Toimintaan osallistuvat osapuolet

TIBER-FI-toimintamallin osapuolet kaaviona.

TIBER-FI koordinaattiryhmä (TCT) 

Suomen Pankki on laatinut TIBER-FI-kehikon ja vastaa sen soveltamisen ohjauksesta. Tähän tehtävään pankki on nimittänyt sisäisen TIBER-FI koordinaatioryhmän (TCT).

TIBER-FI koordinaatioryhmän tehtävänä on edistää TIBER-FI:n käyttöönottoa, ylläpitää toimintamallia koskevia ohjeita, koordinoida toimialan uhkatietoraportin laadintaa sekä tarjota tukea ja ohjeistusta finanssialan toimijoille toimintamallin soveltamisessa. TCT-ryhmä varmistaa, että TIBER-FI-toimintamallin soveltaminen tapahtuu korkeatasoisesti ja siten, että mallille asetetut tavoitteet täyttyvät. Lisäksi TCT-ryhmä huolehtii yhteydenpidosta Euroopan keskuspankin TIBER-EU Knowledge Center -koordinointiryhmään sekä muiden keskuspankkien TCT-ryhmiin. 

Testauspäällikkö (TIBER-FI Test Manager, TTM) 

Testauspäällikkö eli TIBER-FI Test Manager (TTM) on Suomen Pankin lukuun toimiva henkilö ja TCT-ryhmän jäsen. Testauspäällikön tehtäviin kuuluu TIBER-FI-toiminnan käytännön toimien koordinointi ja tukeminen. Testauspäällikkö avustaa mallin osapuolia ja testausprojekteja TIBER-FI-toimintamalliin liittyvissä kysymyksissä, toimialan uhkatietoraportin soveltamisessa, testausten valmistelussa ja kohdentamisessa sekä testauksen riskien hallinnassa.

Finanssisektorin toimija

Toimijat arvioivat itsenäisesti TIBER-FI-kehikon soveltuvuuden omaan kyberturvallisuuden testaustoimintaansa. Itse TIBER-FI-toimintamallin mukainen tietoturvan testaaminen on vapaaehtoista ja kehikon käyttö on maksutonta. Päätöksen kehikon käytöstä tekee testaavan organisaation johto. (Osallistumisesta päättäminen)

Testaavan organisaation tulee tämän ohjeen mukaisesti järjestää sisäinen testaustoiminnan koordinointiryhmä (White Team), hankkia testaamiseen tarvittavat palvelut sekä suunnitella, toteuttaa ja raportoida tehdyistä testeistä.

Finanssisektorin toimija kantaa testaamisesta aiheutuvat sisäisen työn, alihankkijoiden, testauspalvelutuottajien ja muiden vastaavien kustannukset itse. Toimijoilla on itsellään laaja harkinta määrittää testaamisen laajuus. Suomen Pankki avustaa toimijaa testauspäällikön tuella.

Suomen Pankki käsittelee TIBER-FI-toiminnassa mukanaolon salassa pidettäväksi luokiteltuna tietona.

WhiteTeam (WT) 

TIBER-FI-toimintaan osallistuvan finanssisektorin toimijan tulee osoittaa testaustoimintaa ohjaava ryhmä. Tätä ryhmää kutsutaan nimellä White Team (WT). Ryhmän tehtäviin kuuluu

  • testaustoiminnan järjestäminen ja ohjaus
  • yhteydenpito TCT-ryhmään
  • testattavien kohteiden valinta ja rajaukset
  • uhkatieto- ja Red Team-palveluiden hankinta
  • testaukseen kuuluvien riskienhallintatoimien toteuttaminen
  • testauksen oppien kokoaminen ja raportointi

TIBER-FI-kehikon mukaisessa toiminnassa White Team-ryhmän tehtäviin kuuluu myös sen varmistaminen, että testaustoiminta on TIBER-FI:ta koskevan ohjeistuksen mukaista.

Ryhmään kuuluu

  • testaustoiminnan johtaja (White Team Lead), joka on kokonaisvastuussa ryhmän toiminnasta ja yhteydenpidosta TCT-ryhmään
  • johtoryhmän jäsen, kuten operatiivinen johtaja (COO) tai tietohallintojohtaja (CIO)
  • tietoturvajohtaja (CISO)
  • testattavia toimintoja tuntevia henkilöitä

White Team Lead voi olla konsultti tai muu finanssialan toimijan organisaatioon kuulumaton henkilö. White Teamin kokoonpanoon voi kuulua palvelutuottajia, kuten toimijan IT- ja tietoturvapalvelukumppaneita.

