De reden voor het testen van de financiële kerninfrastructuur is het gegeven dat geavanceerde maar ook minder geavanceerde aanvallen de beschikbaarheid van de belangrijkste financiële diensten in het betalings- en effectenverkeer ernstig kunnen verstoren.
Nauwe samenwerking met ECB in strijd tegen cyberaanvallen
In Europa vindt de TIBER-aanpak inmiddels zijn weerslag in het in nauwe samenwerking met de Europese Centrale Bank (ECB) ontwikkelde Europese testraamwerk. In mei 2018 is door de ECB het TIBER-EU raamwerk gepubliceerd, en in augustus 2018 zijn richtlijnen voor het inkopen van zogenoemde ‘redteam’-diensten gepubliceerd door de ECB.
Op basis van de geplande pilot in de energie sector zal de Cybersecurity Alliantie beslissen of testen op basis van het TIBER-NL raamwerk voordelen heeft voor andere vitale sectoren, zoals de telecomsector. In de financiële sector zal samenwerking in het TIBER-NL programma ook in de pensioen- en verzekeraarssector worden opgezet.
Simulatie cyberaanvallen
De acceptatie van de TIBER-methodiek betekent dat het belang van standaardisering bij het verhogen van de weerbaarheid tegen digitale cyberaanvallen in binnen- en buitenland breed wordt onderkend. In het TIBER-programma dat DNB heeft ontwikkeld in samenwerking met de financiële sector, huren de deelnemende instellingen gespecialiseerde bedrijven in om op basis van de meest actuele dreigingsinformatie met een ‘red team’ gecontroleerde aanvallen uit te voeren op de live kritieke systemen van financiële instellingen.
Het TIBER-NL programma zorgt ervoor dat de testen voldoen aan hoge kwaliteitsnormen, die er in voorzien dat instellingen gevoelige informatie over de tests op een verantwoorde en gestandaardiseerde manier met elkaar kunnen uitwisselen. Om over de beste dreigingsinformatie te beschikken wordt samengewerkt met experts uit de sector, de inlichtingendiensten, de politie en het Nationaal Cybersecurity Centrum.
Testscenario’s
Bij de testen binnen het TIBER-programma wordt getest op live-systemen, met als uitgangspunt dat er onder geen beding daadwerkelijke verstoringen kunnen plaatsvinden. In de praktijk worden door de geteste instellingen ook crisismanagementoefeningen gedaan waarbij de testscenario’s gebruikt kunnen worden.
De leerervaring van de deelnemende instellingen staat centraal. Om deze leerervaring te versterken worden in een besloten verband van deelnemende instellingen de geleerde lessen uit de testen en good practices met elkaar gedeeld.