Testen van digitale operationele weerbaarheid

In artikel 24 van de verordening staan de algemene vereisten voor het testen van de digitale operationele weerbaarheid beschreven. Om op een structurele manier de weerbaarheid van de ICT-systemen en -diensten te kunnen beoordelen, moeten ondernemingen een testprogramma opstellen, uitvoeren en regelmatig evalueren. Dit testprogramma dient onderdeel te zijn van het ICT risk management framework en bevat de tests, praktijken, methodologieën en instrumenten die regelmatig worden uitgevoerd om de ICT-systemen, -instrumenten en -processen van de organisatie te beoordelen.

Bij de beoordeling wordt gekeken naar de processen die zijn ingericht om ICT-gerelateerde incidenten tijdig te detecteren en af te handelen. Daarnaast moeten ondernemingen zelf beoordelen in hoeverre zij in staat zijn om kwetsbaarheden en gebreken in de digitale weerbaarheid te herkennen. Tot slot geven de tests inzicht in hoeverre de organisatie tijdig herstellende maatregelen kan implementeren die de duur en impact van een verstoring tot een minimum beperken.

Bij het bepalen van de tests moet de onderneming onder meer rekening houden met het (veranderende) landschap van ICT-risico’s, specifieke ICT-risico’s voor de onderneming en de kritieke aard van de ICT-systemen en -diensten.

Van organisaties wordt verwacht dat zij minimaal één keer per jaar hun ICT-systemen en -toepassingen testen die kritieke of belangrijke functies ondersteunen. Deze tests kunnen zowel door interne als externe testers worden uitgevoerd. Hierbij is het belangrijk dat (potentiële) belangenconflicten gedurende ontwerp- en uitvoeringfase van de test worden voorkomen. Wanneer gebruik wordt gemaakt van interne testers, treffen de ondernemingen voldoende maatregelen om te waarborgen dat de testers geen belang hebben bij het resultaat van de tests.

Verder moeten financiële instellingen beleid en procedures opstellen om alle tekortkomingen die tijdens de uitvoering van de tests naar voren zijn gekomen, te classificeren, te prioriteren en op te volgen. Hierbij moeten zij ook nagaan of alle vastgestelde kwetsbaarheden en gebreken volledig zijn aangepakt.

Artikel 25 van de verordening beschrijft de tests die ondernemingen kunnen uitvoeren om hun ICT-systemen en -toepassingen te testen. Hierbij bepalen ondernemingen overeenkomstig het evenredigheidbeginsel welke tests relevant zijn. Voorbeelden van tests zijn: vulnerability scans, gap analyses, end-to-end testing en penetratietests.

Bovenstaande vereisten zijn niet van toepassing op micro-ondernemingen. Voor micro-ondernemingen geldt een op risico’s gebaseerde aanpak waarbij enerzijds rekening wordt gehouden met de hoeveelheid middelen en tijd die nodig zijn voor het uitvoeren van de tests en anderzijds de urgenties, het soort risico, de kritieke aard van het ICT-systeem en eventuele andere relevante factoren.

Voor een aantal ondernemingen gelden, naast de (algemene) vereisten voor het testen van ICT-systemen en -instrumenten, extra vereisten met betrekking tot het testen van de digitale operationele weerbaarheid. Deze instellingen moeten één keer in de drie jaar een geavanceerde test uitvoeren door middel van threat-led penetration test (TLPT).

TLPT betreft een uitgebreide test waarin de tactieken, technieken en procedures die in de praktijk worden gebruikt door dreigingsactoren (zoals hackers), worden nagebootst . Hierdoor wordt op een gecontroleerde, instellingsspecifieke en door inlichtingen gestuurde wijze, de cyberweerbaarheid van de financiële instelling getoetst. Een dergelijke test vormt een uitgebreidere vorm van red-teaming, mede door de betrokkenheid van de toezichthouder.

Om TLPT succesvol te kunnen uitvoeren, is het belangrijk dat de onderneming deze test ziet als een mogelijkheid om te leren en eventuele kwetsbaarheden bloot te leggen. Daarnaast is TLPT veeleisend, waardoor het belangrijk is dat ondernemingen voldoende middelen en personeel vrijmaken gedurende de verschillende fases van de test.

Elke TLPT dient betrekking te hebben op de kritieke of belangrijke bedrijfsfuncties van de onderneming en moet worden uitgevoerd op de (live) productiesystemen die deze bedrijfsfuncties ondersteunen. Hiervoor is het belangrijk om eerst de ICT-systemen, -processen, -instrumenten en (uitbestede) -diensten te identificeren die kritieke of belangrijke functies ondersteunen. Vervolgens bepaalt de onderneming welke kritieke of belangrijke functies onderdeel moeten zijn van de test. Voordat de reikwijdte van de test definitief kan worden gemaakt, moet deze worden gevalideerd door de TLPT-autoriteit die de test begeleidt. In Nederland zal dit, afhankelijk van de toezichthouder die de vergunning verleent, worden gedaan door de AFM of DNB.

