Testauksen valmisteluun kuuluu jokaisella toimijalla seuraavat vaiheet.
Testaustoiminnan käynnistäminen ja organisointi
Finanssialan toimija päättää testaustoiminnan käynnistämisestä ja resursoinnista. Keskeisiin päätöksiin kuuluu White Teamin asettaminen. White Team aloittaa käytännössä testaukseen liittyvän valmistelun.
White Teamin tulee tutustua TIBER-FI soveltamisohjeeseen, toimialan uhkatietoraporttiin sekä lainsäädännölliseen viitekehykseen. Niiden sekä omien testaukseen liittyvien tavoitteidensa perusteella White Team päättää ylätasolla siitä mitä toimintoja tullaan testaamaan ja missä laajuudessa. Tällä valinnalla on olennaisesti vaikutusta testaustoiminnan kustannustasoon ja valittaviin palvelukumppaneihin.
Tehtävä | Vastuullinen taho |
White Teamin nimittäminen | Finanssialan toimijan johto |
TIBER-FI-ohjeisiin tutustuminen | White Team |
Toimialan uhkatietoraporttiin tutustuminen | White Team |
Lainsäädännölliseen viitekehykseen tutustuminen | White Team |
Testauksen piirissä olevista toiminnoista päättäminen | White Team |
Testauspalveluiden hankinta
White Team vastaa testauspalveluiden hankinnasta. Palveluita tarvitaan kohdennettujen uhkatietojen laatimiseksi sekä itse testauksen järjestämiseksi. Palvelut voivat tulla samalta toimittajalta, tai finanssialan toimija voi kokonaan tai osin toimittaa palvelut sisäisesti. Tarkempia tietoja tästä on mainittu roolien määrityksissä.
Testauspalveluiden hankinnassa on syytä kiinnittää huomiota toimijoiden osaamiseen, jotta testauksesta itsestään ei aiheudu merkittävää liiketoiminnallista riskiä ja jotta testauksessa saavutetaan sille asetetut tavoitteet. Testauspalveluiden hankinnassa suositellaan sovellettavaksi TIBER-EU-ohjeistusta.
Testauspäällikkö konsultoi tarvittaessa testauspalveluiden hankintaa liittyvissä asioissa.
Tehtävä | Vastuullinen taho |
Kohdennettujen uhkatietopalveluiden hankinta | White Team |
Red Team -testauspalveluiden hankinta | White Team |
Aloitustapaaminen
Kun testauspalveluiden hankinnasta on sovittu, järjestetään kaikkien osapuolten yhteinen aloitustapaaminen. Aloitustapaamisen tarkoituksena on sopia testauksen suunnitteluun ja toteuttamiseen liittyvistä vastuista ja aikatauluista. Tapaamisen asialistalla ovat
- testauksen organisaatio
- testauksen tavoitteet suhteessa toimialan uhkatietoraporttiin
- valmistelun ja testauksen aikataulut
- yhteystavat valmistelun ja testauksen aikana
- riskienhallinta
- muut testaukseen liittyvät käytännön asiat.
Aloitustapaamiseen osallistuvat
- White Team, vähintään White Team Lead
- testauspalvelutuottajien edustajat
- testauspäällikkö.
Tehtävä | Vastuullinen taho |
Aloitustapaamisen kutsuminen | White Team |
Testaukseen liittyvien riskien hallinta
TIBER-FI-toimintamallin keskeinen ajatus on, että testaustoimenpiteet tehdään tuotantojärjestelmissä. Tällä tavoin testauksen tulokset vastaavat mahdollisimman tarkasti sitä, miten tietoverkkorikolliset näkevät finanssialan toimijan hyökkäyspinnan ja kyvykkyydet. Testaustavasta johtuen testien toteuttamiseen liittyy useita riskejä, joiden hallintaan täytyy kiinnittää erityistä huomiota. Riskienhallinnan keinoin on varmistuttava siitä, ettei testaus aiheuta häiriöitä. Testauksen kohteena olevissa toiminnoissa käsitellään lailla suojattuja tietoja, kuten pankkisalaisuuksia, sähköistä viestintää ja henkilötietoja. Testauksessa tulee pyrkiä riskienhallinnan keinoin näiden tietojen loukkaamattomuuteen.
Osapuolten tulisi hallita riskejä testien suunnittelussa ja toteuttamisessa vähintään seuraavilla tavoilla:
- Testauksen tavoitteet ja kohteet on dokumentoitu selvästi, ja ne ovat osapuolten tiedossa.
- Testauksen rajoitteet, kuten toiminnot, järjestelmät ja tiedot, on dokumentoitu selvästi, ja ne ovat osapuolten tiedossa.
- Testauksen ajankohdat ovat White Teamin tiedossa.
- Testauksenaikaiset yhteydenpitokäytännöt on sovittu, ja White Teamilla on mahdollisuus keskeyttää testaus koska tahansa.
- Uhkatietotoimijan ja Red Teamin tietoturvajärjestelyistä toimijan tietojen suojaamiseksi on sovittu.
