Testauksen valmistelu

Testauksen valmisteluun kuuluu jokaisella toimijalla seuraavat vaiheet.

Testaustoiminnan käynnistäminen ja organisointi

Finanssialan toimija päättää testaustoiminnan käynnistämisestä ja resursoinnista. Keskeisiin päätöksiin kuuluu White Teamin asettaminen. White Team aloittaa käytännössä testaukseen liittyvän valmistelun.

White Teamin tulee tutustua TIBER-FI soveltamisohjeeseen, toimialan uhkatietoraporttiin sekä lainsäädännölliseen viitekehykseen. Niiden sekä omien testaukseen liittyvien tavoitteidensa perusteella White Team päättää ylätasolla siitä mitä toimintoja tullaan testaamaan ja missä laajuudessa. Tällä valinnalla on olennaisesti vaikutusta testaustoiminnan kustannustasoon ja valittaviin palvelukumppaneihin.

Tehtävä	Vastuullinen taho
White Teamin nimittäminen	Finanssialan toimijan johto
TIBER-FI-ohjeisiin tutustuminen	White Team
Toimialan uhkatietoraporttiin tutustuminen	White Team
Lainsäädännölliseen viitekehykseen tutustuminen	White Team
Testauksen piirissä olevista toiminnoista päättäminen	White Team

Testauspalveluiden hankinta

White Team vastaa testauspalveluiden hankinnasta. Palveluita tarvitaan kohdennettujen uhkatietojen laatimiseksi sekä itse testauksen järjestämiseksi. Palvelut voivat tulla samalta toimittajalta, tai finanssialan toimija voi kokonaan tai osin toimittaa palvelut sisäisesti. Tarkempia tietoja tästä on mainittu roolien määrityksissä.

Testauspalveluiden hankinnassa on syytä kiinnittää huomiota toimijoiden osaamiseen, jotta testauksesta itsestään ei aiheudu merkittävää liiketoiminnallista riskiä ja jotta testauksessa saavutetaan sille asetetut tavoitteet. Testauspalveluiden hankinnassa suositellaan sovellettavaksi TIBER-EU-ohjeistusta.

Testauspäällikkö konsultoi tarvittaessa testauspalveluiden hankintaa liittyvissä asioissa.

Tehtävä	Vastuullinen taho
Kohdennettujen uhkatietopalveluiden hankinta	White Team
Red Team -testauspalveluiden hankinta	White Team

Aloitustapaaminen

Kun testauspalveluiden hankinnasta on sovittu, järjestetään kaikkien osapuolten yhteinen aloitustapaaminen. Aloitustapaamisen tarkoituksena on sopia testauksen suunnitteluun ja toteuttamiseen liittyvistä vastuista ja aikatauluista. Tapaamisen asialistalla ovat

testauksen organisaatio
testauksen tavoitteet suhteessa toimialan uhkatietoraporttiin
valmistelun ja testauksen aikataulut
yhteystavat valmistelun ja testauksen aikana
riskienhallinta
muut testaukseen liittyvät käytännön asiat

Aloitustapaamiseen osallistuvat

White Team, vähintään White Team Lead
testauspalvelutuottajien edustajat
testauspäällikkö

Tehtävä	Vastuullinen taho
Aloitustapaamisen kutsuminen	White Team

Testaukseen liittyvien riskien hallinta

TIBER-FI-toimintamallin keskeinen ajatus on, että testaustoimenpiteet tehdään tuotantojärjestelmissä. Tällä tavoin testauksen tulokset vastaavat mahdollisimman tarkasti sitä, miten tietoverkkorikolliset näkevät finanssialan toimijan hyökkäyspinnan ja kyvykkyydet. Testaustavasta johtuen testien toteuttamiseen liittyy useita riskejä, joiden hallintaan täytyy kiinnittää erityistä huomiota. Riskienhallinnan keinoin on varmistuttava siitä, ettei testaus aiheuta häiriöitä. Testauksen kohteena olevissa toiminnoissa käsitellään lailla suojattuja tietoja, kuten pankkisalaisuuksia, sähköistä viestintää ja henkilötietoja. Testauksessa tulee pyrkiä riskienhallinnan keinoin näiden tietojen loukkaamattomuuteen.

Osapuolten tulisi hallita riskejä testien suunnittelussa ja toteuttamisessa vähintään seuraavilla tavoilla:

Testauksen tavoitteet ja kohteet on dokumentoitu selvästi, ja ne ovat osapuolten tiedossa.
Testauksen rajoitteet, kuten toiminnot, järjestelmät ja tiedot, on dokumentoitu selvästi, ja ne ovat osapuolten tiedossa.
Testauksen ajankohdat ovat White Teamin tiedossa.
Testauksenaikaiset yhteydenpitokäytännöt on sovittu, ja White Teamilla on mahdollisuus keskeyttää testaus koska tahansa.
Uhkatietotoimijan ja Red Teamin tietoturvajärjestelyistä toimijan tietojen suojaamiseksi on sovittu.

