Testauksen valmistelu

Testauksen valmisteluun kuuluu jokaisella toimijalla seuraavat vaiheet.

Testaustoiminnan käynnistäminen ja organisointi

Finanssialan toimija päättää testaustoiminnan käynnistämisestä ja resursoinnista. Keskeisiin päätöksiin kuuluu White Teamin asettaminen. White Team aloittaa käytännössä testaukseen liittyvän valmistelun. 

White Teamin tulee tutustua TIBER-FI soveltamisohjeeseen, toimialan uhkatietoraporttiin sekä lainsäädännölliseen viitekehykseen. Niiden sekä omien testaukseen liittyvien tavoitteidensa perusteella White Team päättää ylätasolla siitä mitä toimintoja tullaan testaamaan ja missä laajuudessa. Tällä valinnalla on olennaisesti vaikutusta testaustoiminnan kustannustasoon ja valittaviin palvelukumppaneihin. 

Tehtävä Vastuullinen taho
White Teamin nimittäminen Finanssialan toimijan johto
TIBER-FI-ohjeisiin tutustuminen White Team
Toimialan uhkatietoraporttiin tutustuminen White Team
Lainsäädännölliseen viitekehykseen tutustuminen White Team
Testauksen piirissä olevista toiminnoista päättäminen White Team

Testauspalveluiden hankinta

White Team vastaa testauspalveluiden hankinnasta. Palveluita tarvitaan kohdennettujen uhkatietojen laatimiseksi sekä itse testauksen järjestämiseksi. Palvelut voivat tulla samalta toimittajalta, tai finanssialan toimija voi kokonaan tai osin toimittaa palvelut sisäisesti. Tarkempia tietoja tästä on mainittu roolien määrityksissä. 

Testauspalveluiden hankinnassa on syytä kiinnittää huomiota toimijoiden osaamiseen, jotta testauksesta itsestään ei aiheudu merkittävää liiketoiminnallista riskiä ja jotta testauksessa saavutetaan sille asetetut tavoitteet. Testauspalveluiden hankinnassa suositellaan sovellettavaksi TIBER-EU-ohjeistusta

Testauspäällikkö konsultoi tarvittaessa testauspalveluiden hankintaa liittyvissä asioissa.

Tehtävä Vastuullinen taho
Kohdennettujen uhkatietopalveluiden hankinta White Team
Red Team -testauspalveluiden hankinta White Team

Aloitustapaaminen 

Kun testauspalveluiden hankinnasta on sovittu, järjestetään kaikkien osapuolten yhteinen aloitustapaaminen. Aloitustapaamisen tarkoituksena on sopia testauksen suunnitteluun ja toteuttamiseen liittyvistä vastuista ja aikatauluista. Tapaamisen asialistalla ovat 

  • testauksen organisaatio
  • testauksen tavoitteet suhteessa toimialan uhkatietoraporttiin
  • valmistelun ja testauksen aikataulut
  • yhteystavat valmistelun ja testauksen aikana
  • riskienhallinta
  • muut testaukseen liittyvät käytännön asiat.

Aloitustapaamiseen osallistuvat

  • White Team, vähintään White Team Lead
  • testauspalvelutuottajien edustajat
  • testauspäällikkö.
Tehtävä Vastuullinen taho
Aloitustapaamisen kutsuminen White Team

Testaukseen liittyvien riskien hallinta 

TIBER-FI-toimintamallin keskeinen ajatus on, että testaustoimenpiteet tehdään tuotantojärjestelmissä. Tällä tavoin testauksen tulokset vastaavat mahdollisimman tarkasti sitä, miten tietoverkkorikolliset näkevät finanssialan toimijan hyökkäyspinnan ja kyvykkyydet. Testaustavasta johtuen testien toteuttamiseen liittyy useita riskejä, joiden hallintaan täytyy kiinnittää erityistä huomiota. Riskienhallinnan keinoin on varmistuttava siitä, ettei testaus aiheuta häiriöitä. Testauksen kohteena olevissa toiminnoissa käsitellään lailla suojattuja tietoja, kuten pankkisalaisuuksia, sähköistä viestintää ja henkilötietoja. Testauksessa tulee pyrkiä riskienhallinnan keinoin näiden tietojen loukkaamattomuuteen. 

Osapuolten tulisi hallita riskejä testien suunnittelussa ja toteuttamisessa vähintään seuraavilla tavoilla: 

  • Testauksen tavoitteet ja kohteet on dokumentoitu selvästi, ja ne ovat osapuolten tiedossa.
  • Testauksen rajoitteet, kuten toiminnot, järjestelmät ja tiedot, on dokumentoitu selvästi, ja ne ovat osapuolten tiedossa.
  • Testauksen ajankohdat ovat White Teamin tiedossa.
  • Testauksenaikaiset yhteydenpitokäytännöt on sovittu, ja White Teamilla on mahdollisuus keskeyttää testaus koska tahansa.
  • Uhkatietotoimijan ja Red Teamin tietoturvajärjestelyistä toimijan tietojen suojaamiseksi on sovittu. 

