Rahoitussektorin palveluissa hyödynnetään laajasti digitalisaation luomia mahdollisuuksia. Samalla toimijat kuitenkin altistuvat kyberriskeille. Hyökkäys pankkiin tai maksujärjestelmään voisi suorien vaikutusten lisäksi aiheuttaa laajaa epäluottamusta rahoitusjärjestelmää kohtaan.

Parantaakseen suojautumistaan rahoitusalan yritykset voivat etsiä heikkouksia järjestelmistään koettelemalla niitä todellisten hyökkääjien menetelmin.

Suomen Pankki otti vuonna 2020 käyttöön yleiseurooppalaisen mallin, joka tukee testausta ja kehittää koko alan häiriönsietokykyä.

Varallisuutta käsittelevät järjestelmät kiinnostavat rikollisia

Rahoitussektorin palvelut perustuvat valtavaan määrään erilaisia järjestelmiä, jotka muodostavat verkoston esimerkiksi maksu- ja selvitysjärjestelmien tai rahoitusinstrumenteilla tapahtuvan kaupankäynnin kautta.

Rahaa ja muuta varallisuutta käsittelevät järjestelmät kiinnostavat myös rikollisia.

Yritykset voivat testata olemassa olevaa puolustuskykyään hyödyntämällä rikollisten käyttämiä hyökkäyskeinoja. Tuloksia voidaan hyödyntää yritysten oman suojautumisen kehittämisessä. Näissä niin kutsutuissa tunkeutumistesteissä yrityksen tilaama hyökkääjä pyrkii hallitusti pääsemään käsiksi yrityksen tuotantojärjestelmiin.

Euroopan keskuspankki julkaisi tunkeutumistestauksia ohjaavan TIBER-EU-kehikon toukokuussa 2018. Kehikko on tarkoitettu rahoitusmarkkinoiden infrastruktuurien sekä pankkien ja muiden toimijoiden käyttöön. Lyhenne TIBER tulee englanninkielisistä sanoista Threat Intelligence-based Ethical Red Teaming.

Yhtenäinen malli auttaa kokonaiskuvan muodostamisessa

Tunkeutumistesteissä etsitään haavoittuvuuksia yksittäisen yrityksen tai muun organisaation järjestelmistä, prosesseista sekä ihmisten toimintatavoista. Samalla testataan yrityksen kykyä havaita hyökkäykset, vastata niihin ja toipua niistä.

Rahoitussektorin häiriönsietokyvyn kehittämiseksi tarvitaan yhteistyötä ja tiedonvaihtoa. Koko sektorin suojautuminen paranee yksittäisten yritysten ja infrastruktuurien paremman suojautumisen ansiosta.

Sektorin yritysten sidonnaisuus toisiinsa sekä niiden muodostaman verkoston merkitys koko yhteiskunnan toiminnalle korostavat sitä, että kyberturvallisuus ei ole kilpailutekijä vaan kaikkien yhteinen etu.

TIBER-EU-kehikko toimii apuna myös viranomaisyhteistyössä silloin, kun useassa maassa toimivat finanssialan yritykset suorittavat testauksia.

Mihin kansallista soveltamisohjetta käytetään?

Yleiseurooppalainen TIBER-EU-kehikko asettaa raamit tunkeutumistestien tekemiselle. Kehikon käyttö varsinaisessa testaustoiminnassa pohjautuu kuitenkin eri maissa käyttöön otettuihin kansallisiin soveltamisohjeisiin.

Soveltamisohjeissa määritellään kansallisesti merkittävät testauksen osa-alueet, kuten testauksen suunnittelussa käytettävä uhkatieto, huomioon otettavat juridiset seikat ja testauksille tarjottava tuki.

TIBER-kehikon mukaisessa kansallisessa ohjeistuksessa käydään läpi testauksen suunnittelun ja toteutuksen vaiheet sekä eri vaiheissa tuotettavat dokumentit.

Suomen Pankki julkaisi TIBER-FI-soveltamisohjeen huhtikuussa 2020. Suomen soveltamisohjeen valmistelussa pyrittiin huomioimaan yritysten näkemykset. Soveltamisohjetta kehitetään edelleen saadun palautteen ja käytännön kokemusten perusteella.

TIBER-FI:n käyttö on alan yrityksille vapaaehtoista.

Suomen lisäksi TIBER-EU-kehikko on käytössä muun muassa Belgiassa, Hollannissa, Ruotsissa, Saksassa ja Tanskassa.

Mistä TIBER-FI koostuu?

Suomen soveltamisohjeen mukaisissa testauksissa käytettävä uhkakuva muodostetaan vuosittain päivitettävän uhkatietoraportin pohjalta.

Raportin tuottamisesta vastaa pohjoismainen Nordic Financial CERT -toimialajärjestö. Joulukuusta 2020 alkaen raportti kattaa kaikki Pohjoismaat.

Järjestelmiinsä kohdistuvaa TIBER-FI-testiä suorittavat organisaatiot saavat lisäksi käyttöönsä koosteen tunkeutumistestauksissa sovellettavasta Suomen lainsäädännöstä.

Testausten suunnittelua ja koordinointia varten Suomen Pankki tarjoaa testaaville organisaatioille mallin mukaiset testauspäällikön palvelut.

Tiedonvaihtoa ja yhteistyötä varten Suomen Pankki käynnisti vuoden 2020 aikana TIBER-FI-yhteistyöverkoston, jonka jäseninä on kyberturvallisuuden parissa työskenteleviä asiantuntijoita rahoitussektorin organisaatioista.



Seuraava artikkeli

Aktiivinen vuosi TARGET-palveluissa