Bankernes kritiske systemer bliver pen-testet i et kontrolleret, skræddersyet setup
Deling, samarbejde, agilitet og åbenhed.
Alt sammen er velkendte metoder, som de it-kriminelle bruger, når de begår deres kriminelle handlinger.
FSOR (Finansielt Sektorforum for Operationel Robusthed) har i Danmark allerede i 2016 taget initiativ til et formaliseret sektorsamarbejde.
Samarbejdet går helt grundlæggende ud på at spejle de it-kriminelles egne metoder – og dermed komme dem i forkøbet.
Forleden udtalte den norske bankchef, Rune Bjerke til Version2, at hacking kunne blive det, der udløser den næste finanskrise.
Jeg mener dog, at hvis man tager alle de sikkerhedstiltag i betragtning, som finanssektoren har i brug, er fundamentet lagt for en mere sikker it-infrastruktur i den finansielle sektor.
Nyt initiativ
Rent faktisk har et helt nyt initiativ set dagens lys i maj i år. Det skal sikre både vores penge og de løsninger, der giver os nem adgang til dem fx MobilePay, Mobilbank og lignende.
Initiativet kaldes for TIBER (Threat Intelligence Based Ethical Red Teaming) og er et fælles, europæisk samarbejde mellem Den Europæiske Central Bank (EBC) og FSOR i Danmark.
Det faktum, at samarbejdet foregår på tværs af sektor- og landegrænser, betyder blandt andet, at vi hurtigt kan dele viden og resultater med de andre aktører på toppen af det nuværende NF-CERT, så ’the bad guys’ ikke længere kan overføre deres ’succeser’ fra én bank til én anden og fra ét EU-land til et andet.
Desuden betyder den fælles guideline, som TIBER udstikker, at alle EU-landes finansielle sektorer er på samme høje niveau, så ingen lande i fremtiden vil halte bagud og dermed være nemme ofre.
Hvad er en Red Team-test?
TIBER-EU er en fælles ramme, der leverer en kontrolleret, skræddersyet, intelligent Red Team-test af bankernes kritiske systemer.
En intelligensledet Red Team-test indebærer brugen af en række teknikker til simulering af et angreb på bankens kritiske funktioner og underliggende systemer – det vil sige people, process & technology.
For at sikre, at testen bliver så realistisk som muligt, er der som en del af projektplanen indlagt tid til forberedelse. De to ting, som skal være en del af testen, er:
Threat Intelligence, der skal sikre, at testen er målrettet den enkelte bank og baserer sig på det trusselsbillede, den befinder sig i.
En Red Team-test, der er planlagt i detaljer. Men gennemførelsen af den bliver naturligvis ikke annonceret, og den vil blive gennemført uden varsel til banken og dens blue team. Når testen går i gang, handler det om at finde det flag, der er blevet placeret, uden at blive set, samt at komme ud igen uden at blive opdaget. Testen har til formål at opdage et brud eller forsøg på brud og reagere i henhold til beredskabsplanen.
Ved, hvor der skal sættes ind
Når testen er gennemført, har den finansielle institution fået vurderet sin beskyttelses-, sin detektions- og sin responsfunktion. Og den ved præcis, hvor der skal sættes ind - hvis der er fundet sårbarheder, naturligvis.
Efter min bedste overbevisning vil alle disse tiltag, TIBER, FSOR og NF-CERT, understøtte en solid beskyttelse af den finansielle sektor og dens infrastruktur og dermed vores alle sammens penge og tillid til sektoren.
Befolkningens tillid eller mangel på samme kan alene vælte systemet og skabe en krise.
Derfor er det vigtigt, at it-sikkerhed bliver en integreret del af vores bankverden – og at folk ved, den er det.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.