White Team laatii testausta koskevan riskienhallintasuunnitelman. Suunnitelmassa otetaan kantaa siihen,
- millaisia taktiikoita, tekniikoita tai menetelmiä testauksessa ei saa käyttää
- mitkä tietojärjestelmät, toiminnot tai muut kokonaisuudet ovat testauksen ulkopuolella
- miten mahdollisiin testauksen aiheuttamiin häiriöihin varaudutaan.
White Teamin vastuulla on huolehtia siitä, että Red Team laatii toteuttamissuunnitelman riskiarvion puitteissa.
On suositeltavaa, että uhkatietotoimija, Red Team ja White Team sopivat projektin koodinimistä, joita käytetään testaustoimeksiannon dokumentaatioissa. Koodinimen tarkoitus on peittää asiakkaan identiteetti sekä toimeksiannon tyyppi.
Uhkatietotoimijan ja Red Teamin tulee noudattaa erityistä huolellisuutta kaikessa testaustoimeksiantoon liittyvien tietojen käsittelyssä ja tarvittaessa osoittaa White Teamille sisäiset käytänteensä toimeksiantojen tietojen käsittelyn ja tallentamisen suojaamiseksi sekä tietojen poistamiseksi TIBER-FI-toimeksiannon päätyttyä.
TIBER-FI koordinaatioryhmälle ja testauspäällikölle kohdistuu julkisuuslaista salassapitovelvoite toimijoiden TIBER-FI-testausta koskeviin tietoihin.
Tehtävä | Vastuullinen taho |
Riskienhallintasuunnitelman laadinta ja täytäntöönpano | White Team |
Toimeksiannon turvallisuuskäytännöt | Testauspalvelutuottajat |
Testaussuunnitelman laadinta
Testaussuunnitelman laadinta tapahtuu White Teamin ja testauspalveluiden toimittajien yhteistyönä. White Teamin tehtäviin kuuluu testattavien kohteiden valinta, maaleista sopiminen, riskienhallinta sekä kohteiden ja testausmenetelmien rajoittaminen. Rajoituksia testaukselle aiheutuu esimerkiksi lainsäädännöllisestä viitekehyksestä ja riskienhallintasyistä.
Testaussuunnitelmassa kuvataan
- testauksen tavoiteaikataulu
- testattavat kohteet
- testauksessa tavoiteltavat konkreettiset maalit (flag)
- testaukseen liittyvät rajaukset
- riskienhallinta
- testauksen organisaatiot
- yhteystavat testauksen aikana.
Testaussuunnitelmaa laadittaessa ovat keskeisiä seuraavat asiat:
- Valitut kohteet ja testaustapa kytkeytyvät toimialan uhkatietoon sekä finanssialan kriittisiin toimintoihin.
- Suunnitellut testiskenaariot kattavat uhkaraporttien merkittävimpiä uhkia.
- Suunnitellut testiskenaariot muistuttavat menetelmiltään ja työkaluiltaan todellisten kyberrikollisten keinoja, ja sisältävät myös Red Team -toimittajan näkemyksiä sellaisista hyökkäystaktiikoista, -tekniikoista ja -menetelmistä, joita ei vielä välttämättä ole nähty, mutta jotka ovat toimittajan mielestä realistisia tai odotettavissa (”tradecraft”).
- Suunnitelman tulee sisältää skenaarioita, jotka toimijan voidaan odottaa havaitsevan, jotta päästään testaamaan Blue Teamin kyvykkyyttä reagoida hyökkäyksiin.
- Red Team -toimittaja kuvaa suunnitelmassa tilanteet, joissa tarvitaan apua ajankäytön tehostamiseksi. Esimerkiksi kalasteluhyökkäys voidaan toteuttaa siihen asti, että voidaan näyttää sen onnistuvan, mutta koko loppuskenaariota ei välttämättä ole järkevää toteuttaa kalastelulla saadun jalansijan kautta.
- Suunnitellut skenaariot eivät mallinna kaavamaisesti jo tapahtuneita hyökkäyksiä. Tarkoituksenmukaista ei ole myöskään kuvata skenaarioita, jotka vaativat osaamista, työkaluja tai teknologiaa, joita Red Team -tarjoajalla on käytössään, mutta jotka eivät vastaa todellisten hyökkääjien menetelmiä. Skenaarioiden tulee esittää kohdennetussa uhkatiedossa kuvattujen hyökkäystaktiikoiden, -tekniikoiden ja -menetelmien luovaa käyttöä realistisen uhkatoimijoiden emuloinniksi.
TIBER-FI-testaustoimeksianto kestää tavallisesti useita kuukausia kalenterissa. On suositeltavaa, että White Team ja testauspalvelutuottajat sopivat säännöllisestä, esimerkiksi viikoittaisesta, yhteyskäytännöstä testien edistymisen seuraamiseksi.
Tehtävä | Vastuullinen taho |
Testaussuunnitelman laadinta | White Team, testauspalvelutuottajat |