TESTET SYSTEMENE: Tom André Røgden og Sindre Stokke kjørte TIBER-test på SpareBank 1 sine digitale systemer.

Slik stresstestet SpareBank 1 de digitale systemene

Red team gjør seg klar til angrep. Finner de en vei inn i SpareBank 1 sine digitale systemer? De har forberedt seg i lang tid på dette, og de sikkerhetsansvarlige i banken vet ikke hva som treffer dem.

Det blir noen hektiske dager og timer, der systemene stresses til det ytterste. Heldigvis er det bare en øvelse. På oppdrag av styre og ledelse gjennomføres en TIBER-test. TIBER står for Threat Intelligence-Based Ethical Red-teaming, og er et europeisk rammeverk for testing av de digitale forsvarsverkene i finansiell sektor. Det digitale cyberangrepet etterligner så langt som mulig hvordan reelle trusselaktører vil angripe et foretak. Red team er angriperne, de som forsvarer har navnet blue team, mens white team er på mange måter spill-lederne, som legger rammene for testen og sørger for at red team har den informasjonen de trenger.   

– Det må være noen grenser i denne type sikkerhetstester. Vi har en risikobasert tilnærming, slik at vi unngår å påvirke forretningskritiske prosesser negativt. Nettbanken kan eksempelvis ikke gå ned. I tillegg må vi ha noen grenser på hva sosial manipulering, sier Tom Andre Røgden, leder for sikkerhet og beredskap i SpareBank 1 Utvikling. Med seg hadde han Sindre Stokke, som var prosjektleder for sikkerhetstesten. Vi treffer begge på Finans Norges cybersikkerhetsdag på Fornebu, der de forteller om hvordan de har jobbet med TIBER-testing.

Newsletter

Abonner på nyhetsbrev

Legg igjen e-postadressen din og motta vårt ukentlige nyhetsbrev med de siste nyhetene fra finansbransjen.

Kartlegger sårbareheter

Første fase innebærer informasjonsinnsamling fra Red Team. Da kartlegges bankens digitale fotavtrykk.

– Det går både på hvordan vi er eksponert på nettsider, hvilken informasjon vi legger ut om både selskapet og våre ansatte. Dette gjør angriperne for å identifisere sårbarheter som kunne utnyttes fra utsiden. Ut fra dette ble ulike scenarier og trusselaktører definert, sier Røgden.

Ut fra dette laget Red Team en angrepsplan, med ulike delmål som skulle oppnås.

– Vi brukte reelle trusselaktørers metoder og teknikker, sier Stokke.

Realistiske og avanserte angrep

Selve angrepsfasen gikk intensivt over flere uker, der banken ble utsatt for realistiske, målrettede angrep. I dette var det mye risiko som måtte håndteres.

– Vi hadde bestilt dataangrep fra noen av verdens beste hackere. Angrepene var rettet mot noen av de mest kritiske funksjonene. Samtidig var dette hemmelig for så å si hele organisasjonen. Da er det kort vei til at nettbanken går ned, VG ringer til konsernsjef og Økokrim blir kontaktet. For å øve så realistisk som mulig kunne vi ikke unngå risiko, men jobbet hele tiden for å holde den nede. Driftsavbrudd var ikke akseptabelt, samtidig kunne vi ikke bli for feige. sier Stokke, og fortsetter: – Hvis vi var for feige kunne testen bli avslørt for tidlig. Da ville vi ikke fått sett hvordan organisasjonen reagerte ordentlig. Vi ville vite nivået på vår motstandskraft.

Moden sikkerhetskultur

I etterkant av testen ble både red og blue team samlet for evaluering. Resultatet for banken var oppløftende.

– Vi ser at vi har en moden sikkerhetskultur og at ansatte varsler i henhold til rutiner hvis de oppdager noe mistenkelig. I forkant av testen måtte vi sørge for at vi hadde gode oppfølgingsprosedyrer ovenfor våre medarbeidere, slik at de ble godt ivaretatt ved behov. Følelsen av å bli lurt og forsøkt forledet kan oppleves ubehagelig. Det kan derfor komme følelsesmessige reaksjoner som må håndteres. Dette gjelder selvfølgelig i alle situasjoner, enten om det er test eller reelt, sier Røgden.

– Vi fikk også avdekket noen forbedringspunkter, sier Stokke. Hvis ikke kunne man satt spørsmålstegn ved kvaliteten på testen.

– Vi er en del av en allianse og sikkerhet skal leve på tvers. Kontinuerlig testing er en fin måte å lære på. Sosial manipulering og innsideproblematikk blir viktig fremover, sier Stokke, som er glad for at banken gjennomførte denne testen.

– Det er ganske kostbart, men vi har fått testet sårbarheter på et høyt nivå. Resultatet er at vi bygger en mer motstandsdyktig bank. Sikkerhet er ferskvare. I morgen er det nye sårbarheter, disse må avdekkes og tettes kontinuerlig, sier Røgden.

Fakta om TIBER-testing

TIBER-EU er retningslinjer utarbeidet av ECB for å teste finansielle institusjoners evne til å oppdage, beskytte seg mot og reagere på avanserte cyberangrep.

Bruk av målrettet trusseletterretning og eksterne testspesialister («Red Team») bidrar til at testingen blir realistisk. Viktige IKT-systemer testes ved å etterligne taktikk, teknikk og prosedyrer som benyttes av reelle trusselaktører. Hensikten er å oppdage sårbarheter slik at risikoreduserende tiltak kan iverksettes.

Et standardisert oppsett for testing i Europa bidrar til sammenlignbare vurderinger av sikkerhet på tvers av systemer og land og legger til rette for informasjonsdeling mellom myndigheter og virksomheter nasjonalt og internasjonalt.

Finanstilsynet og Norges Bank har ansvaret for implementeringen av TIBER-rammeverket i Norge.