Uw organisatie voorbereiden op een cyberaanval met een ART-test

Dit artikel is voor CISO’s of hoger managementfuncties die zich afvragen of hun organisatie wel toe is aan een ART-test en hoe ze zich daar het best op kunnen voorbereiden.

Stappen ter voorbereiding

Tijdens een ART-test kunnen alle aspecten van informatiebeveiliging van uw instelling op de proef worden gesteld. In onderstaand stappenplan (figuur 1) is te zien welke aspecten dat zijn, en welke voorbereidende stappen we u adviseren om van een ART-test een optimale leerervaring te maken. Als deze stappen doorlopen zijn, biedt het modulair opgebouwde ART-framework een efficiënte en realistische manier om de cyberweerbaarheid te toetsen.

Figuur 1 Stappenplan om uw organisatie voor te bereiden op een red team test zoals ART en TIBER. Gebaseerd op ervaringen zoals die in het TIBER-programma zijn opgedaan.

Bestuur

Voor het uitvoeren van de stappen heeft u in uw functie als CISO allereerst draagvlak nodig op bestuursniveau. Dit is weergegeven in het blok ‘Governance’. Het vrijmaken van capaciteit en inplannen van benodigde resources vraagt in de praktijk relatief lange doorlooptijd. Tijdens de uitvoer van de ART-test is minimaal één bestuurder actief betrokken, in tegenstelling tot mensen die betrokken of verantwoordelijk zijn voor de verdediging. Om de leerervaring te maximeren, mogen zij namelijk niets weten van de test.

Volwassenheid

We adviseren u eerst om de volwassenheid van de security-organisatie op orde te brengen (zie kader ‘security organisatie’). Zorg dat de basis-hygiëne op orde is door te certificeren voor bijvoorbeeld ISO27001 of een vergelijkbare norm voor information security management. De level 1-wetgeving voor Digital Operational Resilience Act (DORA) en de bijbehorende level 2-wetgeving, in de vorm van de Regulatory Technical Standards (RTS) kunnen daarbij ook helpen. Een security operations center (SOC)  is noodzakelijk om een cyberaanval te kunnen detecteren. De Threat Intelligence functie kan deels worden ingekocht bij een externe security provider.

Cyberweerbaarheid

Parallel aan het op orde brengen van de security-organisatie, kunt u ter voorbereiding op red team testen verschillende type security-testen met regelmaat uit laten voeren, zoals die zijn weergegeven in figuur 1. Security-testen verhogen de weerbaarheid van uw organisatie, mits opvolging wordt gegeven aan de verbeterpunten die uit de testen voortkomen.

Meer inhoudelijke toelichting op de stappen is te vinden op: Bereid je voor op een cyberaanval.

De ART-test

Startpunt voor het ontwikkelen van een aanvalsscenario voor een red team test à la ART of TIBER is het generiek cyber dreigingslandschap dat jaarlijks door DNB wordt opgesteld voor de Resilience Testing Community van DNB. Dit document wordt ook gedeeld met elke instelling wanneer die een ART-test doet.

Een red team-test à la ART (of TIBER) wordt uitgevoerd door ethical hackers in dienst van een externe provider van deze diensten. Na de ART-test zal duidelijk zijn of de genoemde security-processen en beheersmaatregelen binnen uw organisatie een coherent geheel vormen, en wat de verbeterpunten zijn. 

Tarief DNB

Om een red team-test als ART-test te laten kwalificeren, is het nodig dat een Test-manager van DNB de test begeleidt en dat de verplichte stappen uit het ART-framework worden doorlopen. DNB rekent voor het delen van het generiek cyber dreigingslandschap en de begeleiding een kostendekkend tarief. Dit staat los van de kosten die uw instelling betaalt aan de security-provider die de ART-test uitvoert. Na de test kan de instelling een attestatie ontvangen van DNB als is voldaan aan de vereisten van het ART-framework.

Meer weten?

Voor meer informatie over de verschillende soorten raamwerken die DNB ontwikkeld heeft en gebruikt voor dreiging gebaseerde red teamtesten, zie Begeleiding cyberweerbaarheidstesten door DNB. Voor vragen neemt u contact op met tct@dnb.nl.