Risiko med TIBER-test
En TIBER-test er en avansert sikkerhetstest av evnen til forsvar mot cyberangrep i finansiell sektor. Testen etterligner så langt som mulig hvordan reelle trusselaktører vil angripe et foretak. En egen målrettet trusselrapport utarbeides først basert på de samfunnskritiske funksjonene foretaket ivaretar for samfunnet. Den aktive testperioden tester produksjonssystemer uten at de som jobber med å forsvare disse mot angrep er kjent med testen på forhånd. Formålet er at resultatene fra en avansert test som TIBER gir stor verdi og læringsutbytte om egne systemer, kontroller og prosesser.
Det vil alltid være elementer av risiko for alle parter basert på at det er de kritiske funksjonene i samfunnet som testes. Her testes både IT-systemer, mennesker og prosesser tilknyttet de kritiske funksjonene. Derfor er noen elementer ekskludert fra testing, spesielt handlinger som kan være destruktive. Utilsiktet nedetid, skade på kritiske produksjonssystemer, tap, endring eller spredning av data krever aktiv og robust risikohåndtering. Foretaket må derfor finne passende kontroller, prosesser og prosedyrer for å ivareta at testen blir utført med tilstrekkelige forsikringer for alle og at risikoene er identifisert, analysert og redusert til et akseptabelt nivå.
TIBER legger opp til en grundig identifisering av mulige risikoer og kontinuerlig oppfølging av risiko gjennom alle fasene i testen. I Norge har vi utarbeidet et eget veiledningsdokument for å identifisere mulige risikoer basert på både nasjonale og internasjonale tester. Vi deltar aktivt i utarbeidelsen av risikoanalyser og kan dermed ta med erfaringer fra en test til neste.
Ved kontinuerlig søkelys på håndtering av risiko gjennom hele testprosessen, blir sannsynligheten for uønskede hendelser minimert og læringen av TIBER-testing gir stor verdi for foretaket som gjennomfører testen. En TIBER-test bidrar til styrke robusthet i finansiell sektor. Finansiell stabilitet blir bedret gjennom økt motstandsdyktighet mot cyberangrep for kritiske funksjoner i det finansielle systemet.
Rammeverket er utarbeidet av Den europeiske sentralbanken og innført i en rekke europeiske land. Den norske implementasjonen er utarbeidet av Finanstilsynet og Norges Bank i dialog med næringen og testing har pågått i snart 2 år. Det er gjennomført godt over 100 TIBER tester i Europa, mens vi gjennomfører en håndfull tester så langt i Norge. Gjennom alle TIBER-testene som er gjennomført, er vi ikke kjent med at noen TIBER-test har ført til driftsstans eller nedetid som har påvirket kunder.