TIBER-FI-toimintamalliin osallistuvat seuraavat osapuolet.

TIBER-FI toimintamallin osapuolet

TIBER-FI Cyber Team (TCT) 

Suomen Pankki on laatinut TIBER-FI-kehikon ja vastaa sen soveltamisen ohjauksesta. Tähän tehtävään pankki on nimittänyt sisäisen TIBER-FI Cyber Team -ryhmän (TCT).

TIBER-FI Cyber Team -ryhmän tehtävänä on edistää TIBER-FI:n käyttöönottoa, ylläpitää toimintamallia koskevia ohjeita, koordinoida toimialan uhkatietoraportin laadintaa sekä tarjota tukea ja ohjeistusta finanssialan toimijoille toimintamallin soveltamisessa. TCT-ryhmä varmistaa, että TIBER-FI-toimintamallin soveltaminen tapahtuu korkeatasoisesti ja siten, että mallille asetetut tavoitteet täyttyvät. Lisäksi TCT-ryhmä huolehtii yhteydenpidosta Euroopan keskuspankin TIBER-EU Knowledge Center -koordinointiryhmään sekä muiden keskuspankkien TCT-ryhmiin. 

TIBER-FI Test Manager (TTM) 

TIBER-FI Test Manager (TTM) on Suomen Pankin lukuun toimiva henkilö ja TCT-ryhmän jäsen. Test Managerin tehtäviin kuuluu TIBER-FI-toiminnan käytännön toimien koordinointi. TTM on finanssialan toimijoita tukeva yhteyshenkilö kaikissa toimissa, jotka liittyvät TIBER-FI:n soveltamiseen ja käytännön toimiin. Tällaisia alueita ovat TIBER-FI-toimintamalliin liittyvät kysymykset, toimialan uhkatietoraportin soveltaminen, testausten valmistelu ja kohdentaminen sekä testauksen riskien hallinta. 

Finanssialan toimija

Finanssialan toimijat arvioivat TIBER-FI-kehikon soveltuvuuden omaan kyberturvallisuuden testaustoimintaansa. Itse TIBER-FI-toimintamalliin liittyminen on vapaaehtoista ja maksutonta. Toimintaan ilmoittaudutaan kausittain ilmoitettavaan määräaikaan mennessä. 

Ilmoittautuneen finanssialan toimijan tulee tämän ohjeen mukaisesti järjestää sisäinen testaustoiminnan koordinointiryhmä (White Team), hankkia testaamiseen tarvittavat palvelut sekä suunnitella, toteuttaa, ja raportoida tehdyistä testeistä.

Finanssialan toimija kantaa osallistumisesta aiheutuvat sisäisen työn, alihankkijoiden, testauspalvelutuottajien ja muiden vastaavien kustannukset itse. Toimijoilla on itsellään laaja harkinta määrittää testaamisen laajuus. Suomen Pankki avustaa toimijaa Test Managerin tuella. 

Suomen Pankki käsittelee TIBER-FI-toiminnassa mukanaolon salassa pidettäväksi luokiteltuna tietona.

White Team (WT) 

TIBER-FI-toimintaan osallistuvan finanssialan toimijan tulee osoittaa harjoitustoimintaa ohjaava ryhmä. Tätä ryhmää kutsutaan nimellä White Team (WT). Ryhmän tehtäviin kuuluu

  • testaustoiminnan järjestäminen ja ohjaus
  • yhteydenpito TCT-ryhmään
  • testattavien kohteiden valinta ja rajaukset
  • uhkatieto- ja Red Team-palveluiden hankinta
  • testaukseen kuuluvien riskienhallintatoimien toteuttaminen
  • testauksen oppien kokoaminen ja raportointi. 

TIBER-FI-kehikon mukaisessa toiminnassa White Team-ryhmän tehtäviin kuuluu myös sen varmistaminen, että testaustoiminta on TIBER-FI:ta koskevan ohjeistuksen mukaista.

Ryhmään kuuluu

  • testaustoiminnan johtaja (White Team Lead), joka on kokonaisvastuussa ryhmän toiminnasta ja yhteydenpidosta TCT-ryhmään
  • johtoryhmän jäsen, kuten operatiivinen johtaja (COO) tai tietohallintojohtaja (CIO)
  • tietoturvajohtaja (CISO)
  • testattavia toimintoja tuntevia henkilöitä.

White Team Lead voi olla konsultti tai muu finanssialan toimijan organisaatioon kuulumaton henkilö. White Teamin kokoonpanoon voi kuulua palvelutuottajia, kuten toimijan IT- ja tietoturvapalvelukumppaneita.

Ryhmän koko tulee pitää pienenä sen varmistamiseksi, että tieto testauksen sisällöstä ja aikataulusta pysyy luottamuksellisena. On keskeistä varmistaa, etteivät White Teamin hallussa olevat tiedot pääse vaikuttamaan Blue Teamin toimenpiteisiin. Tämä tulee huomioida White Teamin ja sen sidostahojen keskinäisessä yhteydenpidossa.