Wanneer derde aanbieders van ICT-diensten binnen de reikwijdte van een TLPT vallen, neemt de onderneming voldoende maatregelen om deelname van de derde aanbieders aan TLPT te waarborgen. In het geval dat deelname aan TLPT een negatief effect zal hebben op de kwaliteit van de dienstverlening van de derde aanbieder aan organisaties die niet onder DORA vallen, kan de externe dienstverlener buiten scope van de TLPT van de onderneming worden gelaten. In dat geval moet de derde aanbieder zelf een externe tester aanwijzen die een gebundelde TLPT (of pooled test) uitvoert, waarbij meerdere financiële instellingen, waaraan ICT-diensten worden verleend, betrokken zijn. Deze gebundelde test dient alle ICT-diensten te dekken die zijn uitbesteed aan de derde partij en kritieke of belangrijke functies van de verschillende financiële entiteiten ondersteunen.

Om te kunnen waarborgen dat de TLPT correct wordt uitgevoerd, gelden er een aantal vereisten voor de testers (of red team). Ondernemingen moeten gebruik maken van testers die in een lidstaat zijn gecertificeerd door een certificeringsorgaan en/of formele gedragscodes/ethische kaders naleven. Daarnaast moeten testers over voldoende technische en organisatorische capaciteiten beschikken en kunnen laten zien dat zij relevante kennis hebben op het gebied van inlichtingen over dreigingen, penetratietests en red-teaming. Tot slot moeten testers de onafhankelijke uitvoering van de test en de vertrouwelijkheid van informatie (zoals testresultaten) kunnen waarborgen.

In het geval dat interne testers worden gebruikt, zet de onderneming bovendien voldoende middelen in om belangenconflicten tegen te gaan en moet het gebruik van interne testers worden goedgekeurd door de TLPT-autoriteit die de test begeleidt. De vereisten voor het gebruik van interne testers zijn verder uitgewerkt in hoofdstuk IV van de RTS.

Voor de aanwijzing van ondernemingen die TLPT moeten uitvoeren, bepaalt de TLPT-autoriteit welke financiële entiteiten aangewezen worden om TLPT te verrichten. Afhankelijk van de vergunningsverlening zal de AFM of DNB verantwoordelijk zijn voor de aanwijzing (en begeleiding) van TLPT.

Sommige financiële instellingen kunnen door zowel de AFM als DNB worden aangewezen. In dat geval kan worden besloten dat een gezamenlijke test wordt uitgevoerd, waarbij beide toezichthouders zijn betrokken. De criteria voor het aanwijzen van ondernemingen zijn beschreven in hoofdstuk II van de RTS. De TLPT-autoriteit houdt hierbij rekening met proportionaliteit. Instellingen kunnen worden aangewezen voor TLPT op basis van ‘harde (of kwantitatieve) criteria’. Hieronder vallen bijvoorbeeld handelsplatformen met een bepaald marktaandeel op nationaal of Europees niveau. Deze harde criteria zijn beschreven in artikel 2, lid 1 van de RTS. Instellingen die niet op basis van de kwantitatieve criteria worden aangewezen, kunnen alsnog worden aangewezen om verplicht TLPT uit te voeren op basis van hun ICT-risicoprofiel, systemisch karakter en impact op de stabiliteit van de financiële sector. Deze factoren staan beschreven in artikel 2 lid 4 van de RTS. Micro-ondernemingen en ondernemingen waarvoor het vereenvoudigd ICT risk management framework  geldt, kunnen niet worden aangewezen voor TLPT. 

Om te kunnen waarborgen dat elke TLPT correct wordt uitgevoerd, zijn er een aantal vereisten met betrekking tot de testmethodologie en het TLPT-proces uitgewerkt in hoofdstuk III van de RTS. Om te beginnen beoordelen ondernemingen de risico’s die gepaard gaan met de uitvoering van TLPT. Er moeten voldoende maatregelen worden genomen om te voorkomen dat deze risico’s zich materialiseren als gevolg van de uitvoering van de testwerkzaamheden. Hierbij gaat het om risico’s met betrekking tot:

• het verlenen van toegang aan externe partijen tot gevoelige gegevens;
• het niet voldoen aan de vereisten rond TLPT;
• crisis/incident management;
• verstoringen in kritische activiteiten en processen;
• het verlies van data als gevolg van de testwerkzaamheden;
• het niet volledig herstellen van systemen die zijn getroffen door de test.

