TIBER-EU: Jak se bude v praxi ověřovat kybernetická odolnost finančních institucí

Publikováno: 09. 02. 2025, v rubrice: Bezpečnost, autor: , aktualizováno: 23. 02. 2025, zobrazeno: 404x

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) je rámec vyvinutý Evropskou centrální bankou (ECB) pro testování kybernetické odolnosti finančních institucí.

Jde o specifický typ testování na základě hrozeb (Threat-Led Penetration Testing, TLPT), kdy dochází simulaci reálných kybernetických útoků na organizace s  využitím TTP (Tactics, Techniques, and Procedures) používaných reálnými útočníky.

Rámec TIBER-EU je podporován i Českou národní bankou, která se k němu oficiálně připojila v září 2024 a zavázala se k jeho implementaci v českém finančním sektoru, který musí být v souladu s nařízením DORA, které nabylo účinnost 17. ledna 2025. Další informace o TIBER-EU lze nalézt na stránkách ECB a v oficiálním TIBER-EU frameworku.

Pro koho je TIBER-EU určen a kdo jej musí dodržovat?

TIBER-EU je primárně určen pro:

  • Systémově důležité finanční instituce – banky, burzy, clearingové instituce a další subjekty klíčové pro finanční stabilitu EU.
  • Národní dohledové orgány – centrální banky a finanční regulátoři jednotlivých států EU mohou testy vyžadovat u vybraných institucí.
  • Poskytovatele kritických finančních služeb – např. platební brány nebo významné fintech společnosti.

I když není TIBER-EU formálně povinný pro všechny subjekty, některé regulační orgány jej mohou nařídit jako součást dohledových opatření.

Kdo provádí TIBER-EU testy?

TIBER-EU testy mohou provádět pouze specializované společnosti, které musí být nezávislé na testované organizaci a splňovat přísná kritéria pro důvěryhodnost, včetně prokazatelných zkušeností s red teamingem a dodržovat etické standardy. Musí disponovat certifikovanými odborníky na Red Teaming. TIBER-EU nevyžaduje specifické certifikace, ale důraz je kladen na prokazatelné zkušenosti. Doporučené certifikace mohou zahrnovat CREST CRT, GIAC GPEN/GXPN nebo jiné relevantní kvalifikace dle požadavků testované instituce.

V rámci TIBER-EU je odpovědnost za výběr poskytovatelů služeb pro Threat Intelligence (TI) a Red Teaming (RT) primárně na testované organizaci, tedy na bance či finanční instituci. Tato musí zajistit, že vybraní poskytovatelé splňují přísné požadavky stanovené v dokumentu TIBER-EU Guidance for Service
Provider Procurement a pravidelně ověřovat, že to stále platí. TIBER-EU rovněž výslovně vyžaduje, aby TI a RT poskytovatel byli oddělení. Jedna firma nemůže poskytovat TI i RT v rámci stejného TIBER-EU testu. Musí jít o dvě oddělené firmy, aby se zajistila nezávislost testu a objektivita výsledků. A je doporučeno na každý test použít jiného poskytovatele.

Jaké jsou klíčové role?

  • Threat Intelligence Provider – Musí být nezávislý na testované organizaci i na RT poskytovateli, aby byla zajištěna objektivita testu. Shromažďuje informace o aktuálních hrozbách specifických pro testovanou organizaci. Analyzuje TTP (Tactics, Techniques, and Procedures) používané reálnými útočníky a vytváří scénáře testovacích útoků. Neprovádí testy, ale poskytuje RT poskytovateli podklady pro simulaci útoků. Threat Intelligence Poskytovatel by měl mít minimálně 5 let zkušeností v oblasti Threat Intelligence, z toho alespoň 3 roky ve finančním sektoru. Doporučené certifikace: CREST CRT, GIAC GCTI, CARTP nebo jiné relevantní kvalifikace. Threat intelligence tým se skládá z Threat Intelligence Managera a minimálně ještě jednoho člena.
  • Red Team Testers – Musí být nezávislý na TI poskytovateli, aby nedošlo ke střetu zájmů nebo manipulaci s testem. Provádí simulaci útoku podle scénářů vytvořených TI poskytovatelem. Testuje obranné mechanismy organizace v reálném provozu a zaměřuje se na Critical Functions (CF) organizace, tedy klíčové procesy a systémy nezbytné pro její fungování. Musí mít minimálně 5 let zkušeností v oblasti Red Teaming / Offensive Security. Doporučené certifikace: CREST CCT, OSCP, OSCE3, GIAC GPEN/GXPN nebo jiné relevantní kvalifikace. Red Team se skládá z Red Team Test Manager a  minimálně dvou Red Team testerů
  • Threat Intelligence Manager – je z testované organizace a zajišťuje koordinaci mezi interními bezpečnostními týmy a externími poskytovateli testování. Měl by mít zkušenosti s řízením kybernetických rizik, analýzou hrozeb a spoluprací s externími partnery. Doporučuje se alespoň 5 let zkušeností v oblasti kybernetické bezpečnosti a znalost metodologie Threat Intelligence.

