TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) to europejski framework opracowany przez Europejski Bank Centralny (EBC) w 2018 roku. Jego celem jest testowanie odporności instytucji finansowych na zaawansowane cyberataki poprzez symulacje rzeczywistych zagrożeń. Rozporządzenie DORA wprowadza testy TLPT ukierunkowane na kompleksową ocenę poziomu zabezpieczeń organizacji poprzez odwzorowanie technik i metod rzeczywistych atakujących. W dużej mierze czerpią one z doświadczenia zdobytego w trakcie realizacji testów opartych o TIBER-EU.
Najważniejsze informacje o TIBER-EU
1. Cel frameworku
- Ocena zdolności instytucji do wykrywania, reagowania i przeciwdziałania zaawansowanym cyberzagrożeniom.
- Poprawa cyberodporności sektora finansowego w UE.
- Standaryzacja testów Red Teaming na poziomie europejskim.
- Pierwsza wersja frameworku została opublikowana w maju 2018 roku i bazuje na doświadczeniach podobnych inicjatyw, takich jak CBEST (Wielka Brytania) czy TIBER-NL (Holandia).
TIBER-EU a testy TLPT
Testy TLPT (Threat-Led Penetration Testing), wymagane przez Rozporządzenie DORA, w dużej mierze bazują na doświadczeniach zdobytych w ramach testów realizowanych według TIBER-EU. Choć obie metodologie koncentrują się na symulacji rzeczywistych cyberataków, między nimi istnieją pewne różnice – framework TIBER-EU jest obecnie aktualizowany, aby lepiej odpowiadać nowym wymogom regulacyjnym.
Jak działa framework TIBER-EU?
TIBER-EU dostarcza wytycznych w zakresie współpracy między:
✅ Organami nadzoru finansowego.
✅ Testowanymi organizacjami.
✅ Zespołami Red Team (przeprowadzającymi ataki).
✅ Dostawcami Threat Intelligence (analizującymi zagrożenia).
Jego głównym celem jest zapewnienie realistycznego testowania odporności na cyberataki, zwiększając zdolność organizacji do ich wykrywania i neutralizowania.
2. Zakres i struktura testów
TIBER-EU składa się z trzech głównych etapów:
- Faza przygotowawcza
- Określenie zakresu testów i wyznaczenie zespołów.
- Podpisanie kluczowych umów i zapewnienie bezpieczeństwa testów.
- Faza testowa
- Analiza zagrożeń (Threat Intelligence – TI) oparta na rzeczywistych zagrożeniach dla danej instytucji.
- Symulacja ataków przez zespół Red Team w warunkach produkcyjnych, ale bez wpływu na operacje biznesowe.
- Faza raportowania i analizy
- Omówienie wyników testów z kluczowymi interesariuszami.
- Wskazanie obszarów do poprawy i wdrożenie działań naprawczych.
3. Kto powinien stosować TIBER-EU?
- Instytucje finansowe (banki, giełdy, ubezpieczyciele).
- Operatorzy infrastruktury krytycznej.
- Organizacje regulowane przez krajowe organy nadzoru w UE.
4. Różnice między TIBER-EU a klasycznym Red Teamingiem
| TIBER-EU | Klasyczny Red Teaming |
|---|---|
| Oparty na rzeczywistych zagrożeniach (Threat Intelligence). | Może być ogólnym testem bezpieczeństwa. |
| Współpraca z regulatorami i organami nadzoru. | Brak wymogu raportowania do regulatorów. |
| Symulacja ataku bez zakłócania operacji biznesowych. | Może mieć różne poziomy wpływu na operacje. |
5. Korzyści z wdrożenia TIBER-EU
✅ Lepsza znajomość zagrożeń i podatności organizacji.
✅ Zwiększenie zdolności do reagowania na cyberataki.
✅ Możliwość porównania wyników z innymi podmiotami w sektorze.
✅ Spełnienie wymagań regulatorów i podniesienie poziomu zgodności (np. z DORA, NIS2).
Implementacje TIBER-EU w Europie
Framework TIBER-EU został wdrożony w 16 krajach europejskich, gdzie funkcjonują narodowe wersje standardu. Wdrożenia krajowe oznaczane są jako TIBER-XX (np. TIBER-DE dla Niemiec), a europejskie jako TIBER-EU YY. Państwa korzystające z TIBER-EU to m.in.:
🇦🇹 Austria, 🇧🇪 Belgia, 🇩🇰 Dania, 🇫🇮 Finlandia, 🇫🇷 Francja, 🇪🇸 Hiszpania, 🇳🇱 Holandia, 🇮🇪 Irlandia, 🇮🇸 Islandia, 🇱🇺 Luksemburg, 🇩🇪 Niemcy, 🇳🇴 Norwegia, 🇵🇹 Portugalia, 🇷🇴 Rumunia, 🇸🇪 Szwecja, 🇮🇹 Włochy.
Efekty wdrożenia
🔹 Do stycznia 2023 roku przeprowadzono ponad 100 testów TLPT na bazie TIBER-EU.
🔹 Organizacje działające w wielu jurysdykcjach mogą uczestniczyć w testach łączonych.
🔹 Narodowe zespoły TIBER Cyber Teams (TCTs) koordynują testy w danym kraju