Voordat de testwerkzaamheden kunnen worden uitgevoerd, moet duidelijk zijn wat de rol is van iedereen die betrokken is bij de uitvoering van de TLPT. Vanuit de autoriteit die de TLPT begeleidt (bijvoorbeeld de AFM of DNB), dient er een testmanager te worden aangewezen die de testwerkzaamheden begeleidt en zorgt dat tijdens de uitvoering wordt voldaan aan alle vereisten. Daarnaast wordt ten minste één plaatsvervanger worden aangewezen die de taken van de testmanager kan overnemen indien dit nodig is. Van de autoriteit die de TLPT begeleidt, wordt verwacht dat deze bij alle fasen van de testwerkzaamheden betrokken is en tijdig feedback, validatie of goedkeuring geeft wanneer dit nodig is.

De onderneming moet zelf zorgen dat zij beschikt over een team met medewerkers die betrokken zijn bij de uitvoering van de test (het control team of white team), waarvan één iemand is aangewezen als teamleider. Het control team wordt op de hoogte gehouden van elke bevinding die uit de TLPT voortkomt. Dit geldt voor bevindingen van zowel de personeelsleden binnen de eigen organisatie als door de externe dienstverleners. Eventuele opvolgacties voor incidenten die voortkomen uit de test, worden door het team zelf worden opgepakt en informatie over de voortgang van de testwerkzaamheden moet worden gedeeld met de testmanagers wanneer hierom wordt gevraagd.

Tot slot moeten voldoende maatregelen worden genomen om de geheimhouding van de TLPT te waarborgen. Zo wordt de toegang tot informatie over de TLPT worden beperkt tot het control team, het bestuursorgaan van de onderneming, de TLPT-autoriteit, de aanbieders van threat intelligence en de testers. Hierbij zijn de aanbieders van threat intelligence externe specialisten die data verzamelen en analyseren over actuele dreigingen en op basis hiervan realistische scenario’s ontwikkelen. De testers bestaan uit (externe) ethische hackers (of red team) die toegang tot de productiesystemen van de onderneming proberen te krijgen. Het blue team zijn medewerkers van de onderneming zelf, die het netwerk en de ICT-systemen proberen te beschermen tegen aanvallen van buitenaf. Het blue team wordt niet betrokken bij de test en is daarom niet op de hoogte van de test.

Voorbereidingsfase

Zodra de onderneming een notificatie ontvangt van de TLPT-autoriteit, kan de onderneming beginnen met de voorbereiding van de test. Tijdens de voorbereidingsfase voert de onderneming de risicobeoordeling uit, waarbij wordt gekeken naar de naar de risico’s die gepaard gaan met het uitvoeren van een test op de productieomgeving van systemen die belangrijke en kritische bedrijfsfuncties ondersteunen. Daarnaast moet voor de aanvang van de test een projectcharter , de contactgegevens van de teamleider van het control team en informatie over het gebruik van interne of externe testers worden aangeleverd bij de TLPT-autoriteit. Verder wordt informatie gedeeld met de TLPT-autoriteit over de communicatiekanalen tijdens de uitvoering van de testwerkzaamheden en de codenaam die wordt gebruikt voor de test. Deze informatie moet uiterlijk 3 maanden na de notificatie van de TLPT-autoriteit worden gedeeld met de testmanagers.

Ondernemingen die door de AFM zijn aangewezen voor TLPT, kunnen de benodigde rapportages indienen via het AFM-portaal . Zodra deze documentatie is goedgekeurd door de testmanagers, kan de onderneming het control team opzetten die de teamleider ondersteunt met het voorbereiden van de test.

Wanneer de samenstelling van het control team is goedgekeurd door de TLPT-autoriteit, bepaalt de onderneming welke kritische en belangrijke bedrijfsfuncties worden meegenomen in de uitvoering van de testwerkzaamheden. Hierbij wordt onder meer rekening gehouden met het belang van de functie voor de onderneming en de stabiliteit van de financiële sector, de vervangbaarheid van de functie, de verwevenheid met andere functies en de geografische locatie van de functie. Wanneer de reikwijdte van de test is bepaald, moet deze worden goedgekeurd door het bestuursorgaan en worden gedeeld met de testmanagers . Deze rapportage wordt uiterlijk 6 maanden na de notificatie van de TLPT-autoriteit worden gedeeld. Wanneer de ingediende rapportages zijn goedgekeurd door de testmanagers, kunnen deze worden gedeeld met de testers en aanbieders van threat intelligence. De onderneming zorgt ervoor dat zowel het red team als de aanbieders van threat intelligence, zijn gecontracteerd voor de aanvang van de testfase.