Ryhmän koko tulee pitää pienenä sen varmistamiseksi, että tieto testauksen sisällöstä ja aikataulusta pysyy luottamuksellisena. On keskeistä varmistaa, etteivät White Teamin hallussa olevat tiedot pääse vaikuttamaan Blue Teamin toimenpiteisiin. Tämä tulee huomioida White Teamin ja sen sidostahojen keskinäisessä yhteydenpidossa.

TIBER-FI:n mukaisen White Teamin järjestämisessä suositellaan noudatettavaksi TIBER-EU White Team Guidance -ohjeistusta (pdf). 

Blue Team (BT) 

Muu kuin White Teamiin osallistuva finanssialan toimijan henkilöstö ja soveltuvien palvelutuottajien henkilöstö on tietämätön harjoituksen ajankohdista ja sisällöstä. Tämä joukko toimii testauksen aikana finanssialan toimijan normaalien sisäisten prosessien ja ohjeiden mukaisesti. TIBER-FI-toimintamallissa ja Red Team -testauksessa on keskeistä, että testauksen sisältö, menetelmät ja ajankohta eivät ole muiden kuin White Teamin tiedossa etukäteen. 

Testauksen raportointia ja oppeja varten kootaan testauksen päätyttyä erityinen Blue Team -ryhmä. Tähän ryhmään kootaan soveltuvin osin tietoturva- ja IT-operaatioista vastaavia henkilöitä niiltä alueilta, joita testaus kulloinkin koskee. Kokoonpanoon voi kuulua palvelutuottajien henkilöstöä. Blue Team osallistuu testien yhteenvetoon, läpikävelyihin, ja raportointiin.

Uhkatietotoimija

Uhkatietotoimijalla (threat intelligence provider) tarkoitetaan osapuolta, joka laatii testauksessa tarvittavan toimijakohtaisen uhkatietoraportin (targeted threat intelligence). Uhkatietoraportti on tiedusteluraportti, joka käsittelee kyseisen finanssialan toimijan kyberturvallisuutta ja hyökkäysrajapintaa. Raportti sisältää samaa informaatiota, jota edistynyt hyökkääjä kerää kohdeorganisaatiosta hyökkäystä suunnitellessaan. TIBER-FI-toiminnan mukainen Red Team-testaus perustuu hyvin laadittuun uhkatietoon toimijan niistä toiminnoista, joihin testausta tullaan kohdistamaan. 

Uhkatietotoimijalla on kyky hankkia ja yhdistellä tietoa julkisista lähteistä sekä muutoin tiedustelemalla, esimerkiksi hankkimalla tietoa peiteroolissa toimijan henkilöstöltä. Uhkatietotoimija voi olla sama kuin toimeksiannon Red Team -palveluiden toimittaja. 

Red Team (RT) 

Testauksen operatiivisen osuuden suorittavaa ryhmää kutsutaan nimellä Red Team. Red Team on ulkoinen testauspalvelutuottaja, joka on riippumaton testattavan toimijan tietojärjestelmien suunnittelusta, toteutuksesta ja valvonnasta. On keskeistä, että Red Teamin lähestyminen hyökkäysten suunnitteluun ja toteuttamiseen jäljittelee kehittyneen ulkoisen hyökkääjän menetelmiä. 

Hyvässä Red Teamissa tulisi olla monipuolinen joukko osaamista kyberturvallisuuden eri osa-alueista, kuten riskienhallinnasta, tunkeutumistestauksesta, kohdennetuista hyökkäyksistä, avointen lähteiden tiedustelusta, sekä sosiaalisesta manipuloinnista. Ryhmän koko vaihtelee kohteen erityispiirteiden ja testaussuunnitelman laajuuden perusteella. 

Red Teamilla on vetäjä, Red Team Test Manager, joka toimii ryhmän yhteyshenkilönä ja vastaa testaussuunnitelman laadinnasta, ryhmän toiminnan koordinoinnista sekä testaustulosten raportoinnista. 

Yksi keskeisistä TIBER-FI-testauksen riskienhallintamenetelmistä on mahdollisimman pätevän ja kokeneen Red Team -toimittajan valitseminen. Tämän valinnan helpottamiseksi TIBER-EU tarjoaa ohjeistusta palvelun hankinnan tueksi (pdf). 

Nordic Financial CERT 

Nordic Financial CERT (NFCERT) on voittoa tavoittelematon CERT-toimija, joka jakaa uhkatietoa jäsenistönsä kesken. NFCERT on erikoistunut palvelemaan finanssialan toimijoita. 

Suomen Pankki hankkii NFCERT:ltä toimialan yhteisen TIBER-FI-uhkatietoraportin. Uhkatietoraportti on luottamuksellinen ja ainoastaan TIBER-FI-toimintaan ilmoittautuneiden finanssialan toimijoiden käytössä TIBER-FI-testaukseen.