Artikel 11 Testfasen: rött lag-testning

För att avspegla TIBER-EU-ramens metoder bör testledarna ha nödvändig förmåga och kompetens för att kunna ge råd och ifrågasätta testarnas förslag. Erfarenheterna från TIBER-EU-ramen har visat att det är värdefullt att ha ett lag bestående av minst två testledare för varje test. För att återspegla att hotbildsstyrd penetrationstestning är tänkt att uppmuntra till lärande, och för att skydda testernas konfidentialitet, uppmanas myndigheter med ansvar för hotbildsstyrd penetrationstestning starkt att, såvida de inte har brist på resurser och expertis, ta hänsyn till att testledarna då testningen pågår inte bör bedriva tillsynsverksamhet på samma finansiella entitet som genomgår hotbildsstyrd penetrationstestning.

För att uppnå överensstämmelse med TIBER-EU-ramen är det viktigt att myndigheten med ansvar för hotbildsstyrd penetrationstestning noggrant följer testningen i varje steg. Med tanke på testningens karaktär och de risker som är förknippade med den är det av grundläggande betydelse att myndigheten med ansvar för hotbildsstyrd penetrationstestning är involverad i varje specifik testfas. I synnerhet bör myndigheten med ansvar för hotbildsstyrd penetrationstestning rådfrågas och validera de bedömningar eller beslut från de finansiella entiteternas sida som å ena sidan kan påverka testets effektivitet och å andra sidan kan påverka de risker som är förknippade med testet. Till de grundläggande steg som myndigheten med ansvar för hotbildsstyrd penetrationstestning specifikt måste vara involverad i hör validering av viss grundläggande testdokumentation och val av leverantörer av underrättelser om hot och testare samt riskhanteringsåtgärder. Involveringen av myndigheterna med ansvar för hotbildsstyrd penetrationstestning bör, särskilt när det gäller valideringar, inte leda till en alltför stor börda på dessa myndigheter och bör därför begränsas till sådan dokumentation och sådana beslut som direkt påverkar genomförandet av den hotbildsstyrda penetrationstestningen. Genom aktivt deltagande i varje fas av testningen kan myndigheterna med ansvar för hotbildsstyrd penetrationstestning på ett effektivt sätt bedöma de finansiella entiteternas efterlevnad av de relevanta kraven, vilket bör göra det möjligt för dessa myndigheter att utfärda intyg i enlighet med artikel 26.7 i förordning (EU) 2022/2554.

Sekretess är av yttersta vikt för den hotbildsstyrda penetrationstestningen för att säkerställa att testförhållandena är realistiska. Av denna anledning bör den hotbildsstyrda testningen ske dolt, och försiktighetsåtgärder bör vidtas för att hålla den konfidentiell, vilket innefattar val av kodnamn som bör tas fram så att tredje part inte kan identifiera testningen. Om personal som ansvarar för den finansiella gruppens säkerhet skulle känna till en planerad eller pågående hotbildsstyrd penetrationstestning är det sannolikt att de skulle vara mer uppmärksamma och observanta än under normala arbetsförhållanden, vilket skulle leda till ett skevt resultat av testningen. Personal vid den finansiella entiteten som inte ingår i ledningslaget bör därför endast göras uppmärksam på planerade eller pågående hotbildsstyrda penetrationstestningar om det finns tvingande skäl för detta och efter godkännande i förhand från testledarna, till exempel för att säkerställa att testet hålls hemligt om en medlem i det blå laget har upptäckt testningen.

Som framgår av erfarenheterna från genomförandet av TIBER-EU-ramen är det effektivaste sättet att säkerställa ett korrekt genomförande av testningen att hålla fysiska eller virtuella möten med alla berörda intressenter (finansiella entiteter, myndigheter, testare och leverantörer av underrättelser om hot). Fysiska och virtuella möten bör därför hållas under flera olika skeden av processen, särskilt under förberedelsefasen vid starten av den hotbildsstyrda penetrationstestningen och för att fastställa dess omfattning, under testfasen för att färdigställa hotunderrättelserapporten och planen för rött lag-testning och de veckovisa uppdateringarna, samt under avslutningsfasen för att gå igenom testarnas och det blå lagets åtgärder och de lila lagövningarna och utbyta återkoppling om den hotbildsstyrda penetrationstestningen.

