TIBER-EU oppdatert: Slik tilpasses cybersikkerhetstesting til DORA-kravene

TIBER-EU oppdatert: Slik tilpasses cybersikkerhetstesting til DORA-kravene

TIBER står for Threat Intelligence-Based Ethical Red-teaming, og er et felleseuropeisk rammeverk der myndigheter, finansforetak og leverandører samarbeider om testing av cybersikkerhet i det finansielle systemet.

Bruk av målrettet trusseletterretning og eksterne testspesialister (“Red Team”) bidrar til at testingen blir realistisk. Viktige IKT-systemer testes ved å etterligne taktikker, teknikker og prosedyrer som benyttes av reelle trusselaktører. Hensikten er å avdekke sårbarheter slik at risikoreduserende tiltak kan iverksettes.

En TIBER-test er en avansert sikkerhetstest av evnen til forsvar mot cyberangrep. Testen etterligner så langt som mulig hvordan reelle trusselaktører vil angripe et foretak. En egen målrettet trusselrapport utarbeides først basert på de samfunnskritiske funksjonene foretaket ivaretar. Den aktive testperioden tester produksjonssystemer uten at de som jobber med å forsvare disse mot angrep er kjent med testen på forhånd. Formålet er at resultatene fra en avansert test som TIBER gir stor verdi og læringsutbytte om egne systemer, kontroller og prosesser.

TIBER-EU oppdatering for samsvar med DORA-krav

DORA (Digital Operational Resilience Act) inneholder felleseuropeiske regler for å styrke den digitale operasjonelle motstandskraften til foretak i finanssektoren. De fleste foretakene i finanssektoren som er regulert av EU/EØS-sektorregelverket, omfattes av DORA, med enkelte unntak. I Norge tilsvarer dette i hovedsak foretak under tilsyn, jf. finanstilsynsloven § 1.

DORA artikkel 26 setter krav til trusselstyrt penetrasjonstesting . TIBER-EU har nettopp blitt oppdatert for å tilpasse det til de regulatoriske tekniske standardene (RTS) i DORA for trusselstyrt penetrasjonstesting. TIBER gir med det detaljerte retningslinjer for hvordan DORA TLPT skal gjennomføres på en kvalitativ, kontrollert og sikker måte.

De viktigste oppdateringene i TIBER-EU er:

  • Tilpasning til DORA RTS: Prosessene er justert for å samsvare med de strenge tidsfristene og kravene som DORA RTS setter for TLPT-leveranser.
  • Obligatorisk purple-teaming: TIBER-EU krever nå purple-teaming som en del av testprosessen, i tråd med DORA RTS.
  • Endringer i terminologi: For bedre samsvar med DORA-terminologi er for eksempel “White Team” omdøpt til “Control Team”.
  • Nye veiledningsdokumenter: Disse skal lette implementeringen av rammeverket og sikre en trygg og kontrollert gjennomføring av TLPT. Dokumentene inneholder krav til TLPT i henhold til DORA og beste praksis basert på tidligere TIBER-tester.
  • Forbedret veiledning for valg av tjenesteleverandører: Oppdaterte retningslinjer hjelper med å vurdere kvaliteten på tilbydere.
  • Endring i krav til nasjonal implementering: Myndigheter trenger ikke lenger publisere en fullstendig nasjonal implementeringsveiledning, men kan i stedet henvise til TIBER-EU-dokumentasjonen og publisere et kort implementeringsdokument.

Det oppdaterte TIBER-EU-rammeverket tydeliggjør nå kravene til trussel-etterretningsbaserte red-team tester i finanssektoren i tråd med DORA. Oppdaterte dokumenter og ytterligere informasjon er tilgjengelig via en egen nettside, og en kort ECB-rapport fra september 2024 beskriver hvordan TIBER-EU kan hjelpe til med å oppfylle DORA TLPT-kravene.