Testfase

De testfase kan worden onderverdeeld in 2 onderdelen: threat intelligence en red-teaming. Wanneer de scope van de test is goedgekeurd door de TLPT-autoriteit, moet de aanbieder van de threat intelligence onderzoek doen naar de onderneming en dreigingen en kwetsbaarheden die relevant zijn voor de onderneming. Tijdens dit onderzoek verzamelen zij data door cyberdreigingen in de sector te identificeren en te analyseren en bestaande en potentiële kwetsbaarheden te identificeren die kunnen worden uitgebuit tijdens de test. Voor deze stap kunnen de aanbieders van threat intelligence overleggen met het control team en de testmanagers die de test begeleiden.

Op basis van deze analyse zal de aanbieder van de threat intelligence een aantal scenario’s opstellen die kunnen worden gebruikt bij de uitvoering van de test. Vervolgens selecteert de teamleider van het control team ten minste 3 van deze scenario’s op basis van de aanbeveling van de aanbieder van de threat intelligence, de input van de testmanagers, de haalbaarheid van de voorgestelde scenario’s tijdens de uitvoering en de grootte, complexiteit en risicoprofiel van de onderneming. De analyse van de aanbieder van threat intelligence moet worden opgenomen in een rapport en worden gedeeld met de testmanagers.

Wanneer het threat intelligence rapport is goedgekeurd door de testmanagers, kunnen de testers (red team) beginnen met het opstellen van hun testplan . Het testplan bevat onder meer de tactieken, technieken, procedures en communicatiekanalen die worden gebruikt tijdens de uitvoering van de test. Wanneer het testplan is opgesteld, moet deze worden besproken met het control team, de testmanagers en de aanbieder van threat intelligence, voordat het control team en de testmanagers het plan kunnen goedkeuren. Na deze goedkeuring kunnen de testers starten met hun testwerkzaamheden. De duur van deze testwerkzaamheden is onder andere afhankelijk van de scope, de schaal en de activiteiten. De test duurt echter minimaal 12 weken.

Tijdens de uitvoering van het testplan komen de testers, testmanagers en het control team ten minste wekelijks bijeen om de voortgang te bespreken. Wanneer de testwerkzaamheden worden opgemerkt door medewerkers van de onderneming, neemt het control team, in overleg met de testers, maatregelen om de geheimhouding van de test te waarborgen. Deze maatregelen moeten vervolgens ook met de testmanagers worden gedeeld. In het geval dat de testers het punt bereiken dat doorgaan met de test kan leiden tot ernstige verstoringen in kritische of belangrijke bedrijfsfuncties, kan de teamleider van het control team besluiten om de test stop te zetten.

Afsluiting

Wanneer de testers alle testwerkzaamheden hebben afgerond, worden de medewerkers van het blue team ingelicht over de TLPT die heeft plaatsgevonden. Uiterlijk vier weken na het einde van de test deelt het red team een rapport met het control team met informatie over de test en de bevindingen . Dit rapport moet vervolgens worden gedeeld met het blue team en de testmanagers.

Uiterlijk 10 weken na de testwerkzaamheden van de testers, deelt het blue team een rapport met het control team waarin een lijst is opgenomen met de gedetecteerde aanvallen tijdens de test (inclusief de logbestanden) . Dit bestand wordt ook weer met de testmanagers gedeeld. In dezelfde periode moet een kleinere test worden uitgevoerd, waarbij de testers, samen met het blue team, de aanvallen op de ICT-systemen en -infrastructuur herhalen (dit wordt ook wel purple teaming genoemd). Tijdens deze test kunnen ook aanvullende onderdelen worden getest die tijdens de TLPT niet konden worden getest. Aan het einde van deze kleinere test, krijgen alle betrokkenen de mogelijkheid om elkaar feedback te geven op het TLPT-proces.

Nadat de TLPT-autoriteit de rapportage van zowel het blue team als het red team heeft gecontroleerd en goedgekeurd, moet de onderneming binnen 8 weken de opgestelde samenvatting van bevindingen en de correctieplannen delen met de TLPT-autoriteit . In deze periode levert de onderneming ook een verbeterplan aan waarin de geïdentificeerde tekortkomingen worden beschreven, verbeteracties (inclusief prioritering) worden voorgesteld, een root cause analysis wordt uitgevoerd, de verantwoordelijke medewerkers van de verbeteracties worden geïdentificeerd en de risico’s worden beschreven die verbonden zijn aan het niet opvolgen van de bevindingen. Tot slot verstrekt de TLPT-autoriteit, na ontvangst van de benodigde stukken, een attest aan de onderneming waarmee wordt bevestigd dat de TLPT in overeenstemming met de vereisten is uitgevoerd.