Byrja í haust með að „gera árás á okkur sjálf“

Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika hjá Seðlabanka Íslands.
Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika hjá Seðlabanka Íslands. mbl.is/Kristinn Magnússon

Í haust ætlar Seðlabankinn að hefja formlegar prófanir á netöryggi og viðnámsþrótti fjármálakerfisins í tengslum við innleiðingu svokallaðrar TIBER-umgjarðar hér á landi. Fyrstu prófanir munu beinast að Seðlabankanum sjálfum, en fyrirtæki á sviði netöryggismála verður fengið til að gera fyrirvaralausa árás.

Verkefnið nær aftur til ársins 2018 þegar evrópski seðlabankinn (ECB) setti fram umgjörð um það hvernig ætti að framkvæma prófanir á viðnámsþrótti gegn netárásum. Fékk sú umgjörð nafnið TIBER-EU.1. Áður höfðu Englandsbanki og seðlabankinn í Hollandi komið upp svipaðri umgjörð.

Viðnámsþrótturinn reyndur

Nú hefur Seðlabanki Íslands tilkynnt ECB um að taka eigi upp þessa umgjörð hér á landi og er innleiðing hennar þegar hafin innan Seðlabankans. Auk þess að prófa viðnámsþrótt Seðlabankans er ætlunin að prófa með formlegum og viðurkenndum hætti viðnámsþrótt íslenskra fjármálafyrirtækja gegn netárásum, en stefnt er að því að fyrstu prófanirnar hefjist í haust.

Í nýjasta hefti Fjármálastöðugleika er nánar farið yfir hvað muni felast í íslensku umgjörðinni og þeim prófunum sem gerðar verða:

„TIBER-IS mun byggjast á því að beita sérsniðnum árásum á mikilvæg kerfi í raunumhverfi fjármálafyrirtækja og verða árásirnar framkvæmdar af viðurkenndum fyrirtækjum á sviði netöryggismála (e. Red Team providers). Byggt er á þekktum árásarmynstrum, þ.e. þeim sem talið er líklegast að verði beitt komi í raun til netárása. Fengin er aðstoð við að hanna slík árásarmynstur frá fyrirtækjum sem sérhæfa sig í öflun upplýsinga um netárásaraðferðir sem algengast er að beitt sé á viðkomandi svæði (e. Threat Intelligence providers).

Framfaraspor fyrir okkur

Netárásirnar eru síðan gerðar fyrirvaralaust á fjármálafyrirtæki, þ.e. án þess að netöryggisteymi fyrirtækis viti af þeim (e. Blue Team) þó þannig að sérstakt teymi innan viðkomandi fyrirtækis (e. White Team) heldur utan um prófanirnar í samráði við TIBER-IS netárásateymi Seðlabankans. TeymiSeðlabankans veitir upplýsingar um TIBER-IS, útvegar viðeigandi leiðbeiningaskjöl og sniðmát, aðstoðar og fylgist með framkvæmd prófana og tryggir að þær uppfylli kröfur TIBER-EU umgjarðar ECB.“

Á kynningarfundi fjármálastöðugleikanefndar í morgun sagði Gunnar Jakobsson, varaseðlabankastjóri fjármálastöðugleika, að gott starf hefði verið unnið undanfarið við að efla netöryggi, en að núna væri verið að undirbúa það sem fram undan væri í þeim efnum. Hann sagði að með þessu væri íslenska fjármálakerfið að komast á sama stað og nágrannalönd okkar sem þegar hafa innleitt þessa umgjörð.

„Framfaraspor fyrir okkur, en þarna erum við í raun bara að stíga á sama pall eins og Norðurlöndin hafa verið á, að vera með prófanir á netöryggi, ekki bara bankakerfisins heldur Seðlabankans. Í því samhengi má segja að við munum líklega byrja á að prófa umgjörðina, TIBER-umgjörðina, á Seðlabankanum og gera árás á okkur sjálf.“

mbl.is