TLPT 360 – wsparcie testów odporności

Zapewniamy wsparcie już na etapie wstępnego planowania TLPT. Pomagamy powołać wewnętrzny zespół koordynujący (tzw. White Team), złożony z zaufanego, wąskiego grona decydentów, odpowiedzialnych za nadzorowanie testu po stronie Państwa organizacji.

Wspólnie definiujemy zakres testu – identyfikujemy krytyczne funkcje i systemy, które zostaną poddane atakom, oraz wyłączamy obszary nieobjęte scenariuszem. Równolegle opracowujemy plan zarządzania ryzykiem TLPT, czyli zestaw zabezpieczeń i procedur minimalizujących wszelkie zagrożenia związane z przeprowadzeniem testu. Oceniamy m.in. ryzyko potencjalnych zakłóceń usług, utraty danych czy niezamierzonej eskalacji incydentu przez nieświadomy Blue Team.

Nasz plan przewiduje również mechanizmy kontrolne (np. kill-switch – ustalone „punkty kontrolne” w scenariuszu), w których wspólnie zadecydujemy o ewentualnym przerwaniu lub modyfikacji działań Red Team, jeśli mogłyby one zagrozić ciągłości działania Państwa firmy.

Dzięki temu ryzyka operacyjne są pod kontrolą, a test przebiega w bezpieczny, zaplanowany sposób – co jest warunkiem uzyskania zgody nadzoru na jego rozpoczęcie.

W ramach przygotowań pomagamy w wyborze najlepszych wykonawców testu Red Team i Threat Intelligence. Organy nadzoru stawiają wysokie wymagania niezależności i kompetencji tym podmiotom – weryfikują, czy spełniają kryteria, posiadają odpowiednie doświadczenie oraz czy nie występuje konflikt interesów.

Grant Thornton Technology dysponuje własnymi, certyfikowanymi zespołami Red Team i Threat Intelligence, wyspecjalizowanymi w sektorze finansowym. Możemy zatem wystąpić w roli niezależnego dostawcy tych usług lub doradzić przy wyborze zewnętrznych firm, które spełnią rygorystyczne wymogi DORA i KNF. Zapewniamy pełną bezstronność i profesjonalizm – dbamy o to, by zaangażowane zespoły cechowały się najwyższymi kompetencjami oraz żeby ich udział nie rodził ryzyka konfliktu interesów (np. poprzez rozdział roli atakujących i obrońców). Dobór odpowiednich partnerów ma kluczowe znaczenie dla powodzenia testu, dlatego gwarantujemy elastyczność i wsparcie na każdym etapie selekcji dostawców TLPT.

Proces TLPT wymaga ścisłej współpracy z wyznaczonym organem nadzoru (tzw. organem TLPT, w Polsce jest to KNF) już od fazy przygotowawczej. Nasz zespół ekspertów przygotuje komplet niezbędnych dokumentów i zgłoszeń do organu nadzorczego, m.in. wstępny opis zakresu testu (Scope Specification), scenariusze ataków oraz plan zabezpieczeń. Notyfikujemy test we właściwym trybie i uzgadniamy zakres z organem TLPT, tak aby uzyskać oficjalną akceptację harmonogramu i scenariusza przed rozpoczęciem działań Red Team. Dzięki naszym usługom Państwa instytucja będzie w pełni przygotowana na wymagane konsultacje z nadzorem – przeprowadzimy Państwa przez proces walidacji planu testu przez regulatora, odpowiadając na jego uwagi i wprowadzając konieczne korekty. Dopilnowujemy, by przedstawiony plan testu spełniał wszystkie warunki skutecznego i bezpiecznego przeprowadzenia TLPT, co jest niezbędne do uzyskania zielonego światła od organu nadzoru. W rezultacie minimalizujemy ryzyko opóźnień lub negatywnych decyzji nadzorcy – formalności zostaną dopełnione sprawnie i zgodnie z RTS 2025/1190.

W trakcie właściwego testu pełnimy rolę koordynatora TLPT po stronie klienta (White Team). Nasi specjaliści nadzorują każdy etap realizacji scenariusza, czuwając nad tym, by działania Red Team pozostały w ustalonych granicach, a jednocześnie by Blue Team (dział obrony Państwa organizacji) nie był świadomy testu aż do jego zakończenia – tak jak przewidują wytyczne, dla zachowania realizmu ćwiczenia. Zapewniamy ścisłą poufność: dbamy, aby informacje o trwającym teście znane były wewnątrz Państwa firmy jedynie wąskiej, upoważnionej grupie decyzyjnej. W razie potrzeby koordynujemy działania z kluczowymi dostawcami ICT objętymi testem, pilnując by również z ich strony zachowana była tajność i współpraca według ustalonych procedur. Jako Państwa White Team utrzymujemy bieżący kontakt z organem TLPT – raportujemy postęp testu zgodnie z wymaganiami i niezwłocznie informujemy o ewentualnych incydentach czy decyzjach (np. konieczności użycia kill-switch) podczas ćwiczenia. Wszystkie nasze działania są w pełni zgodne z wytycznymi TIBER-EU i RTS – metodologia TLPT wdrażana przez nas odzwierciedla podejście TIBER-EU rekomendowane w Europie. Dzięki temu mają Państwo pewność, że test jest prowadzony według uznanych standardów, a jego wyniki będą uznawalne transgranicznie w innych jurysdykcjach UE (zasada mutual recognition przewidziana w DORA). Nadzorujemy również przestrzeganie ustalonych środków bezpieczeństwa – nasza obecność gwarantuje zachowanie balansu między realizmem ataku a ochroną Państwa ciągłości działania.

Po zakończeniu fazy aktywnych ataków wspieramy Państwa przy kompleksowej analizie wyników testu. Pomagamy zebrać i zinterpretować raport końcowy Red Team, zawierający wykryte podatności, wektory ataku i uzyskane dostępy w Państwa środowisku. Równocześnie wspieramy Blue Team w przygotowaniu raportu obrony – dokumentującego przebieg wykrycia incydentów, działania podjęte przez zespół bezpieczeństwa oraz ewentualne luki w procesach, które ujawniło ćwiczenie. Następnie organizujemy warsztaty typu Purple Team, czyli wspólne sesje Red i Blue Team ukierunkowane na omówienie wyników testu. Podczas tych kontrolowanych sesji obie strony krok po kroku odtwarzają kluczowe etapy ataku i obrony, analizując, co się wydarzyło, jak zadziałały (lub zawiodły) mechanizmy bezpieczeństwa i gdzie wystąpiły braki. Celem Purple Teamingu jest wyciągnięcie praktycznych wniosków – Red Team prezentuje Blue Teamowi techniki, które umożliwiły obejście zabezpieczeń, zaś Blue Team dzieli się spostrzeżeniami, jak przebiegała detekcja i reakcja oraz co sprawiło trudność w jej przeprowadzeniu. Wspólnie identyfikujemy obszary wymagające poprawy w kategoriach ludzi, procesów i technologii. Tego rodzaju ćwiczenia, wymagane przez standardy TLPT jako element procesu uczenia się organizacji, pozwalają z maksymalnym pożytkiem wykorzystać wyniki testu – tak, aby „uczyć się na testach, nie na atakach” i realnie wzmocnić odporność cyberbezpieczeństwa w Państwa instytucji. Na życzenie, możemy również zorganizować wewnętrzne sesje lessons learned z udziałem kierownictwa, prezentując najważniejsze ustalenia z TLPT oraz rekomendacje dalszych działań usprawniających.