TI poskytovatel a RT poskytovatel nemusí mluvit česky, ale komunikace s testovanou organizací by měla být zajištěna v jazyce, který umožní efektivní spolupráci a porozumění výstupům testu. Organizace odpovědná za test musí spolupracovat s národními regulátory, kteří mohou testování monitorovat a hodnotit jeho výsledky.

Požadavky na Control Team, Blue Team a Purple Team

Podrobné požadavky na jednotlivé týmy jsou definovány v dokumentech ECB, zejména v guidance pro Control Team a v best practices pro Purple Team.

  • Control Team: Původně white team sestává z vybraných členů testované organizace, kteří jsou informováni o testu a dohlížejí na jeho průběh, aby zajistili bezpečnost a minimalizovali dopady na běžný provoz.
  • Blue Team: Tvoří bezpečnostní tým organizace, který není o testu informován a jeho úkolem je detekovat a reagovat na simulované útoky v reálném čase. Výsledky jejich reakce jsou klíčovým měřítkem úspěšnosti testu.
  • Purple Team: Funguje jako spojovací článek mezi Blue Teamem a Red Teamem, pomáhá analyzovat výsledky testů a optimalizovat obranné mechanismy organizace. Jeho úkolem je zajistit, že Blue Team získá relevantní zpětnou vazbu z provedených simulovaných útoků a zlepší svou detekční a reakční schopnost.

Srovnání TIBER-EU s jinými testovacími metodami

Vzhledem k tomu, že banky provádí penetrační testy již mnoho let, tak je na místě uvést srovnání právě s nimi.

Metoda Cíl Rozsah Použití reálných hrozeb? Zapojení regulátorů?
Penetrační testy (PT) Identifikace technických zranitelností Omezený na specifické systémy Ne Ne
TLPT (Threat-Led PT) Simulace reálných útoků proti organizaci Celá organizace Ano Obvykle ne
TIBER-EU Ověření kybernetické odolnosti finančních institucí Celá organizace, včetně lidí a procesů Ano Ano

Jak dlouho trvá TIBER-EU test?

TIBER-EU není „check-the-box compliance“, ale náročný proces, který odhalí skutečné slabiny. TIBER-EU testování je komplexní proces, který může trvat až 6 měsíců a zahrnuje následující fáze:

  • Přípravná fáze (1–2 měsíce) – definování rozsahu testu, výběr poskytovatelů Threat Intelligence a Red Teamu.
  • Threat Intelligence fáze (1–2 měsíce) – analýza hrozeb specifických pro organizaci.
  • Red Teaming fáze (2–3 měsíce) – simulace útoků napodobující skutečné kybernetické hrozby.
  • Vyhodnocení a reporting (1–2 měsíce) – analýza výsledků, zpětná vazba a doporučení.

TIBER-EU test nelze zkrátit, protože vyžaduje realistický průběh útoků v reálném čase, důkladnou analýzu hrozeb, simulaci postupných útoků a vyhodnocení detekčních a reakčních schopností, což nelze uspěchat. Během TIBER-EU testu musí být bezpečnostní týmy být permanentně v pohotovosti, analyzovat neustále nové indikátory kompromitace a vyhodnocovat podezřelou aktivitu. Tento dlouhodobý tlak je zásadní rozdíl oproti běžné operativě, kdy je většina dnů relativně klidná a incidenty se řeší ad hoc. TIBER-EU tímto odhaluje nejen technologické nedostatky, ale i limity lidských zdrojů a schopnosti týmu fungovat pod dlouhodobým stresem.

Kolik TIBER-EU testů za rok se provádí?

Počet testů závisí na velikosti a významu organizace. V případě zjištěných nedostatků nebo zvýšeného rizika mohou dohledové orgány nařídit mimořádné testy. Tyto testy mohou být vyžadovány například po významném kybernetickém incidentu, změně klíčových systémů nebo identifikaci zranitelností během jiných bezpečnostních hodnocení.

