Bakgrunn

Den europeiske sentralbanken (ECB) publiserte i mai 2018 rammeverket «Threat Intelligence-based Ethical Red Teaming» (TIBER-EU) for testing av cybersikkerheten i finansielle institusjoner. De europeiske tilsynsmyndighetene[1] på finansområdet kom i april 2019 med en felles anbefaling til EU­kommisjonen om at det kan være fordeler med et felles rammeverk for testing av cybersikkerhet i europeisk finanssektor. TIBER­EU nevnes i anbefalingen som et eksempel på et slikt rammeverk.

Finanssektoren i Norge er underlagt IKT-forskriften, som stiller krav til foretakenes arbeid med IKT-sikkerhet[2]. Flere av våre naboland – blant annet Danmark og Sverige – har innført eller er i ferd med å innføre ECB sitt rammeverk som hhv. TIBER-DK og TIBER-SE. Finanstilsynet og Norges Bank vil vurdere om et slikt rammeverk bør innføres i bank- og betalingssystemet i Norge for å motvirke systemrisiko. Dette er en oppfølging av Finanstilsynets Risiko- og sårbarhetsanalyse 2018 og Norges Banks rapport Finansiell infrastruktur 2019.

Finanstilsynet og Norges Bank mener det kan være hensiktsmessig at et rammeverk for testing av cybersikkerhet innen finanssektoren i Norge bygger på rammeverket til ECB, og benevnes TIBER-NO. Som grunnlag for videre arbeid ber vi om innspill og synspunkter fra næringen og relevante myndigheter.

Testing av cybersikkerhet og finansiell stabilitet

Den teknologiske utviklingen endrer risikobildet og skaper nye sårbarheter som må håndteres. Et cyberangrep kan i ytterste konsekvens true finansiell stabilitet ved at det finansielle systemet ikke har kapasitet til å absorbere forstyrrelser, gjenopprette feil og fortsatt sørge for at viktige økonomiske funksjoner i samfunnet fungerer. Formålet med TIBER-EU er å styrke cybersikkerheten i finansiell sektor og fremme finansiell stabilitet.

Utformingen av en TIBER-test skal være tilpasset virksomheten som testes. En viktig del av testprogrammet er likevel kunnskapsdeling, slik at sårbarheter avdekket hos én virksomhet også kan utbedres hos virksomheter som selv ikke deltok i den aktuelle testen. Testing av cybersikkerhet kan for eksempel avdekke sårbarheter hos dataleverandører, som kan være relevante for andre virksomheter som benytter de samme leverandørene. En test kan også avdekke om det er mulig å komme seg videre til andre systemer i den finansielle infrastrukturen med utgangspunkt i virksomheten som blir testet (tilsvarende «supply chain attacks»).

Testresultatene kan også brukes av myndigheter for å vurdere cybersikkerheten til systemer under sitt ansvarsområde.

Tilbakemelding til Finanstilsynet og Norges Bank

Finanstilsynet og Norges Bank ønsker virksomhetens innspill til følgende:

1. Gjennomfører virksomheten inntrengingstesting basert på trusseletterretning i dag? Hvilket rammeverk eller regelverk er disse testene eventuelt basert på?
2. Virksomhetens vurdering av om inntrengingstesting basert på trusseletterretning (TIBER) vil kunne bidra til å forbedre cybersikkerheten i:
   1. virksomheten
   2. bank- og betalingssystemet
3. Mener virksomheten at det bør innføres et rammeverk for testing av cybersikkerhet innen finanssektoren i Norge? Vil virksomheten ut i fra egne risikovurderinger være positiv til innføring av et TIBER-NO?
4. Et rammeverk for TIBER-NO skal fortrinnsvis utarbeides av myndighetene og næringen i fellesskap. Er virksomheten interessert i å delta i et slikt arbeid, for eksempel i form av felles arbeidsgrupper? Hvis så, oppgi gjerne kontaktdetaljer (for eksempel for sikkerhetsansvarlig i virksomheten).
5. Har virksomheten andre synspunkter og innspill?

Finanstilsynet og Norges Bank legger opp til å arrangere et møte om rammeverket i etterkant av innspillene.

Det bes om tilbakemelding dersom det er andre relevante mottakere av brevet enn de som står på mottakerlisten.

Vi ber om at innspill sendes til post@finanstilsynet.no og central.bank@norges-bank.no innen 4. november 2019.

Med hilsen

Torbjørn Hægeland
Direktør Finansiell Stabilitet 
Norges Bank

Per Mathis Kongsrud
Direktør Digitalisering og analyse 
Finanstilsynet

Vedlegg: Brev til myndigheter

Mottakerliste:

-Nordic Financial CERT
-Finans Norge
-Bits AS
-Evry ASA
-Nets Norge Infrastruktur AS
-Vipps AS ( Vipps/BankID/BankAxept)
-Verdipapirsentralen ASA
-Oslo Børs ASA
-DNB ASA,
-Kommunalbanken
-SpareBank 1 Gruppen AS
-Eikagruppen AS
-Sbanken ASA
-Danske Bank filial av Danske Bank A/S (Danmark)
-Nordea Bank ABP, Filial i Norge (Finland)
-Handelsebanken, filial av Svenska Handelsbanken AB
-Skandinaviska Enskilda Banken, filial av Skandinaviska Enskilda Banken AB (Sverige)

Fotnoter

[1] EBA (European Banking Authority), EIOPA (European Insurance and Occupational Pensions Authority) og ESMA (European Securities and Markets Authority).

[2] EBA, EIPOA og ESMA vil i løpet av 2019 og 2020 komme med retningslinjer for IKT-sikkerhet, som vil utfylle IKT-forskriften.