Finanssialan toiminnot, palvelut ja tietosisällöt ovat jo pitkään olleet sähköisiä. Niiden suojaaminen kybertoimintaympäristön uhkilta on keskeistä tämän kriittisen infrastruktuurin toiminnan varmistamiseksi. Finanssialan toimijat investoivat merkittävästi tietojärjestelmien ja palveluiden kyberturvallisuuden suunnitteluun, toteuttamiseen ja seurantaan. Näiden toimenpiteiden lisäksi on tärkeää myös testauksen keinoin varmistua siitä, ettei ulkoisilla hyökkääjillä ole mahdollisuutta vaikuttaa palveluiden toimintaan. Parhaiten tämä tapahtuu testausmenetelmillä, joilla jäljitellään verkkorikollisten ja muiden edistyneiden hyökkääjien tapoja kartoittaa finanssialan toimijoiden hyökkäyspinta-alaa ja toteuttaa kohdennettuja hyökkäyksiä.
Euroopan keskuspankki julkaisi maaliskuussa 2018 TIBER-EU -toimintamallin finanssialan kyberturvallisuuden kehittämiseksi. TIBER-EU on systemaattinen, kontrolloitu ja ajantasaiseen kyberturvallisuuden uhkatietoon pohjautuva toimintamalli Red Team -tietoturvatestausten suorittamiseksi. Toimintamallin tavoitteena on tuottaa havaintoja finanssialan infrastruktuurin ja toimijoiden suojaamiseksi kohdennetuilta kyberhyökkäyksiltä.
TIBER-EU -toimintamalli on tarkoitettu sovellettavaksi kansallisesti. Suomen Pankki vastaa ja omistaa Suomen finanssialalle suunnatun TIBER-FI:n. Suomen Pankki on julkaissut ensimmäisen TIBER-FI-soveltamisohjeen huhtikuussa 2020. Mallin käyttöönotto on finanssialan toimijoille vapaaehtoista.
TIBER-FI-toimintamalli on yhteensopiva muiden valtioiden TIBER-sovellutusten kanssa. Tämä mahdollistaa rajat ylittävän yhteystyön niissä tilanteissa, joissa finanssialan toimijan testattavat toiminnot ovat hajautuneet useiden maiden alueelle.
Toimintamallin tarkoitus
TIBER-FI on Suomen finanssialan toimijoiden käyttöön laadittu kehikko ja toimintamalli finanssialan kriittisten toimintojen toimintavarmuuden varmistamiseksi kohdennettujen kyberhyökkäysten varalta.
TIBER-FI:n ytimessä ovat finanssialan toimijoiden keskeisiin tietojärjestelmiin suunnatut tietoturvatestit. Toimijat resursoivat, suunnittelevat, ja järjestävät testit itse TIBER-FI-toimintamallin mukaisesti. Suomen Pankki tukee toimijoita tarjoamalla toimintamalliin liittyvän ohjeistuksen, toimialan uhkatietoraportin, sekä testauspäällikkö -tukipalvelut. Testien kohdentamisessa hyödynnetään ajantasaista uhkatietoa finanssialan toimintaympäristöstä sekä toimijoista itsestään.
TIBER-FI-kehikon tavoitteena on
- tukea finanssialan toimijoiden kyberresilienssiä
- kehittää koko finanssialan kyberresilienssiä
- hyvien Red Team -tietoturvatestaustapojen yleistyminen Suomen finanssisektorilla
- tukea rajat ylittävien testausten suorittamista monikansallisille instituutioille.
Kyberresilienssillä tarkoitetaan kykyä ennakoida, torjua ja havainnoida kyberhyökkäyksiä tai toipua niistä niin, että hyökkäysten vaikutukset kriittisiin toimintoihin voidaan torjua tai ainakin minimoida. TIBER-FI-toimintaan osallistumalla finanssialan toimija testaa omaa kyvykkyyttään kyberturvallisuuteen ja löytää tapoja parantaa valmiuksiaan kyberhyökkäysten varalta. Jokaisen finanssialan toimijan osaaminen ja kyky näillä alueilla on tärkeää koko finanssialan häiriönsiedon ja resilienssin kannalta.
TIBER-FI-testaus kohdistuu erityisesti kriittisiin finanssialan toimintoihin. Yhteiskunnan kannalta kriittiset finanssialan toiminnot ovat (Valtioneuvoston päätös huoltovarmuuden tavoitteista 1048/2018):
- rahoitus- ja vakuutuspalveluiden tarjoaminen
- maksuliikenne
- arvopaperien selvitys-, toimitus- ja säilytystoiminta
- käteisrahahuoltojärjestelmä
- korttimaksamisen infrastruktuuri ja korttivarmennukset
- päivittäistavarakaupan finanssitoiminnot.
TIBER-FI on lähtökohtaisesti laadittu yhteensopivaksi TIBER-EU-toimintamallin ja ohjeistusten kanssa. Mahdollisissa eroavaisuuksissa sovelletaan Suomessa TIBER-FI-soveltamisohjetta.
Kehikon pääosat
TIBER-FI-kehikko on Suomen Pankin laatima, ja keskuspankki tarjoaa palveluita toimintamalliin mukaan tuleville toimijoille. TIBER-FI-kehikon olennaiset elementit muodostavat
- toimintaan osallistuvat osapuolet ja heidän roolinsa
- testauksen tukiaineistot – toimialan uhkatietoraportti ja lainsäädännöllinen viitekehys
- toimintamallin periaatteet ja vaiheiden kuvaukset.
Finanssialan toimija ilmoittautuu mukaan TIBER-FI-toimintaan oman harkintansa perusteella. Osallistumisesta ei kerätä maksua.
Viranomaisten välinen yhteistyö
Useat eurooppalaiset viranomaiset ovat toteuttaneet omia sovellutuksiaan TIBER-EU:sta. Rajat ylittävien TIBER-testien osalta tarvitaan eri maiden viranomaisten välistä yhteistyötä. Suomen Pankki on yhteydessä testaukseen kuuluvien muiden maiden vastaaviin ryhmiin sen varmistamiseksi, että suunniteltu TIBER-FI-testaus on yhdenmukainen ja täyttää ne edellytykset, jotka kyseisen maan toimivaltainen viranomainen on asettanut TIBER-testauksesta.
Tämän ohjeen elinkaari
Suomen Pankki on julkaissut tämän ohjeen ensimmäisen version huhtikuussa 2020. Ohjeen valmistelussa on kuultu alan toimijoita ja Suomen Pankki ottaa mielellään palautetta vastaan ohjeen soveltamisesta käytännössä. Ohjetta päivitetään tarvittaessa saatujen palautteiden ja soveltamiskokemusten mukaan vuosittain.
Suomen Pankki tiedottaa toimijoille ohjetta koskevista päivityksistä. Ohjetta on päivitetty viimeksi joulukuussa 2021. Uusin versio ohjeesta on saatavilla Suomen Pankin verkkopalvelusta www.suomenpankki.fi/tiberfi.
