EY refererer til den globale organisasjonen, og kan henvise til en eller flere av medlemsfirmaene til Ernst & Young Global Limited, som hver enkelt er en separat juridisk enhet. Ernst & Young Global Limited, et britisk selskap begrenset av garanti, leverer ikke tjenester til kunder.
Nylige søk
Test din digitale operasjonelle motstandsdyktighet med TLPT - realistiske angrep, reel innsikt i egen beredskap.
Oppsummert:
- EY har bistått flere virksomheter med TIBER/TLPT-testing, som simulerer angrep fra kjente trusselaktører i sektoren.
- Trusselbasert penetrasjonstesting gir virksomheter innsikt i hvordan teknologi, mennesker og prosesser fungerer under angrep.
- Regelmessig testing forbedrer sikkerheten, reduserer risikoen for økonomiske tap og omdømmeskade, og styrker motstandsdyktigheten mot trusler.
Hvordan vet du om ditt foretak tåler et alvorlig cyberangrep?
Mange foretak har solide planer og sikkerhetskontroller på plass, men det er først når virksomheten utsettes for realistiske angrep at man får et reelt bilde av sin egen digitale operasjonelle motstandsdyktighet. EUs Digital Operational Resilience Act (DORA) stiller derfor krav til at foretak spesielt innen finanssektoren tester denne motstandsdyktigheten, blant annet for å identifisere i hvilken grad de er forberedt på IKT-hendelser og for å avdekke svakheter i teknologi, prosesser og samspill som ikke nødvendigvis fremkommer gjennom dokumentasjon og planverk alene. For de største og mest kritiske aktørene innebærer dette avanserte angrepssimuleringer kjent som Trusselbasert Penetrajonstesting (TLPT).
Det er i møte med realistiske scenarioer at virksomhetens digitale operasjonelle motstandsdyktighet testes.
Operasjonell motstandsdyktighet for alle, ikke bare de største!
Alle etablerte finansforetak må etablere et testprogram i tråd med proporsjonalitetsprinsippet. For de aller største innebærer dette blant annet TLPT minst hvert tredje år. For andre kan det for eksempel være snakk om regelmessige sårbarhetsskanninger, analyse av nettverkssikkerhet og penetrasjonstester. EY tilbyr testing av alle størrelser.
Til syvende og sist handler dette om mer enn å tilfredsstille et regelverk. DORA ble introdusert for å styrke den operasjonelle motstandskraften til foretak i innenfor flere sektorer. Virksomheter som investerer tid og ressurser i å teste den digitale operasjonelle motstandsdyktigheten står langt sterkere den dagen de møter et reelt angrep. I tillegg kan slike investeringer bidra til å unngå økonomiske tap og styrke tilliten blant kunder og andre interessenter.
Fra teori til praksis: Trusselbasert Penetrasjonstesting (TLPT)
EY har vært heldige som har hatt muligheten til å levere TIBER/TLPT testing til flere store virksomheter hvor vi har emulert både statlige og organisert kriminelle aktører. Ved å bruke oppdatert trusseletterretning og taktikker som speiler aktørenes metoder, kan vi teste hvordan virksomheten faktisk ville håndtert angrep fra reelle trusselaktører. Øvelsene gjennomføres i henhold til TIBER-EU rammeverket og benyttede taktikker varierer avhengig av disse aktørene. Målet er å teste virksomhetskritiske funksjoner og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten.
Under TLPT-øvelser benytter vi realistiske scenarioer som gjenspeiler trusselbildet virksomheten står ovenfor. Nedenfor følger tre eksempelscenarioer som har blitt brukt under våre tester.
Scenarioer: 3 eksempelscenarioer på angrep vi har gjort i våre tester
|
MFA Bypass |
Testet virksomhetens: |
|---|---|
|
Angriperen etablerer en ondsinnet proxy og lurer et offer til å logge seg inn via denne. Når brukeren autentiserer seg, fanges brukernavn, passord, MFA-token og brukersesjon opp. Angriperen får deretter tilgang til systemet som om de var brukeren selv. |
|
|
Sosial manipulering via telefon |
Testet virksomhetens: |
|---|---|
|
Angriperen ringer en ansatt og utgir seg for å være fra IT-avdelingen. Ved å skape en følelse av hastverk og autoritet, får de den ansatte til å installere programvare angriperen benytter for varig fotfeste. |
|
|
Fysisk inntrenging |
Testet virksomhetens: |
|---|---|
|
Angriperen forsøker å ta seg inn i lokalene ved å følge etter ansatte, bruke falsk ID eller utnytte åpne dører. Målet er å få tilgang til nettverkspunkter, serverrom eller arbeidsstasjoner. |
|
Som en del av EY sitt globale nettverk, kombinerer vi lokal regulatorisk forståelse med erfaring fra TLPT gjennomført for foretak i Europa og internasjonalt. Dette gir oss tilgang til beste praksis, oppdatert trusseletterretning og tverrfaglige team, slik at testene kan tilpasses virksomhetens risikobilde, regulatoriske krav og kritiske funksjoner.
Vær klar for det neste angrepet før det kommer
Vårt råd: Ta utgangspunkt i realistiske trusler og scenarioer for ditt foretak. Test virksomhetskritiske og viktige funksjoner, og gjør øvelsene så virkelighetsnære som mulig. Bruk deretter disse funnene til å utbedre motstandsdyktigheten, forbedre tekniske kontroller, prosedyrer og opplæring. Syklusen; test, lær og forbedre er kjernen i oppbyggingen av operasjonell motstandsdyktighet.
Med EY får du ikke bare et testprogram – du får tilgang til et globalt kunnskapsnettverk som kontinuerlig deler erfaringer og utvikler metoder for å møte nye trusler. Dette gir en trygghet og robusthet som få andre kan tilby.
Vil du diskutere hvordan TLPT eller andre testformer kan brukes for å styrke din virksomhets digitale operasjonelle motstandsdyktighet? Vi deler gjerne erfaringer fra tilsvarende foretak og hjelper dere med å vurdere hva som er riktig nivå av testing – både regulatorisk og risikobasert.
Sammendrag
Gjennom trusselbasert penetrasjonstesting kan virksomheter simulere angrep fra kjente trusselaktører, noe som kan hjelpe til å avdekke svakheter i den digitale motstandsdyktigheten. Alle finansforetak, uavhengig av størrelse, må implementere et testprogram for å styrke sin motstandsdyktighet. Ved å bruke realistiske scenarioer og kontinuerlig forbedre sikkerhetsprosedyrer, kan virksomheter bedre forberede seg på fremtidige cybertrusler, sikre operasjonell stabilitet og oppnå mer tillit hos kundene. En solid sikkerhetsstrategi reduserer ikke bare risikoen for angrep, men kan også bidra til å unngå økonomiske tap som kan følge av sikkerhetsbrudd.