Lernen Sie das britische CBEST-Framework kennen
Wenn es darum geht, die Cybersicherheitslandschaft Großbritanniens zu schützen, spielt das CBEST-Framework eine entscheidende Rolle. Critical National Infrastructure Banking Supervision and Evaluation Testing, oder kurz CBEST, ist ein auf Nachforschungen basierendes Testframework, das Finanzinstituten hilft, die potenziellen Auswirkungen von Cyberangriffen zu verstehen. Dieser Artikel befasst sich mit dem Framework, wie es entstanden ist, wer es einhält und warum, und schließlich, welche geschäftlichen Vorteile die Einhaltung mit sich bringt.
Was ist das CBEST-Framework?
Das CBEST-Framework ist ein strukturierter Satz von Cybersecurity-Richtlinien und Tests, die dazu dienen, Schwachstellen in Cybersecurity-Systemen zu identifizieren. Initiiert von der Bank of England (BoE), ist CBEST das erste seiner Art, das Bedrohungsinformationen und Penetrationstests nutzt, um die Cybersicherheitsbedrohungen zu verstehen, denen systemrelevanten Finanzinstitute in Großbritannien gegenüberstehen. Ziel des CBEST-Frameworks ist es, die Cybersecurity-Haltung dieser Institute zu verbessern und ihnen zu ermöglichen, mögliche Cyberbedrohungen effektiv zu managen und zu mildern.
CBEST-Bewertungen sind nicht verpflichtend, werden jedoch dringend für Einrichtungen empfohlen, die einen entscheidenden Teil des britischen Finanzdienstleistungssektors bilden. Der Rahmen bietet einen standardisierten Ansatz zur Identifizierung, Bewertung und Management von Cyber-Risiken, der wiederum zur allgemeinen operationellen Belastbarkeit von Institutionen beiträgt.
Die Herkunft des CBEST-Frameworks
Das CBEST-Framework wurde 2014 von der Bank of England eingeführt, in Partnerschaft mit der britischen Regierung und der CISP (Cyber-security Information Sharing Partnership) der Finanzindustrie. Die Dringlichkeit, einen solchen Rahmen zu entwickeln, wurde durch den kontinuierlichen Anstieg ausgeklügelter Cyberangriffe auf Finanzinstitute angetrieben. Ziel war es, ein Verfahren und Praktiken zu etablieren, die diesen Institutionen helfen würden, ihre Schwachstellen zu verstehen, sich auf mögliche Cyber-Bedrohungen vorzubereiten und effektiv auf Vorfälle zu reagieren.
Das CBEST-Framework war in seinem auf Geheimdienstinformationen gestützten Ansatz einzigartig und bahnbrechend. Es war das erste Cybersecurity-Testprogramm, das Verhaltensweisen tatsächlicher Bedrohungsakteure auf der Grundlage aktueller Bedrohungsinformationen nachahmt. Dies markierte eine Abkehr von traditionellen Compliance-basierten Bewertungen und trug zu einem robusteren und widerstandsfähigeren Finanzsektor in Großbritannien bei.
Wer muss sich an das CBEST-Framework halten?
Obwohl die CBEST-Tests mit Finanzinstituten im Sinn entwickelt wurden, ist es nicht ausschließlich auf den Bankensektor beschränkt. Jede Organisation, die einen kritischen Teil der Infrastruktur der britischen Finanzdienstleistungen bildet, ist ein potenzieller Kandidat für CBEST-Tests. Dies schließt Banken, Versicherungen, große Investmentgesellschaften, Finanzmarktinfrastrukturen und sogar die Schlüssellieferanten dieser Firmen ein.
Trotz der klaren Vorteile einer CBEST-Bewertung ist es jedoch wichtig zu beachten, dass diese Bewertungen nicht verpflichtend sind. Sie werden stattdessen dringend von Regulierungsbehörden wie der BoE und der Financial Conduct Authority (FCA) empfohlen. Die Idee hierbei ist, diese Institutionen dazu zu ermutigen, einen auf Geheimdienstinformationen basierenden Ansatz zur Cybersecurity zu verfolgen, um das britische Finanzökosystem vor möglichen Cyber-Bedrohungen zu schützen.
