Finansiell säkerhet med ramverket TIBER

Henrik Ryttergard, enhetschef inom Cyber Security, berättar mer om säkerhetsarbetet där ramverket TIBER är ett sätt att arbeta. 

– Den snabba digitaliseringen ställer höga krav på säkerheten, konstaterar Henrik. Vi har sett angrepp, till exempel när en tung it-leverantör utsattes för en storskalig attack som orsakade omfattande problem för både myndigheter och näringslivet. Och för några år sedan slogs en stor matvarukedjas försäljningsmöjligheter helt ut av ett angrepp. Du kan i princip inte köpa en bussbiljett utan BankID, Swish och appar. Men om de systemen ligger nere – hur gör vi då? 

Den finansiella stabiliteten ligger som grund till att samhället fungerar, och vi är nästan lika beroende av den som av energistabiliteten. Finansiell säkerhet är en viktig del av totalförsvaret, helt enkelt.

Simulera cyberattacker för att identifiera sårbarheter 

För alla finansiella aktörer som banker, försäkringsbolag och finansiella infrastrukturbolag är säkerhetstester med hjälp av ramverket TIBER obligatoriska. Ramverket är framtaget av Europeiska Centralbanken, och Sveriges Riksbank ansvarar för tillsyn av testerna i Sverige. Combitech är det bolag som utför flest tester i Norden.  

– Syftet med TIBER är att testa säkerheten, och få en bild kring hur den finansiella aktören klarar av mycket avancerade angrepp från de mest sofistikerade hotaktörer som finns. På vägen upptäcker vi sårbarheter och säkerhetshål som vi kan hjälpa till att täppa igen.

Hur ser säkerheten och systemen ut ...

Namnet TIBER står för ”Threat Intelligence-Based Ethical Red-teaming”, ungefär ”underrättelsebaserad etisk hotaktörs-emulering” på svenska. 

– ”Threat Intelligence” är underrättelsearbete, och steg ett, förklarar Henrik. Vi kartlägger både tjänster och system som man har exponerade på internet, vilka system som finns på insidan, vilka som arbetar med dem och framförallt vilka system som hanterar det mest kritiska för verksamheten. Utifrån den samlade bilden och vår kunskap om hotaktören så konstruerar vi sedan flera scenarion för våra etiska hackare att spela.

... och hur står de mot ett angrepp?

– Nästa steg är att vi spelar angripare – det är ”Red-teaming”. Till det hör det viktiga ordet ”ethical” som betyder att vi under testningen helt enkelt inte får ta till samma knep som de fula angriparna gör. 

– Olika angripare är ute efter olika saker. Statsaktörers motiv är ofta att få ut data som de kan använda på olika sätt, eller att introducera fel som skapar oreda och förtroendekris. De vill utföra sin attack utan att det märks och angreppen kan pågå i flera år. En kriminell organisation är ute efter en sak och det är pengar. De tenderar att vara mer högljudda och snabbare i sina attacker.

Handlingsplan och resultat

– I uppdragets slutfas levererar vi en rapport med genomgång av hur vi gått till väga, vad vi hittat, vilka åtgärder man bör prioritera och hur de kan göra det. Men även vilka typer av fortsättningstester vi tycker att man borde göra härnäst, berättar Henrik. 

Det här sättet att testa sin säkerhet är också fullt applicerbart på företag och verksamheter utanför finanssektorn. Att säkerställa, att det viktigaste som verksamheten har, är säkert är något alla borde göra. Behovet av detta kommer bara att öka.