close
Share with your friends

Tiber – ett ramverk för att hantera cyberhot inom finanssektorn

Det nya EU-ramverket Tiber ställer hårda krav på cybersäkerhet. Riksbanken har nu beslutat att anta ramverket i Sverige. Här förklarar vi vad det innebär för aktörer inom finansbranschen. Och hur KPMG:s unika metodik kan säkra våra kunders verksamheter.

Tiber (Threat intelligence-based ethical red teaming) är ett ramverk som har tagits fram av ECB (Europeiska centralbanken). På ett standardiserat sätt testas hur viktiga infrastrukturföretag och banker står upp mot cyberhot. Kortfattat innebär testet att en cyberattack simuleras mot ett företag under ordnade former.

Enligt Riksbanken är målen med ramverket Tiber-EU i första hand att öka motståndskraften mot cyberhot i den finansiella sektorn, att standardisera hur man gör så kallade red team-tester inom EU, samt att ge stöd för gränsöverskridande tester. Nyligen gick också Riksbanken ut med att man antar ramverket i Sverige. Tester enligt Tiber-SE kommer att genomföras de närmaste åren och centrala aktörer i det svenska finansiella systemet kommer att genomgå dem.

Hur påverkas finansbranschen?

– Enligt uppgifter från Riksbanken kan hela finansbranschen beröras på sikt, i en stegvis upptrappning. I första fasen berörs, vad vi vet, endast finansiellt infrastrukturviktiga företag och myndigheter. Den ”testcykeln” kommer att genomföras under 2020-2022 och kommer kontinuerligt att utvärderas av Riksbanken, vars ambition är att övriga delar av finansbranschen ska börja använda sig av ramverket. Förmodligen stegvis även här, säger Per Henrik Werner på KPMG Cyber Security Sverige.

Vad kommer att krävas av aktörer inom finanssektorn?

– Alla som ska vara med i testet ska själva upphandla en extern part som hjälper dem med red teaming, en ”RT-leverantör”. Riksbanken kommer att tillhandahålla en övergripande hotbildsanalys för finanssektorn. Varje enskild aktör ska sedan upphandla en egen hotbildsanalys, en så kallad TI-leverantör.

Tiber genrebild

Vad innebär Tiber?

– Det sätter en ny standard för red team-övningar, med extremt höga krav på den som levererar tjänster inom ramen för Tiber. Ramverket kan appliceras på vilken bransch som helst, men finansbranschen går i bräschen, förklarar Per Henrik Werner.

Hur kan KPMG säkra kundernas verksamheter?

– Vi anser att ett red team-test enligt Tiber-ramverket borde vara en naturlig del i det kontinuerliga riskarbetet. KPMG har erfarenhet av att bistå med motsvarande tester i Storbritannien. Vår unika metodik kan stärka och säkra kundernas verksamheter:

  • KPMG Cyber Security kan attackera målorganisationen med likadana tekniker som verkliga angripare skulle använda, vilket skapar en tydlig och realistisk förståelse för organisationens största riskområden och mest kritiska utvecklingsmål.
  • Red team-övningar utförs vanligtvis under en längre tidsperiod, vilket återspeglar både tålamodet och viljan att förbli oupptäckt hos en motiverad angripare i det verkliga livet. Övningen består vanligtvis av flera faser: Spaning och attackplanering, tillgång, lateral förflyttning och data-exfiltrering, till sist – dölja spår.
  • Metoden skapar ett mycket detaljerat resultat som visar hur det interna kontrollsystemet fungerar gentemot den aktuella – och föränderliga – hotbilden.
  • KPMG Cyber Security kan även stödja kunder i att ta fram en Tiber road map – det som behövs för att möta upp mot förväntningarna inom ramen för Tiber – innan ramverket börjar gälla i finansbranschen.
  • KPMG Cyber Security Sverige har senior personal som genomfört red team-tester under flera år inom såväl finansbranschen som övriga branscher.

Tiber-EU publicerades av ECB i maj 2018. Relevanta myndigheter i europeiska länder har möjlighet att använda ramverket, som kan anpassas för respektive land. 

Kontakt

För mer information kontakta:

Per-Olov Humla, chef Cyber Security KPMG i Sverige.

Per Henrik Werner, manager Cyber Security KPMG i Sverige.