TIBER-IS
TIBER-IS er umgjörð um netárásaprófanir fyrir stofnanir og fyrirtæki sem eru mikilvæg fyrir íslenskt fjármálakerfi. Umgjörðinni er ætlað að auka skilning þátttakenda í prófunum á getu til að verjast netárásum og þannig efla viðnámsþrótt þeirra. Þannig má efla viðnámsþrótt fjármálakerfisins í heild. TIBER-IS er byggt á TIBER-EU umgjörð Evrópska seðlabankans, ECB.
TIBER-EU er umgjörð um netárásaprófanir sem er þróuð af Evrópska seðlabankanum til að unnt sé að framkvæma netárásaprófanir á staðlaðan hátt og þannig prófa viðnámsþrótt gegn netógnum hjá stofnunum sem eru mikilvægar fyrir fjármálakerfið. Prófunin (þekkt sem red team testing), felst í vel undirbúinni hermun netárásar á starfsfólk, ferla og tækniumhverfi stofnunar. Tilgangurinn er ekki að kanna hvort stofnun hafi staðist prófið, heldur að greina veikleika í vörnum og þannig efla viðnámsþrótt stofnunarinnar. Áherslan er því á að þjálfa starfsfólk stofnunarinnar í netvörnum.
Helstu áherslur í TIBER-EU eru:
- Efla viðnámsþrótt fjármálamarkaðarins gegn netógnum
- Staðla og samræma netárásapróf á EES-svæðinu
- Veita stuðning fyrir próf stofnana sem starfa í fleiri en einu landi
Í febrúar 2023 ákvað Seðlabanki Íslands að innleiða TIBER-EU og eru hér birtar leiðbeiningar um íslensku umgjörðina, TIBER-IS. Seðlabankinn hefur kynnt þessa umgjörð fyrir stofnunum sem taka þátt á samstarfsvettvangi um rekstraröryggi fjármálainnviða, SURF.
TIBER-IS er ekki takmarkað við fjármálastofnanir. Umgjörðina má nota til netárásaprófana á öllum sviðum samfélagsins.
SURF
SURF er ætlað að móta sameiginlega sýn á aðgerðir til að efla viðnámsþrótt net- og upplýsingakerfa mikilvægra fjármálainnviða og samhæfa aðgerðir komi til rekstrartruflana sem haft geta áhrif á öryggi og skilvirkni fjármálakerfisins, þ.e. skipuleggja neyðarsamstarf og sameiginlegar neyðaráætlanir. Sérstök áhersla skal lögð á eflingu netöryggisvarna og viðnámsþróttar fjármálakerfisins gegn netárásum og í því sambandi hugað að umgjörð stjórnvalda í netöryggismálum með vísan til mögulegrar skörunar, samspils og sjónarmiða um samræmingu. Í störfum samstarfsvettvangsins skal einnig höfð hliðsjón af lögum nr. 78/2019, um öryggi net- og upplýsingakerfa mikilvægra innviða, sem kerfislega mikilvægum fjármálafyrirtækjum og rekstraraðilum skipulegra verðbréfamarkaða og markaðstorgs fjármálagerninga ber að hlíta.
Aðild að SURF, sem er valkvæð, eiga auk Seðlabankans fulltrúar frá Arion banka, fjármála- og efnahagsráðuneyti, Íslandsbanka, Kauphöllinni, Kviku, Landsbanka, Nasdaq verðbréfamiðstöð, netöryggissveitinni (CERT-IS), Reiknistofu bankanna og Samtökum fjármálafyrirtækja. Vonir eru bundnar við að störf SURF verði árangursrík og til þess fallin að treysta enn frekar öryggi fjármálainnviða og fjármálakerfisins alls í víðara samhengi.