  • Velké banky a systémově důležité instituce – alespoň 1 test ročně. Tyto organizace jsou klíčové pro stabilitu finančního sektoru, a proto je důležité pravidelně ověřovat jejich odolnost proti kybernetickým hrozbám. Častější testování může být vyžadováno v případě změn v infrastruktuře, nových typů hrozeb nebo na základě regulatorních požadavků.
  • Menší finanční instituce – obvykle 1 test každé 2–3 roky. Pro tyto organizace je testování méně časté, protože jejich význam pro finanční ekosystém je nižší. Nicméně, pokud poskytují kritické služby, mohou podléhat častějším testům.

Pravidelné testování pomáhá nejen splnit regulatorní požadavky, ale především posilovat celkovou kybernetickou odolnost organizací.

Jak ovlivní TIBER-EU chování organizací a jejich náklady?

Zavedení TIBER-EU testů jednoznačně zvýší náklady organizací na:

  • Najímání odborníků – organizace musí spolupracovat s poskytovateli Threat Intelligence a Red Teamů.
  • Testování v produkčním prostředí – TIBER-EU se neprovádí na testovacích systémech, ale v reálném provozu, což vyžaduje přísná bezpečnostní opatření.
  • Zlepšení kybernetické odolnosti – zjištěné nedostatky budou vyžadovat investice do bezpečnostních opatření.

Organizace budou nuceny:

  • Více se zaměřit na Threat Intelligence a aktivně monitorovat nové kybernetické hrozby.
  • Zlepšit reakční schopnosti bezpečnostních týmů (např. skrze pravidelná cvičení a školení SOC týmů).
  • Zvýšit komunikaci s regulátory, což bude vyžadovat lepší řízení kybernetických rizik na úrovni managementu.

TIBER-EU není problém pro ty, kdo už kybernetickou bezpečnost berou vážně. Je to problém pro ty, kdo se jí věnovali jen naoko a teď se bojí, že test odhalí jejich nepřipravenost.

Jak vypadá výstup z TIBER-EU testu?

Struktura závěrečné zprávy testu je detailně popsána v TIBER-EU Test Summary Report Guidance. Výstupem testu je strukturovaná závěrečná zpráva, která obsahuje:

  • Threat Intelligence Report – detailní analýzu hrozeb specifických pro organizaci, včetně relevantních TTP (Tactics, Techniques, and Procedures).
  • Red Team Report – popis útoků, jejich průběhu a způsobu, jakým byly simulované útoky provedeny.
  • Detekční a reakční schopnosti – jak rychle a efektivně organizace detekovala a reagovala na útoky.
  • Doporučená nápravná opatření – konkrétní kroky ke zlepšení bezpečnostních opatření a procesů.
  • Souhrnná zpráva pro regulátory – pokud to regulace vyžaduje, mohou být výsledky poskytnuty národním dohledovým orgánům.

Pokud banka nemá kvalitní SOC tým a bezpečnostní experty, bude mít problém nejen s testem, ale i s interpretací výsledků.

Rizika TIBER-EU a jak nimi naložit

V TIBER-EU testu hraje TI poskytovatel klíčovou roli při přípravě cílených scénářů útoků, které RT poskytovatel následně testuje v praxi. Pro zajištění efektivity scénářů je doporučeno, aby národní jurisdikce nejprve vytvořila tzv. Generic Threat Landscape (GTL) Report, který poskytuje širší kontext kybernetických hrozeb pro finanční sektor dané země. GTL Report umožňuje TI poskytovateli lépe pochopit hrozby na strategické úrovni a usnadňuje tvorbu Targeted Threat Intelligence (TTI) Reportu, který se již zaměřuje na konkrétní entitu a její specifické zranitelnosti. Tento proces zvyšuje relevanci hrozeb a scénářů pro testování v rámci Red Team operací.

TI poskytovatel připravuje scénáře útoků na základě informací poskytnutých bankou, přičemž rozsah těchto informací není v rámci TIBER-EU striktně definován – banka poskytuje pouze nezbytné údaje potřebné pro tvorbu relevantních scénářů. RT poskytovatel následně tyto scénáře testuje v praxi. Po ukončení testu probíhá meeting, kde všichni zúčastnění – včetně TI a RT poskytovatelů – obdrží zpětnou vazbu na svůj výkon a na celý proces. Tato zpětná vazba však není zaměřena na konkrétní úspěšnost útoků, ale na celkovou kvalitu poskytovaných služeb.

