Gæstebloggen

Bankernes kritiske systemer bliver pen-testet i et kontrolleret, skræddersyet setup

Deling, samarbejde, agilitet og åbenhed.

Alt sammen er velkendte metoder, som de it-kriminelle bruger, når de begår deres kriminelle handlinger.

FSOR (Finansielt Sektorforum for Operationel Robusthed) har i Danmark allerede i 2016 taget initiativ til et formaliseret sektorsamarbejde.

Samarbejdet går helt grundlæggende ud på at spejle de it-kriminelles egne metoder – og dermed komme dem i forkøbet.

Christian Iversen er salgschef i Combitech A/S. Om Christian Iversen. Han har siden 2005 haft fokus på it og informationssikkerhed. Managed Security Service og rådgivning om it-sikkerhed hører til Christians dagligdag, hvor han blandt andet rådgiver virksomheder i samfundskritiske sektorer som den finansielle sektor, forsvaret og forsyningsindustrien i Danmark og Norden. Tidligere har Christian Iversen arbejdet med it-sikkerhed for store internationale virksomheder som Verizon og DXC. Illustration: Privatfoto

Forleden udtalte den norske bankchef, Rune Bjerke til Version2, at hacking kunne blive det, der udløser den næste finanskrise.

Jeg mener dog, at hvis man tager alle de sikkerhedstiltag i betragtning, som finanssektoren har i brug, er fundamentet lagt for en mere sikker it-infrastruktur i den finansielle sektor.

Nyt initiativ

Rent faktisk har et helt nyt initiativ set dagens lys i maj i år. Det skal sikre både vores penge og de løsninger, der giver os nem adgang til dem fx MobilePay, Mobilbank og lignende.

Initiativet kaldes for TIBER (Threat Intelligence Based Ethical Red Teaming) og er et fælles, europæisk samarbejde mellem Den Europæiske Central Bank (EBC) og FSOR i Danmark.

Det faktum, at samarbejdet foregår på tværs af sektor- og landegrænser, betyder blandt andet, at vi hurtigt kan dele viden og resultater med de andre aktører på toppen af det nuværende NF-CERT, så ’the bad guys’ ikke længere kan overføre deres ’succeser’ fra én bank til én anden og fra ét EU-land til et andet.

Desuden betyder den fælles guideline, som TIBER udstikker, at alle EU-landes finansielle sektorer er på samme høje niveau, så ingen lande i fremtiden vil halte bagud og dermed være nemme ofre.

Hvad er en Red Team-test?

TIBER-EU er en fælles ramme, der leverer en kontrolleret, skræddersyet, intelligent Red Team-test af bankernes kritiske systemer.

En intelligensledet Red Team-test indebærer brugen af en række teknikker til simulering af et angreb på bankens kritiske funktioner og underliggende systemer – det vil sige people, process & technology.

For at sikre, at testen bliver så realistisk som muligt, er der som en del af projektplanen indlagt tid til forberedelse. De to ting, som skal være en del af testen, er:

Threat Intelligence, der skal sikre, at testen er målrettet den enkelte bank og baserer sig på det trusselsbillede, den befinder sig i.

En Red Team-test, der er planlagt i detaljer. Men gennemførelsen af den bliver naturligvis ikke annonceret, og den vil blive gennemført uden varsel til banken og dens blue team. Når testen går i gang, handler det om at finde det flag, der er blevet placeret, uden at blive set, samt at komme ud igen uden at blive opdaget. Testen har til formål at opdage et brud eller forsøg på brud og reagere i henhold til beredskabsplanen.

Ved, hvor der skal sættes ind

Når testen er gennemført, har den finansielle institution fået vurderet sin beskyttelses-, sin detektions- og sin responsfunktion. Og den ved præcis, hvor der skal sættes ind - hvis der er fundet sårbarheder, naturligvis.

Efter min bedste overbevisning vil alle disse tiltag, TIBER, FSOR og NF-CERT, understøtte en solid beskyttelse af den finansielle sektor og dens infrastruktur og dermed vores alle sammens penge og tillid til sektoren.

Befolkningens tillid eller mangel på samme kan alene vælte systemet og skabe en krise.

Derfor er det vigtigt, at it-sikkerhed bliver en integreret del af vores bankverden – og at folk ved, den er det.