För att säkerställa att testningen förlöper smidigt bör myndigheten med ansvar för hotbildsstyrd penetrationstestning tydligt redovisa sina förväntningar i fråga om testningen för den finansiella entiteten. I detta avseende bör testledarna säkerställa att ett lämpligt informationsflöde upprättas med ledningslaget inom den finansiella entiteten och med leverantörerna av hotbildsstyrd penetrationstestning.

För att testarna ska kunna utföra en realistisk och heltäckande testning där alla angreppsfaser utförs och alla flaggor nås bör tillräcklig tid avsättas för den aktiva rött lag-testfasen. Baserat på de erfarenheter som gjorts inom TIBER-EU-ramen bör den tid som avsätts vara minst tolv veckor och den bör fastställas med beaktande av antalet deltagande parter, omfattningen av den hotbildsstyrda penetrationstestningen, den eller de berörda finansiella entiteternas resurser, eventuella externa krav och tillgången till stödjande information som tillhandahålls av den finansiella entiteten.

Under den aktiva rött lag-testfasen bör testarna använda olika taktiker, teknik och förfaranden för att på lämpligt sätt testa den finansiella entitetens produktionssystem i drift. Taktikerna, tekniken och förfarandena bör, när så är lämpligt, innefatta rekognosering (dvs. insamling av så mycket information som möjligt om ett mål), användning av information som vapen (dvs. analys av information om infrastruktur, anläggningar och anställda och förberedelse för insatser riktade specifikt mot målet), utförande (dvs. aktiv igångsättning av hela insatsen mot målet), utnyttjande (dvs. där testarnas mål är att angripa den finansiella entitetens servrar och nätverk och utnyttja dess personal genom social manipulering), kontroll och förflyttning (dvs. försök att gå över från de angripna systemen till andra sårbara eller värdefulla system) och åtgärder gentemot målet (dvs. få ytterligare tillgång till angripna system och få tillgång till tidigare överenskommen målinformation och tidigare överenskomna måldata, enligt vad som tidigare överenskommits i planen för rött lag-testning).

När testare genomför en hotbildsstyrd penetrationstestning bör de agera med hänsyn till den tid som finns tillgänglig för att utföra angreppet, resurserna och etiska och rättsliga gränser. Om testarna inte kan gå vidare till nästa steg av angreppet enligt planen bör ledningslaget, efter överenskommelse med myndigheten som ansvarar för hotbildsstyrd penetrationstestning, ge tillfällig hjälp i form av hjälpinsatser. Hjälpinsatser kan i stora drag delas upp i hjälpinsatser som rör information respektive tillgång och kan innebära att tillgång ges till IKT-system eller interna nätverk för att fortsätta med testet och fokusera på följande angreppssteg.

Om det är nödvändigt för att kunna fortsätta den hotbildsstyrda penetrationstestningen, som en sista utväg under exceptionella omständigheter och när alla andra alternativ har uttömts, bör under de aktiva rött lag-insatserna i testfasen en gemensam testverksamhet som innefattar både testarna och det blå laget tillämpas. I samband med en sådan begränsad lila lagövning kan följande metoder användas: ”fångst och återsläpp”, där testare försöker fortsätta scenarierna, blir upptäcka och sedan återupptar testningen, ”krigsspel”, som möjliggör mer komplexa scenarier för att testa strategiskt beslutsfattande, eller ”koncepttest under samverkan”, som låter testare och medlemmar i det blå laget gemensamt validera specifika säkerhetsåtgärder, säkerhetsverktyg eller säkerhetsteknik i en kontrollerad och samarbetsinriktad miljö.