Vorteile der Einhaltung des CBEST-Frameworks
Das CBEST-Framework bietet eine Vielzahl von Vorteilen für Organisationen und den breiteren Finanzsektor. Erstens betont es einen proaktiven Ansatz zur Cybersecurity, der es Organisationen ermöglicht, potenzielle Schwachstellen zu identifizieren, bevor sie ausgenutzt werden können. Dies trägt erheblich zum Aufbau einer robusten Cybersecurity-Infrastruktur bei.
Zweitens liefern CBEST-Bewertungen wertvolle Einblicke in die Bereitschaft einer Organisation, auf echte Cyber-Bedrohungen zu reagieren. Dies hilft Institutionen, sich auf potenzielle Cyber-Zwischenfälle vorzubereiten und sie effektiv zu managen. Drittens können die Ergebnisse einer CBEST-Bewertung strategische Investitionsentscheidungen informieren und dem Senior Management helfen zu verstehen, wo Ressourcen zur Verbesserung der Cybersecurity benötigt werden. Schließlich demonstrieren Institutionen, indem sie sich an CBEST anpassen, ein Engagement für Cybersecurity, was das Vertrauen unter Kunden, Investoren und Regulierungsbehörden stärken kann.
Einführung des CBEST-Rahmenwerks
Die Einführung des CBEST-Rahmenwerks erfordert ein klares Verständnis der potenziellen Cyberbedrohungen, denen eine Organisation ausgesetzt sein könnte, und der Schwachstellen ihrer aktuellen Cyberabwehr. Organisationen müssen zunächst eine CBEST-Bedrohungsanalyse durchführen. Dies hilft dabei, die relevantesten Bedrohungsakteure, ihre Motive, die Methoden, die sie anwenden könnten, und ihre potenziellen Auswirkungen auf die kritischen Funktionen der Organisation zu identifizieren.
Nach der Bedrohungsanalyse sollte ein CBEST-Penetrations-Test durchgeführt werden. Dies beinhaltet die Simulation eines gezielten Angriffs auf die wichtigsten Geschäftsfunktionen der Organisation, basierend auf den im vorherigen Schritt gesammelten Erkenntnissen. Das Ergebnis dieses Tests liefert ein klares Bild davon, wie ein echter Cyberangriff die Organisation beeinflussen könnte und identifiziert Bereiche, in denen Cybersecurity-Kontrollen verbessert werden müssen.
Der CBEST-Bewertungsprozess
Der CBEST-Bewertungsprozess gliedert sich in drei Hauptphasen: die Scoping-Phase, die Testphase und die Berichterstattungsphase. Bevor die Bewertung beginnt, entscheiden die teilnehmende Organisation, die zuständige Regulierungsbehörde und der CBEST-anerkannte Dienstleister gemeinsam über den Umfang des Tests. Dies beinhaltet die Identifizierung der kritischen Funktionen des Unternehmens, die wahrscheinlich in einem Cyberangriff ins Visier genommen würden, und der potenziellen Bedrohungsakteure, die einen solchen Angriff ausführen könnten.
Während der Testphase versuchen Red Teams – ethische Hacker, die die Rolle der potenziellen Bedrohungsakteure übernehmen – die Cyber-Abwehr der Organisation mit den gleichen Techniken, Taktiken und Verfahren zu durchbrechen, die im Bedrohungsanalysebericht identifiziert wurden. Dies gibt der Organisation ein genaues Bild davon, wie sie sich während eines echten Cyberangriffs verhalten würde. Das Red Team dokumentiert alle ihre Erkenntnisse während des Tests, die in den abschließenden Bericht einfließen.
Das Verständnis der Rolle von CBEST bei der regulatorischen Compliance
Obwohl das CBEST-Rahmenwerk und die Bewertungen nicht obligatorisch sind, werden sie von der Bank of England und der Financial Conduct Authority nachdrücklich empfohlen. Dementsprechend können die Ergebnisse einer CBEST-Bewertung regulatorische Auswirkungen haben. Falls bei einer Organisation im Test erhebliche Schwachstellen festgestellt werden, könnte die Regulierungsbehörde strengere Cybersecurity-Anforderungen für diese Organisation durchsetzen. Daher kann die Einhaltung des CBEST-Rahmenwerks den Regulierungsbehörden zeigen, dass die Organisation die Cybersecurity ernst nimmt und proaktive Schritte unternommen hat, um ihre Schwachstellen zu identifizieren und anzugehen.