TIBER-FI:n mukaisen White Teamin järjestämisessä suositellaan noudatettavaksi TIBER-EU White Team Guidance -ohjeistusta (pdf). 

Blue Team (BT) 

Muu kuin White Teamiin osallistuva finanssialan toimijan henkilöstö ja soveltuvien palvelutuottajien henkilöstö on tietämätön harjoituksen ajankohdista ja sisällöstä. Tämä joukko toimii testauksen aikana finanssialan toimijan normaalien sisäisten prosessien ja ohjeiden mukaisesti. TIBER-FI-toimintamallissa ja Red Team -testauksessa on keskeistä, että testauksen sisältö, menetelmät ja ajankohta eivät ole muiden kuin White Teamin tiedossa etukäteen. 

Testauksen raportointia ja oppeja varten kootaan testauksen päätyttyä erityinen Blue Team -ryhmä. Tähän ryhmään kootaan soveltuvin osin tietoturva- ja IT-operaatioista vastaavia henkilöitä niiltä alueilta, joita testaus kulloinkin koskee. Kokoonpanoon voi kuulua palvelutuottajien henkilöstöä. Blue Team osallistuu testien yhteenvetoon, läpikävelyihin, ja raportointiin.

Uhkatietotoimija

Uhkatietotoimijalla (threat intelligence provider) tarkoitetaan osapuolta, joka laatii testauksessa tarvittavan toimijakohtaisen uhkatietoraportin (targeted threat intelligence). Uhkatietoraportti on tiedusteluraportti, joka käsittelee kyseisen finanssialan toimijan kyberturvallisuutta ja hyökkäysrajapintaa. Raportti sisältää samaa informaatiota, jota edistynyt hyökkääjä kerää kohdeorganisaatiosta hyökkäystä suunnitellessaan. TIBER-FI-toiminnan mukainen Red Team-testaus perustuu hyvin laadittuun uhkatietoon toimijan niistä toiminnoista, joihin testausta tullaan kohdistamaan. 

Uhkatietotoimijalla on kyky hankkia ja yhdistellä tietoa julkisista lähteistä sekä muutoin tiedustelemalla, esimerkiksi hankkimalla tietoa peiteroolissa toimijan henkilöstöltä. Uhkatietotoimija voi olla finanssialan toimijan sisäinen yksikkö. Uhkatietotoimija voi olla sama kuin toimeksiannon Red Team -palveluiden toimittaja. 

Red Team (RT) 

Testauksen operatiivisen osuuden suorittavaa ryhmää kutsutaan nimellä Red Team. Red Team on tyypillisesti kaupallinen testauspalvelutuottaja. Silloin kun kyse on finanssitoimijan omasta Red Teamista, täytyy huolehtia uskottavasti siitä, että Red Team on riippumaton tietojärjestelmien suunnittelusta, toteutuksesta ja valvonnasta. On keskeistä, että Red Teamin lähestyminen hyökkäysten suunnitteluun ja toteuttamiseen jäljittelee kehittyneen ulkoisen hyökkääjän menetelmiä. 

Hyvässä Red Teamissa tulisi olla monipuolinen joukko osaamista kyberturvallisuuden eri osa-alueista, kuten riskienhallinnasta, tunkeutumistestauksesta, kohdennetuista hyökkäyksistä, avointen lähteiden tiedustelusta, sekä sosiaalisesta manipuloinnista. Ryhmän koko vaihtelee kohteen erityispiirteiden ja testaussuunnitelman laajuuden perusteella. 

Red Teamilla on vetäjä, Red Team Test Manager, joka toimii ryhmän yhteyshenkilönä ja vastaa testaussuunnitelman laadinnasta, ryhmän toiminnan koordinoinnista sekä testaustulosten raportoinnista. 

Yksi keskeisistä TIBER-FI-testauksen riskienhallintamenetelmistä on mahdollisimman pätevän ja kokeneen Red Team -toimittajan valitseminen. Tämän valinnan helpottamiseksi TIBER-EU tarjoaa ohjeistusta palvelun hankinnan tueksi (pdf). 

Nordic Financial CERT 

Nordic Financial CERT (NFCERT) on voittoa tavoittelematon CERT-toimija, joka jakaa uhkatietoa jäsenistönsä kesken. NFCERT on erikoistunut palvelemaan finanssialan toimijoita. 

Suomen Pankki hankkii NFCERT:ltä toimialan yhteisen TIBER-FI-uhkatietoraportin. Uhkatietoraportti on luottamuksellinen ja ainoastaan TIBER-FI-toimintaan ilmoittautuneiden finanssialan toimijoiden käytössä TIBER-FI-testaukseen.