6 december, 2024
Red Team Testing och DORA
Inför DORA:s (Digital Operational Resilience Act) ikraftträdande ställs finansiella institutioner och kritiska tjänsteleverantörer inför omfattande krav på digital resiliens. Regelverket kräver att organisationer hanterar risker proportionellt och genomför kontinuerlig förbättring av sina säkerhetsåtgärder. Ett centralt verktyg för att möta dessa krav är Threat Led Penetration Testing (TLPT), vilket är det formella namnet för det som ofta kallas Red Team Testing. Denna metod syftar till att simulera avancerade attacker mot kritiska system för att bedöma organisationens motståndskraft.
Vad säger DORA om Red Team Testing?
Enligt DORA är det nationella tillsynsmyndigheter, som Finansinspektionen i Sverige, som avgör om en organisation behöver genomföra TLPT. Dessa tester syftar till att simulera avancerade cyberattacker mot kritiska system för att bedöma och träna organisationens motståndskraft. Red Team Testing går längre än traditionella penetrationstester och är särskilt utformat för att testa hela organisationens förmåga att:
• Identifiera hot (Detection).
• Motverka hot (Response).
• Återhämta sig från incidenter (Recovery).
Red Team Testing är inte bara ett regelkrav utan även en möjlighet att få en djupgående insikt i organisationens styrkor och svagheter i säkerhetsarbetet.
Hur DORA kräver att man genomför TLPT
1. Riskhantering
DORA kräver att organisationer identifierar, bedömer och hanterar risker, inklusive tekniska, operativa och mänskliga faktorer. Riskhanteringen ska vara proportionell och kontinuerlig.
Hur Red Team Testing hjälper:
• Identifierar misskonfigurationer i kritiska system.
• Avslöjar svagheter i autentisering och åtkomsthantering.
• Simulerar social engineering-attacker för att testa mänskliga faktorer.
Genom Red Team Testing får organisationen en tydlig bild av sina största risker och kan prioritera åtgärder utifrån proportionalitetsprincipen.
2. Incidenthantering och rapportering
Enligt DORA måste organisationer ha robusta rutiner för att identifiera, hantera och rapportera incidenter inom föreskrivna tidsramar. Regelverket kräver även att incidenthanteringsförmågan regelbundet testas.
Hur Red Team Testing hjälper:
• Simulerar verkliga attacker för att bedöma hur väl säkerhetsteamet (Blue Team) kan upptäcka och hantera hot.
• Utvärderar organisationens förmåga att eskalera och rapportera incidenter internt och till Finansinspektionen.
• Ger insikter som förbättrar loggning, övervakning och samarbete mellan avdelningar.
Resultaten från Red Team Testing kan användas för att stärka organisationens incidenthanteringsprocesser och uppfylla DORA:s rapporteringskrav.
3. Affärskontinuitet och återhämtning
DORA kräver att organisationer har planer för att säkerställa kontinuitet och snabb återhämtning vid cyberincidenter.
Hur Red Team Testing hjälper:
• Testar backup- och återställningssystem under simulerade attacker.
• Bedömer hur affärskritiska tjänster påverkas av hot som ransomware.
• Identifierar brister i kontinuitetsplaner och åtgärdar dem innan verkliga incidenter inträffar.
Resultaten hjälper organisationer att säkerställa att kontinuitetsplaner är fullt integrerade i riskhanteringen.
4. Övervakning av tredjepartsleverantörer
Enligt DORA ska organisationer bedöma och övervaka sina leverantörers digitala motståndskraft, eftersom dessa ofta är en svag länk i säkerhetskedjan.
Hur Red Team Testing hjälper:
• Simulerar attacker som utnyttjar svagheter hos leverantörer för att testa anslutningar till företagets system
• Analyserar API:er och integrationspunkter för att identifiera säkerhetsbrister.
• Bedömer leverantörers förmåga att hantera och rapportera incidenter.
Dessa tester stärker organisationens förståelse för säkerhetsrisker i hela ekosystemet.
När krävs Red Team Testing enligt DORA?
Det är Finansinspektionen som avgör om en organisation behöver genomföra Red Team Testing. Detta baseras på organisationens storlek, komplexitet och betydelse för det finansiella systemet. Även om kravet inte gäller alla aktörer är det en god idé att proaktivt överväga Red Team Testing som en del av säkerhetsstrategin. Genom att simulera avancerade attacker kan ni identifiera och åtgärda kritiska sårbarheter innan en verklig incident.
Behöver din organisation hjälp med att efterleva DORA?
Med vårt Red Team kan vi testa er motståndskraft mot cyberhot och hjälpa er att uppfylla viktiga delar av DORA. Våra experter inom informationssäkerhet finns också här för att guida er genom processen att implementera och efterleva kraven. Hör av dig så berättar vi mer!