidligere, kan den vælge at dele TIBER-DK-testen op mellem to sikkerhedsfirmaer: Det ene firma leverer rapporten, mens det andet står for penetrationstesten.

Red team-øvelsen i sig selv tager 12 uger, mens risikorapporten, også kendt som Threat Intelligence-rapporten (TI), tager omkring to måneder at lave.

Ingen Wild West

I TI’en beskrives en række sandsynlige scenarier og svagheder, som banken skal være opmærksomme på, og det er disse scenarier, der er omdrejningspunktet i den praktiske penetrationstest, der udgør den anden halvdel af TIBER-standarden.

»Det er ikke bare Wild, Wild West, der er en dialog om, hvilke scenarier der skal testes,« siger Philippe Roy, der ikke ønsker at gå i detaljer med, hvad testen koster.

Han fortæller dog, at prisen varierer med tiden, en test tager. Varigheden afhænger af bankens størrelse og kompleksitet. Han kan oplyse, at processen i alt tager et halvt til et helt år med omkring fem mand på fuld tid.

Så helt billig er en TIBER-test næppe.

Kræver forberedelse

Hvis man som virksomhed ikke føler sig klar til at blive udsat for et risikabelt red team-hackingforsøg, kan man lave en skrivebordsøvelse med nøglemedarbejdere, hvor man snakker eventuelle hacking-scenarier igennem, forklarer Philippe Roy.

På den måde kan man vurdere, hvor sikkerhedsmoden man er som virksomhed, og blive mere klar til TIBER-testen, der er designet til at lægge et relativt stort pres på virksomhedens it-selvforsvar.

Denne manøvre bør man især foretage, hvis man som bank eller virksomhed ikke har prøvet red team-øvelser før eller har udliciteret dem førhen.

Altafgørende white team

Samtidig er det vigtigt at identificere, hvem der skal indgå i et white team - et hold af betroede medarbejdere, der som de eneste ved, at der er et angreb på vej eller i gang.

De må selvfølgelig ikke sige noget til deres medarbejdere, men hvis en medarbejder i banken forsøger at eskalere situationen unødigt, ved for eksempel at involvere politiet, er det vigtigt, der er et white team til at holde styr på situationen, påpeger Philippe Roy.

Derudover skal et white team være i kontakt med angriberne.

»Angriberne vil kontakte white teamet, hvis de kommer ind i systemet, og sige: ‘Det her bør I kunne se. Kan I se os?’,« siger Philippe Roy.

»Hvis det ikke er tilfældet, kan angriberne prøve at lave mere og mere larm og dermed teste, hvor god den pågældende bank er til at detektere indbrud i sine systemer.«

White teamet er også vigtigt i tilfælde af, at der er et andet angreb i gang samtidig med testen. I så fald skal testen indstilles, indtil den anden trussel er håndteret, fortæller sikkerhedskonsulenten.

Første gang i Danmark

Ingen sikkerhedsfirmaer har lavet en TIBER-test i Danmark endnu, og det er uvist, hvor ofte bankerne kan forventes at gentage den. Det bliver dog næppe en engangsting, forudser Philippe Roy.

»Efter undersøgelserne snakker banken og Nationalbanken sammen om resultaterne, og det vil være op til bankerne, om de vil give Nationalbanken rapporterne. Det er ret usandsynligt, at de vil offentliggøre dem,« fortæller Philippe Roy.

Rapporterne vil nemlig sandsynligvis indeholde en eller flere kompromitterende detaljer, der beskriver svagheder i bankens system. Også selvom banker generelt har ret godt styr på it-sikkerhed, forklarer Philippe Roy.

»Der er to slags virksomheder: dem, der er hacket, og dem, der ikke ved, de er hacket. Jeg har ikke set en eneste red team-øvelse, der ikke fandt en fejl i sikkerheden,« siger Philippe Roy.

»Det allervigtigste, når man laver de her tests, er næsten at handle på resultaterne efterfølgende, ellers var det hele spild af tid og penge,« slutter konsulenten.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kjeld Flarup Christensen

Det her lyder som ehnver system administrators drøm (og mareridt) af en test at få lov til at udføre.

Som det kan læses af teksten, så er det en alvorlig test som kan betyde driftsstop. Derfor får man alligevel aldrig lov til at lave sådan en test for ledelsen.

Om det så er godt at det nu kommer som et krav synes jeg er svært at sige. Det ville have været bedre ned en ledelse som tog IT seriøst.

  • 2
  • 0
Philippe Roy

Selve testen er der ikke den store forskel på.

EU har lavet et framework, som de enkelte lande så tager ibrug og tilretter så det passer med de lokale aktører og deres systemer, disse ændringer er primært på processer.

Nationalbanken har sammen med aktøerne lagt stor vægt på at resultaterne skal kunne sammenliges på tværs af staterne.

  • 0
  • 0
Tobias Tobiasen

Hvis man kan få banken ned at ligge, så kommer den ned at ligge

Det er naturvis ikke rart hvis banken går ned. Men der kan ske være ting end nedetid. Hvad nu hvis angrebet flytter penge mellem konti uden nogen opdager det...

  • 1
  • 0
Log ind eller Opret konto for at kommentere