Je nasnadě, že čím více detailů TI poskytovatel obdrží, tím přesnější může být jeho report, ale zároveň roste riziko úniku informací – toto riziko je částečně sníženo smluvními a bezpečnostními opatřeními definovanými v TIBER-EU. Úroveň bezpečnosti TI poskytovatele ovšem nemusí být stejná jako u banky,  a to i přesto, že musí splňovat určité bezpečnostní standardy a kritéria. Omezení přístupu k detailním informacím snižuje na jedné straně riziko úniku dat, ale na straně druhé může vést k povrchním scénářům. Možným řešením je posílení standardizace sdílených informací a zapojení regulátora jako prostředníka při vyhodnocování kvality scénářů, což by umožnilo lepší iteraci při zachování bezpečnostních principů TIBER-EU.

Proč je TIBER-EU správným krokem?

Pokud během TIBER-EU testu začne probíhat reálný kybernetický útok, musí se test okamžitě pozastavit nebo ukončit, aby se bezpečnostní týmy mohly plně soustředit na skutečný incident. TIBER-EU testy nikdy nesmí ohrozit provoz organizace, a proto existují jasná pravidla pro jejich pozastavení, pokud se objeví skutečná kybernetická hrozba. Pokud banka čelí kontinuálním útokům, je nutné nastavit prioritu – TIBER-EU test není důležitější než zvládání reálných hrozeb.

I přes vyšší náklady a administrativní zátěž je TIBER-EU klíčovým opatřením pro posílení kybernetické odolnosti evropského finančního sektoru. Pomáhá organizacím: identifikovat slabiny dříve, než je zneužijí útočníci, ověřit efektivitu bezpečnostních týmů v reálném prostředí, snížit riziko finančních ztrát způsobených kybernetickými incidenty, posílit důvěru regulátorů i klientů v bezpečnost finančního sektoru. Zavedení tohoto rámce do praxe tedy není jen regulační povinností, ale i strategickým rozhodnutím pro ochranu organizací před reálnými kybernetickými hrozbami.

LITERATURA

EVROPSKÁ CENTRÁLNÍ BANKA. TIBER-EU Framework How to implement the European framework for Threat Intelligence-Based Ethical
Red teaming. Online. 2025. Dostupné z: https://www.ecb.europa.eu/pub/pdf/other/ecb.1808tiber_eu_framework.cs.pdf. [cit. 2025-02-23].

EVROPSKÁ CENTRÁLNÍ BANKA. TIBER-EU Framework Guidance for Service Provider Procurement. Online. 2025. Dostupné z: https://www.ecb.europa.eu/pub/pdf/annex/ecb.tiber_eu_service_provider_procurement_2025.cs.pdf. [cit. 2025-02-23].

EVROPSKÁ CENTRÁLNÍ BANKA. TIBER-EU Control Team Guidance. Online. 2025. Dostupné z: https://www.ecb.europa.eu/pub/pdf/other/ecb.tibereu.cs.pdf. [cit. 2025-02-23].

EVROPSKÁ CENTRÁLNÍ BANKA. TIBER-EU Purple Teaming Guidance. Online. 2025. Dostupné z: https://www.ecb.europa.eu/pub/pdf/annex/ecb.tiber_eu_purple_best_practices_2025.cs.pdf. [cit. 2025-02-23].

EVROPSKÁ CENTRÁLNÍ BANKA. TIBER-EU Test Summary Report Guidance. Online. 2020. Dostupné z: https://www.ecb.europa.eu/pub/pdf/annex/ecb.tiber_test_summary_report_guidance_2025.en.pdf. [cit. 2025-02-23].

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. TIBER-EU: Jak se bude v praxi ověřovat kybernetická odolnost finančních institucí. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/tiber-eu-jak-se-bude-v-praxi-overovat-kyberneticka-odolnost-financnich-instituci/. [cit. 2025-03-26].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Byla napadena více jak stovka bank a finančních institucí po celém světě – 2. díl
  2. Byla napadena více jak stovka bank a finančních institucí po celém světě
  3. Posilujte vaši kybernetickou odolnost, nestaňte se další obětí!
  4. Ne-viditelná kybernetická válka aneb jsme pod útokem
  5. DRP: typy testů a jejich výhody a nevýhody

Štítky:


K článku “TIBER-EU: Jak se bude v praxi ověřovat kybernetická odolnost finančních institucí” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.