Darüber hinaus ist das CBEST-Rahmenwerk so gestaltet, dass es nahtlos mit anderen globalen Cybersecurity-Standards und -Vorschriften wie der Allgemeinen Datenschutzverordnung (GDPR) und der ISO 27001 Informationssicherheitsnorm harmoniert. Diese Anpassungsfähigkeit macht es für Organisationen, die bereits die Konformität mit diesen Vorschriften erreicht haben, vorteilhaft, da sie ihre bestehenden Cybersecurity-Prozesse und -Protokolle nutzen können, um sich an das CBEST-Rahmenwerk anzupassen, ohne dass ein kompletter Umbau ihrer Systeme erforderlich ist.
Implementierung des CBEST-Rahmenwerks
Die Implementierung des CBEST-Rahmenwerks kann ein erheblicher Aufwand sein, aber es ist eine lohnenswerte Investition. Der erste Schritt in diesem Prozess besteht darin, einen CBEST-anerkannten Dienstleister zu beauftragen, die Bedrohungsanalyse und den Red Teaming-Test durchzuführen. Es ist wichtig zu beachten, dass diese Dienstleister rigoros durch die Bank of England geprüft werden und eine hohe Kompetenz in der Cybersecurity-Tests nachweisen müssen.
Nach Abschluss der Bewertungen muss die Organisation dann auf die Ergebnisse reagieren. Dies könnte die Implementierung neuer Cybersicherheitsmaßnahmen, die Verbesserung bestehender Maßnahmen oder die Bereitstellung zusätzlicher Schulungen für das Personal beinhalten. Die Organisation erhält während dieses Prozesses Hilfestellung und Anleitung vom Dienstleister.
Aktionen und Verbesserungen nach der Bewertung
Nach Abschluss der Bewertungen besteht der nächste entscheidende Schritt darin, dass die Organisation angemessene Maßnahmen auf Grundlage der Ergebnisse ergreift. Diese Maßnahmen könnten von der Implementierung neuer Cybersicherheitsmaßnahmen, der Verbesserung bestehender Maßnahmen oder sogar der Bereitstellung zusätzlicher Schulungen für ihr Personal variieren. Der Dienstleister bleibt während dieser entscheidenden Phase involviert und bietet der Organisation notwendige Unterstützung und Anleitung.
Kiteworks unterstützt britische Organisationen dabei, sensible Inhalte im Einklang mit dem britischen CBEST-Rahmenwerk zu schützen
Für Organisationen innerhalb des britischen Finanzsektors dient das CBEST-Rahmenwerk als unschätzbares Instrument zur Bewertung und Stärkung ihrer Cybersecurity. Es liefert tiefe Einblicke in die Cyberbedrohungen, denen diese Organisationen ausgesetzt sind, und misst ihre Vorbereitung auf diese Bedrohungen. Auch wenn die Einhaltung der CBEST-Bewertungen nicht verpflichtend ist, zeigt die bloße Einhaltung des CBEST-Rahmenwerks das starke Engagement einer Organisation in Bezug auf die Cybersecurity. Dies kann wiederum das Vertrauen von Kunden, Investoren und Regulierungsbehörden stärken. Indem sie einen CBEST-anerkannten Dienstleister einbeziehen und proaktiv an den Ergebnissen der Bewertung arbeiten, können Organisationen ihre Cybersecurity-Abwehr erheblich verstärken und zur Steigerung der Gesamtresistenz des britischen Finanzsektors beitragen.
Das Kiteworks Private Content Network, eine FIPS 140-2 Level 1 validierte sichere Plattform für Dateiaustausch und Dateiübertragung, konsolidiert -email, sichere Dateifreigabe, Webformulare, SFTP und sichere Dateiübertragung, sodass Organisationen jede Datei kontrollieren, schützen und nachverfolgen können, die in die Organisation eintritt und diese verlässt.
Mit Kiteworks: den Zugriff auf sensible Inhalte kontrollieren; diese schützen, wenn sie extern geteilt werden, mit automatischem End-to-End-Verschlüsselung, Multi-Faktor-Authentifizierung und Integrationen der Sicherheitsinfrastruktur; alle Datei-Aktivitäten sehen, verfolgen und berichten, also wer was an wen sendet, wann und wie.
Zum Schluss die Konformität mit Vorschriften und Standards wie GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP und vielen anderen nachweisen.
Um mehr über Kiteworks zu erfahren, vereinbaren Sie heute eine individuelle Demo.