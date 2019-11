Norske finansinstitusjoner må bli sterkere rustet til å håndtere fremtidige cyberangrep. Svaret er å lete etter felles løsninger på tvers av de europeiske landegrensene – og Norge bør i likhet med nabolandene snarest mulig ta i bruk det nye standardiserte rammeverket TIBER-EU.

I september 2018 uttalte daværende DNB-sjef, Rune Bjerke, til Dagens Næringsliv at han frykter hacking kan utløse den neste finanskrisen. Samme år utarbeidet Den europeiske sentralbanken et rammeverk for standardisert testing av cybersikkerheten i finansiell sektor, kalt Framework for «Threat Intelligence-based Ethical Red Teaming» eller TIBER. Formålet er å styrke cybersikkerheten og fremme finansiell stabilitet.

Anette Roll Richardsen. Foto: Watchcom

Rammeverket er ment for aktører som utgjør en del av kritisk finansiell infrastruktur, og skal bidra til å gjøre finanssektoren bedre rustet til å oppdage, beskytte seg mot og håndtere alvorlige cyberangrep. I Norge er TIBER fremdeles til vurdering, mens i flere av våre naboland, blant annet Danmark og Sverige, er TIBER implementert eller under implementering.

Watchcom har lang erfaring med «red-team-øvelser» og penetrasjonstesting. Vi opplever at trusselbildet blir stadig mer komplekst og at det blir viktigere for virksomheter å være godt forberedt på et potensielt hackerangrep. Vi mener at rammeverket virker modent og gjennomtenkt. Erfaringer fra andre land som har innført TIBER er utelukkende positive. På bakgrunn av dette mener Watchcom at Finanstilsynet og Norges Bank bør oppfordre norske finansinstitusjoner til å starte implementeringen nå, for å unngå at Norge blir et yndet mål for hackere. Rammeverket og prinsippene kan og bør også overføres til andre sektorer.

Med TIBER kan virksomheter standardisere trusselbaserte «red team-øvelser». Et «red team» består av spesialtrente penetrasjonstestere som gjennomfører et kontrollert hackerangrep mot en virksomhets IKT-systemer. Dataangrepet gjennomføres basert et realistisk scenario ut fra trusselbildet for den spesifikke virksomheten.

En «red team-øvelse» er et effektivt virkemiddel for å teste og øve på motstandsdyktighet mot målrettede angrep. I etterkant av testingen utarbeides en rapport med anbefalinger om tiltak som kan redusere risiko i virksomhetens IKT-systemer. Mange bedrifter benytter seg allerede av denne type testing. Det er i midlertidig først ved implementering av TIBER eller lignende rammeverk at testresultatene systematisk kan brukes av myndighetene for å vurdere cybersikkerheten til systemer under sitt ansvarsområde – og slik ha et godt grunnlag for å bygge opp et effektivt felles forsvar basert på kunnskapsdeling.

Et cyberangrep mot én eller flere finansvirksomheter, vil i tillegg til kostnadene for den enkelte bedrift, kunne lamme sentrale samfunnsoppgaver og i ytterste konsekvens føre til en kollaps i finanssektoren. Både enkeltaktører og samfunnet vil være tjent med at Norge tar del i et felles europeisk rammeverk som TIBER. Med et koordinert samarbeid og resultatdeling over landegrensene, kan finanssektoren bli bedre rustet til å møte cybertrusler.

Anette Roll Richardsen

Adm. direktør i Watchcom