I de finansiella tjänsterna utnyttjas i stor utsträckning de möjligheter som digitaliseringen erbjuder. Samtidigt exponeras aktörerna emellertid för cyberrisker. Ett angrepp mot en enskild bank eller ett betalningssystem skulle utöver de direkta effekterna också kunna orsaka ett brett misstroende mot det finansiella systemet.

För att stärka sitt skydd kan finansiella företag spåra svagheter i sina system genom att testa dem med samma metoder som används av verkliga angripare.

Finlands Bank antog 2020 en allmäneuropeisk modell, som stöder testning och utvecklar hela branschens motståndskraft mot störningar.

Tillgångshanteringssystem intressanta för kriminella

I bakgrunden till den finansiella sektorns tjänster finns en enorm mängd olika system, som bildar nätverk exempelvis via betalnings- och avvecklingssystemen eller handeln med finansiella instrument.

System som hanterar pengar och andra tillgångar är också intressanta för kriminella.

Företagen kan testa sin förmåga att värja sig mot angrepp genom att utnyttja likadana angreppsmetoder som de kriminella. Resultaten kan utnyttjas vid utvecklingen av företagens eget skydd. I dessa så kallade penetrationstest försöker en hacker på uppdrag av företaget tränga in i företagets produktionssystem under kontrollerade former.

Europeiska centralbanken publicerade i maj 2018 TIBER-EU (på engelska), som är ett ramverk för hantering av penetrationstester. Ramverket är avsett för den finansiella infrastrukturen samt för banker och övriga aktörer. TIBER är en förkortning och står för Threat Intelligence-based Ethical Red Teaming.

Enhetlig modell ger en klarare helhetsbild

Penetrationstesterna går ut på att spåra sårbarheter i enskilda företags eller organisationers system och processer samt i människors rutiner. Samtidigt testas företagens förmåga att upptäcka, hantera och återhämta sig från angrepp.

För att utveckla den finansiella sektorns motståndskraft behövs samarbete och informationsutbyte. Skyddet för sektorn som helhet förbättras genom att de enskilda företagen och infrastrukturerna är bättre skyddade.

Kopplingarna mellan företagen inom sektorn och betydelsen av det nätverk som de bildar för hela samhällets funktion framhäver det faktum att cybersäkerhet inte är en konkurrensfaktor utan ligger i allas gemensamma intresse.

TIBER-EU-ramverket tjänar också som ett verktyg för myndighetssamarbetet när tester utförs av finansiella företag med gränsöverskridande verksamhet.

Till vad används de nationella riktlinjerna?

Det allmäneuropeiska TIBER-EU-ramverket anger ramarna för genomförandet av penetrationstester. I den egentliga testprocessen tillämpas emellertid den nationella anpassningen av regelverket i respektive land.

I riktlinjerna för den nationella anpassningen fastställs nationellt relevanta delområden för testerna, såsom den hotbild som används vid planeringen av testerna, de juridiska aspekter som ska beaktas och det stöd som erbjuds för testerna.

I den nationella anpassningen av TIBER-ramverket behandlas de olika faserna i planeringen och utförandet av testerna samt de dokument som produceras.

Finlands Bank publicerade den finländska nationella anpassningen TIBER-FI (på finska) i april 2020. Beredningen av riktlinjerna för Finland tog hänsyn till företagens synpunkter. Riktlinjerna utvecklas vidare på basis av erhållen respons och praktiska erfarenheter.

Användningen av TIBER-FI är frivilligt för företagen inom branschen.

Utöver Finland har bland annat Belgien, Nederländerna, Sverige, Tyskland och Danmark antagit TIBER-EU-ramverket.

Vad består TIBER-FI av?

Den hotbild som används vid tester i enlighet med riktlinjerna för den finländska anpassningen bygger på en hotbildsrapport som uppdateras årligen.

För rapporten ansvarar den nordiska branschorganisationen Nordic Financial CERT. Från och med december 2020 omfattar rapporten samtliga nordiska länder.

De organisationer som testar sina system enligt TIBER-FI får dessutom tillgång till en sammanfattning av den lagstiftning i Finland som tillämpas vid penetrationstester.

För planering och samordning av testerna ställer Finlands Bank en testchef till förfogande för de testande organisationerna enligt modellen.

För informationsutbyte och samarbete grundade Finlands Bank 2020 ett TIBER-FI-samarbetsnät, vars medlemmar är cybersäkerhetsexperter på organisationer inom den finansiella sektorn.



Följande artikel

Aktivt år för TARGET-tjänsterna