Den såkaldte TIBER-DK-ramme har til formål at øge cyber-modstandsdygtigheden i det økonomiske landskab i Danmark. Men banker og andre finansielle institutioner i Danmark er ikke, hvor de skal være, når vi kigger på det store billede i forhold til tests af deres IT-sikkerhed.

Måske virker ovenstående som en hård dom, men siden den nuværende version 2.0 af test-rammen, TIBER-DK, blev offentliggjort i januar 2019, har vi i vores team arbejdet indgående med implementering og eksekvering af tests på det danske marked.

TIBER-DK er den danske version af TIBER-EU, som er en ny ramme for, hvordan den finansielle sektor skal håndtere cybersikkerhedstest og er udviklet af den Europæiske Centralbank (ECB). I Danmark er det Nationalbanken, der er "lead authority" for TIBER-DK.

TIBER er en forkortelse for Threat Intelligence Based Ethical Red Teaming og er et forsøg på at standardisere de processer, teknikker og strategier, der kan bruges til at efterligne den tilstand, en kvalificeret angriber bruger i et angreb.

Red Teaming er den mest realistiske måde, hvorpå man kan udføre et koordineret og målrettet angreb på en virksomhed. Formålet er at være i stand til at evaluere virksomhedens specifikke Detection & Response-evner og se, om disse er i tråd med best practice og i tråd med, hvad netop den virksomhed forsøger at beskytte eller forhindre. Dette gælder både netværk, medarbejdere, applikationer og ikke mindst fysiske sikkerhedskontroller.

En Red Team-test er derfor baseret på en kombination af flere forskellige trusselskilder, så angrebscenarierne, der skal udføres, er relevante for den pågældende virksomhed og realistiske samtidig med, at de er lovlige, etisk forsvarlige og en del af et formelt samarbejde med det firma, der bestiller Red Team-testen.

Selvom det er mit indtryk, at de fleste virksomheder og institutioner i den finansielle sektor prioriterer TIBER-testforløb og ikke mindst kan se vigtigheden af dem, så er der stadig et stykke vej igen.

En af de store udfordringer er nemlig, at bankerne og andre finansielle institutioner generelt ikke er vant til at planlægge og gennemføre denne form for koordinerede angreb mod hele systemet. I stedet tester de sikkerheden i de enkelte afdelinger og på enkelte områder af infrastrukturen - og godt nok er disse enkeltstående tests ganske veludførte - men i sidste ende står man i organisationen tilbage med et fragmenteret billede af ens styrker og svagheder. Og det kan potentielt koste dyrt på den længere bane.

Det kan godt være, at IT-systemerne som udgangspunkt er under observation af både dygtige medarbejdere og har automatiserede overvågningsløsninger til den helt store guldmedalje, men til syvende og sidst kommer vi altid ind - og hvis vi kan komme ind, så kan en ondsindet angriber det også, hvis de er dygtige og vedholdende nok.

Sommetider er det lange sessioner, hvor systemerne omgås i den virtuelle verden, og andre gange er det noget så banalt som at iføre sig en gul vest, slynge en stige over skulderen og bruge det falske ID-kort, som er en kopi af det kort, som en af jeres medarbejdere bar lidt for synligt på vejen hjem i bussen.

Det handler derfor om at gøre det så svært så muligt for angriberen, og det er dér TIBER-DK-testrammen for alvor kan hjælpe med at udpege de mest kritiske områder i organisationens infrastruktur.

Et andet problem er, at finansielle institutioner, der tidligere har foretaget Red Teaming-tests ikke nødvendigvis er kommet styrket ud af testforløbet.

Måske har testen påpeget bestemte svagheder, som virksomheden eller organisationen efterfølgende har håndteret, men et klassisk Red Team finder typisk én vej ind til målet, og der vil næsten altid være en række alternative angrebsveje, som ikke er kortlagt og håndteret.

Derfor er det ekstra vigtigt at sikre sig, at ens partner i TIBER-DK-forløbet har erfaringerne og den track record både lokalt og internationalt, der skal til for at kunne påvise og afhjælpe de konkrete udfordringer i organisationen.

Manglende kreativitet leder til flere sårbarheder

Det vi ofte ser, når virksomheder står med et behov for ekstern hjælp til TIBER-DK-testforløb, er, at virksomhederne ikke har råd til at lide af manglende kreativitet, når det kommer til målrettede angreb mod deres organisation, deres tjenester eller deres brand.

Derfor skal et kompetent Red Team, der er valgt til at udføre TIBER-DK-testen, være i stand til at eksekvere de mangefaceterede typer af angreb, som de udføres af rigtige, internationale angribere i dag, mens teamet samtidig udvikler og rådgiver om fremtidens angreb på organisationen.

Den eneste rigtige måde, hvorpå man kan evaluere ordentligt, om virksomhedens investeringer i sikkerhed på tværs af organisationen rent faktisk er effektive, er ved at planlægge og eksekvere et skræddersyet angreb som den slags, der kræves i henhold til TIBER-DK-foreskrifterne.

Gennemfører man denne type angreb korrekt, får den angrebne organisation en forståelse af, hvordan angribere fra den virkelige verden vil tilpasse sig og operere inden for organisationens fire vægge (både fysisk og virtuelt, forstås), og dermed bliver organisationen altså opmærksomme på, hvilke faresignaler der kan være forløberne for et ondsindet angreb.

Virksomhederne er oppe mod sig selv

Som udgangspunkt er virksomhederne oppe imod sig selv, når de forsøger at kontrollere kommunikation og drift på tværs af forskellige afdelinger og måske også forskellige lande.

Angriberne bekymrer sig nemlig ikke om landegrænser og opdelte systemer - de angriber alle områder af systemet, og de gør det hele tiden.

Disse former for angreb er kernen i TIBER-DK-rammen og sørger for, at der planlægges og eksekveres realistiske (og ikke mindst relevante) testscenarier, som tester virksomheden eller organisationens systemer til det yderste.

Og så må man endelig ikke undervurdere den angribende part. De er ubarmhjertige, vedholdende og ikke mindst opportunistiske. Derfor er det også kendskabet til de forskellige veje ind i virksomheden samt de forskellige angrebsformer, der er nøglen til en forsvarsstrategi, der er både modstandsdygtig, skalerbar og effektiv.

Klumme: Er tiden inde til, at Indien lærer Norden om fremtidens betalingssystemer?