White Team laatii testausta koskevan riskienhallintasuunnitelman. Suunnitelmassa otetaan kantaa siihen,

  • millaisia taktiikoita, tekniikoita tai menetelmiä testauksessa ei saa käyttää
  • mitkä tietojärjestelmät, toiminnot tai muut kokonaisuudet ovat testauksen ulkopuolella
  • miten mahdollisiin testauksen aiheuttamiin häiriöihin varaudutaan. 

White Teamin vastuulla on huolehtia siitä, että Red Team laatii toteuttamissuunnitelman riskiarvion puitteissa. 

On suositeltavaa, että uhkatietotoimija, Red Team ja White Team sopivat projektin koodinimistä, joita käytetään testaustoimeksiannon dokumentaatioissa. Koodinimen tarkoitus on peittää asiakkaan identiteetti sekä toimeksiannon tyyppi. 

Uhkatietotoimijan ja Red Teamin tulee noudattaa erityistä huolellisuutta kaikessa testaustoimeksiantoon liittyvien tietojen käsittelyssä ja tarvittaessa osoittaa White Teamille sisäiset käytänteensä toimeksiantojen tietojen käsittelyn ja tallentamisen suojaamiseksi sekä tietojen poistamiseksi TIBER-FI-toimeksiannon päätyttyä. 

TIBER-FI koordinaatioryhmälle ja testauspäällikölle kohdistuu julkisuuslaista salassapitovelvoite toimijoiden TIBER-FI-testausta koskeviin tietoihin. 

Tehtävä Vastuullinen taho
Riskienhallintasuunnitelman laadinta ja täytäntöönpano White Team
Toimeksiannon turvallisuuskäytännöt Testauspalvelutuottajat

Testaussuunnitelman laadinta 

Testaussuunnitelman laadinta tapahtuu White Teamin ja testauspalveluiden toimittajien yhteistyönä. White Teamin tehtäviin kuuluu testattavien kohteiden valinta, maaleista sopiminen, riskienhallinta sekä kohteiden ja testausmenetelmien rajoittaminen. Rajoituksia testaukselle aiheutuu esimerkiksi lainsäädännöllisestä viitekehyksestä ja riskienhallintasyistä. 

Testaussuunnitelmassa kuvataan 

  • testauksen tavoiteaikataulu
  • testattavat kohteet
  • testauksessa tavoiteltavat konkreettiset maalit (flag)
  • testaukseen liittyvät rajaukset
  • riskienhallinta
  • testauksen organisaatiot
  • yhteystavat testauksen aikana. 

Testaussuunnitelmaa laadittaessa ovat keskeisiä seuraavat asiat:

  • Valitut kohteet ja testaustapa kytkeytyvät toimialan uhkatietoon sekä finanssialan kriittisiin toimintoihin.
  • Suunnitellut testiskenaariot kattavat uhkaraporttien merkittävimpiä uhkia.
  • Suunnitellut testiskenaariot muistuttavat menetelmiltään ja työkaluiltaan todellisten kyberrikollisten keinoja, ja sisältävät myös Red Team -toimittajan näkemyksiä sellaisista hyökkäystaktiikoista, -tekniikoista ja -menetelmistä, joita ei vielä välttämättä ole nähty, mutta jotka ovat toimittajan mielestä realistisia tai odotettavissa (”tradecraft”). 
  • Suunnitelman tulee sisältää skenaarioita, jotka toimijan voidaan odottaa havaitsevan, jotta päästään testaamaan Blue Teamin kyvykkyyttä reagoida hyökkäyksiin.
  • Red Team -toimittaja kuvaa suunnitelmassa tilanteet, joissa tarvitaan apua ajankäytön tehostamiseksi. Esimerkiksi kalasteluhyökkäys voidaan toteuttaa siihen asti, että voidaan näyttää sen onnistuvan, mutta koko loppuskenaariota ei välttämättä ole järkevää toteuttaa kalastelulla saadun jalansijan kautta.
  • Suunnitellut skenaariot eivät mallinna kaavamaisesti jo tapahtuneita hyökkäyksiä. Tarkoituksenmukaista ei ole myöskään kuvata skenaarioita, jotka vaativat osaamista, työkaluja tai teknologiaa, joita Red Team -tarjoajalla on käytössään, mutta jotka eivät vastaa todellisten hyökkääjien menetelmiä. Skenaarioiden tulee esittää kohdennetussa uhkatiedossa kuvattujen hyökkäystaktiikoiden, -tekniikoiden ja -menetelmien luovaa käyttöä realistisen uhkatoimijoiden emuloinniksi. 

TIBER-FI-testaustoimeksianto kestää tavallisesti useita kuukausia kalenterissa. On suositeltavaa, että White Team ja testauspalvelutuottajat sopivat säännöllisestä, esimerkiksi viikoittaisesta, yhteyskäytännöstä testien edistymisen seuraamiseksi.

Tehtävä Vastuullinen taho
Testaussuunnitelman laadinta White Team, testauspalvelutuottajat