White Team laatii testausta koskevan riskienhallintasuunnitelman. Suunnitelmassa otetaan kantaa siihen,

millaisia taktiikoita, tekniikoita tai menetelmiä testauksessa ei saa käyttää
mitkä tietojärjestelmät, toiminnot tai muut kokonaisuudet ovat testauksen ulkopuolella
miten mahdollisiin testauksen aiheuttamiin häiriöihin varaudutaan

White Teamin vastuulla on huolehtia siitä, että Red Team laatii toteuttamissuunnitelman riskiarvion puitteissa.

On suositeltavaa, että uhkatietotoimija, Red Team ja White Team sopivat projektin koodinimistä, joita käytetään testaustoimeksiannon dokumentaatioissa. Koodinimen tarkoitus on peittää asiakkaan identiteetti sekä toimeksiannon tyyppi.

Uhkatietotoimijan ja Red Teamin tulee noudattaa erityistä huolellisuutta kaikessa testaustoimeksiantoon liittyvien tietojen käsittelyssä ja tarvittaessa osoittaa White Teamille sisäiset käytänteensä toimeksiantojen tietojen käsittelyn ja tallentamisen suojaamiseksi sekä tietojen poistamiseksi TIBER-FI-toimeksiannon päätyttyä.

TIBER-FI koordinaatioryhmälle ja testauspäällikölle kohdistuu julkisuuslaista salassapitovelvoite toimijoiden TIBER-FI-testausta koskeviin tietoihin.

Tehtävä	Vastuullinen taho
Riskienhallintasuunnitelman laadinta ja täytäntöönpano	White Team
Toimeksiannon turvallisuuskäytännöt	Testauspalvelutuottajat

Testaussuunnitelman laadinta

Testaussuunnitelman laadinta tapahtuu White Teamin ja testauspalveluiden toimittajien yhteistyönä. White Teamin tehtäviin kuuluu testattavien kohteiden valinta, maaleista sopiminen, riskienhallinta sekä kohteiden ja testausmenetelmien rajoittaminen. Rajoituksia testaukselle aiheutuu esimerkiksi lainsäädännöllisestä viitekehyksestä ja riskienhallintasyistä.

Testaussuunnitelmassa kuvataan

testauksen tavoiteaikataulu
testattavat kohteet
testauksessa tavoiteltavat konkreettiset maalit (flag)
testaukseen liittyvät rajaukset
riskienhallinta
testauksen organisaatiot
yhteystavat testauksen aikana

Testaussuunnitelmaa laadittaessa ovat keskeisiä seuraavat asiat:

Valitut kohteet ja testaustapa kytkeytyvät toimialan uhkatietoon sekä finanssialan kriittisiin toimintoihin.
Suunnitellut testiskenaariot kattavat uhkaraporttien merkittävimpiä uhkia.
Suunnitellut testiskenaariot muistuttavat menetelmiltään ja työkaluiltaan todellisten kyberrikollisten keinoja, ja sisältävät myös Red Team -toimittajan näkemyksiä sellaisista hyökkäystaktiikoista, -tekniikoista ja -menetelmistä, joita ei vielä välttämättä ole nähty, mutta jotka ovat toimittajan mielestä realistisia tai odotettavissa (”tradecraft”).
Suunnitelman tulee sisältää skenaarioita, jotka toimijan voidaan odottaa havaitsevan, jotta päästään testaamaan Blue Teamin kyvykkyyttä reagoida hyökkäyksiin.
Red Team -toimittaja kuvaa suunnitelmassa tilanteet, joissa tarvitaan apua ajankäytön tehostamiseksi. Esimerkiksi kalasteluhyökkäys voidaan toteuttaa siihen asti, että voidaan näyttää sen onnistuvan, mutta koko loppuskenaariota ei välttämättä ole järkevää toteuttaa kalastelulla saadun jalansijan kautta.
Suunnitellut skenaariot eivät mallinna kaavamaisesti jo tapahtuneita hyökkäyksiä. Tarkoituksenmukaista ei ole myöskään kuvata skenaarioita, jotka vaativat osaamista, työkaluja tai teknologiaa, joita Red Team -tarjoajalla on käytössään, mutta jotka eivät vastaa todellisten hyökkääjien menetelmiä. Skenaarioiden tulee esittää kohdennetussa uhkatiedossa kuvattujen hyökkäystaktiikoiden, -tekniikoiden ja -menetelmien luovaa käyttöä realistisen uhkatoimijoiden emuloinniksi.

TIBER-FI-testaustoimeksianto kestää tavallisesti useita kuukausia kalenterissa. On suositeltavaa, että White Team ja testauspalvelutuottajat sopivat säännöllisestä, esimerkiksi viikoittaisesta, yhteyskäytännöstä testien edistymisen seuraamiseksi.