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Simonsen

Et godt initiativ. Vi almindelige mennesker undrer os så over at det ikke er muligt at oprette indsamlinger til godgørende formål fordi bankerne ikke kender reglerne og frygter misbrug til hvidvaskning, mens det alligevel er muligt at donere til LA.
Heldigvis behøver vi ikke støtte kulindustrien, aktionærerne og de gyldne direktør-håndtryk, men kan vandre over i grønne banker.
https://www.naturli.dk/artikel/gronne-banker-ingen-penge-for-pengenes-sk...

Gert G. Larsen

Tak for et spændende opslag.

Hvor læser vi mere om TIBER osv? Er det et åbent framework andre sektorer, private virksomheder, og private sikkerhedsfirmaer også kan drage nytte af?
Har SANS/OWASP/NIST ikke noget der er godt nok dækkende, eller var det for gammelt?

Er det i bund og grund ikke bare en udvidelse af sådan nogle pentests og hackertests man altid har lavet? Eller har jeg misforstået noget? Kan du uddybe det lidt..

Christian Nobel

Men ja, hvis banker blev kundeejede sparekasser.

For lige at fortsætte af OT-sporet.

Ja kan vi ikke få sparekasserne tilbage, beregnet for almindelige private småkunders behov, skarpt adskilt fra storkunder og spekulation.

Så kan storbankerne fortsætte deres pyramidespil og pengevask - men de skal inget sikkerhedsnet have fra samfundet.

Faktisk kan jeg slet ikke se hvad værdi en bank har for mig - det koster penge at låne penge i banken, men sandelig om det ikke også gør det at have penge stående.
Så jeg skal altså betale ved kasse et for et fordyrende og uforskammet mellemled.

Lars Simonsen

Sjov kommentar, men hvad i alverden har det med topic at gøre??? :-)
Men ja, hvis banker blev kundeejede sparekasser, hvor kunderne i hver bank selv kan få lov at vælge om banken skal være social eller ej osv, ville det da være herligt.

Topic er at undgå hvidvask. Det kræver en etisk profil som de store danske banker ganske simpelt ikke har. Det bedste middel til at sikre en etisk profil er såmænd at ansætte kvinder https://borsen.dk/nyheder/opinion/artikel/11/207983/artikel.html?utm_sou...

Derudover kan man - og det er som sagt topic - undgå at bidrage til hvidvask ved at skifte til en grøn bank.

Jeg minder om at Danske Bank allerede i 2007 modtog advarsler, og at andre banker simpelthen opsagde deres samarbejde med Danske Bank i årene efter med den begrundelse at banken var for uetisk.
Banken optræder også uetisk når den kalder et gyldent håndtryk til den afgående direktør på 14 millioner for et "opsigelsesvarsel". Hvilken dybtliggende fordrejelse af sproget.

Hans Nielsen

etisk profil som de store danske banker ganske simpel ganske simpelt ikke har.


Penge og Finans verden har per. definition ingen etik og moral. De er kun sat i verden for at tjene penge. Så længe de gør det inden for lovens grænser, så er det lovene man skal komme efter.

Men sammen med en generel lav etik og moral blandt medarbejder og især ledelse i finanssektoren, og med mulighed for høj personligt profit, uden særlige stor risiko for personlig straf, så er det meget tit at de går over stregen.

Bøder er ikke løsningen, de rammer ikke de skyldige, men måske nærmere ofrene, som også kan være kunderne, aktinære og medarbejder. Den eneste løsning er meget lange fængselsstraffe, minimum 2-12 år som er ubetinget også første gang. For her snakker vi ikke om gode samfundsborger. Men simple tyveknægte og svinder som sidder i betroet stilliger og ødelægger samfundet og tilliden i dette.

Max 8 år for at stjæle 118 millioner fra de fattigste. En pizzaria ejere som har en forkert hudfarve, vil få 2-4 år, for at svindel med under 100,000 i moms og skat. Hvis og når hun får en straf, bliver den sikkert også betinget, da hun er gammel og syg, og hun har fået en udmærkelse af dronningen. Samt der er gode venner fra styrelser, som nu sidder som dommere.

Log ind eller Opret konto for at kommentere