Stresstest om cyberresiliens

Stresstest om cyberresiliens

Finansinspektionen genomförde 2025 ett stresstest för att undersöka motståndskraften mot cyberstörningar hos tolv betydande företag under tillsyn. Stresstestet bedömde hur företagen under tillsyn skulle agera i och återhämta sig från en allvarlig men trovärdig cyberstörningssituation. En allmän iakttagelse från stresstestet var att företagen under tillsyn har rutiner för hantering av och återhämtning från cyberattacker, men att rutinerna fortfarande kan förbättras. Stresstestresultaten har ökat företagens kunskaper om styrkor och svagheter i deras motståndskraft mot cyberstörningar.

Testet inleddes i mars 2025 och bestod av ett fiktivt stresstestscenario där inga förebyggande åtgärder fungerade och cyberangreppet orsakade allvarliga störningar i databaserna för de olika företagens viktigaste system. Det främsta syftet var att se hur företagen under tillsyn agerar vid ett cyberangrepp och återhämtar sig från det, snarare än att bedöma deras förmåga att förhindra ett sådant angrepp.

I stresstestet deltog 12 betydande företag under tillsyn verksamma på den finländska finansmarknaden. De ombads fylla i ett frågeformulär och lämna in bevisning som stöd för sina svar. På basis av enkätsvaren och de dokument som företagen under tillsyn lämnade in bedömde Finansinspektionen deras motståndskraft mot cyberstörningar.

För att testa sitt agerande i scenariot skulle företaget under tillsyn visa sin förmåga att

• aktivera sina krishanteringsplaner, dvs. bland annat interna krishanteringsrutiner och kontinuitetsplaner,
• kommunicera med alla externa intressenter, såsom kunder, tjänsteleverantörer och myndigheter,
• göra en analys av vilka tjänster som skulle påverkas och hur,
• vidta åtgärder för att minska konsekvenserna av störningar, såsom tillgripa nödlösningar som hjälper företagen under tillsyn att upprätthålla sin verksamhet under den tid som behövs för att återställa full kapacitet i IT-systemet.

För att testa sin förmåga att återhämta sig från scenariot skulle företagen under tillsyn visa att de kunde

• aktivera sina återhämtningsplaner och återställa säkerhetskopierade data samt samverka med tredjepartsleverantörer av kritiska tjänster för hantering av incidenten,
• återställa och få igång de drabbade delarna,
• dra lärdomar av testerna genom att exempelvis se över sitt agerande och sina återhämtningsplaner.

Finansinspektionen fortsätter samarbetet med företagen under tillsyn för att stärka deras ramverk för cyberresiliens och uppmuntrar dem att fortsätta arbetet för att leva upp till tillsynsförväntningarna genom att bland annat se till att de har lämpliga driftskontinuitets-, kommunikations- och återhämtningsplaner som tar hänsyn till en lämplig mängd cyberriskscenarier av varierande slag.

Företagen under tillsyn bör även ha förmåga att uppnå sina egna återhämtningsmål, göra en grundlig bedömning av sitt beroende av tredjepartsleverantörer av kritiska tjänster och göra en adekvat uppskattning av de direkta och indirekta förlusterna vid ett eventuellt cyberangrepp.

De enskilda företagen under tillsyn har fått återkoppling om stresstestet av Finansinspektionen, som kommer att följa upp resultaten med dem. Vissa företag under tillsyn har redan rättat till de brister som uppdagades i testerna eller upprättar planer för att rätta till dem.

Närmare upplysningar lämnas av

Juha Kalm, ledande specialist, tfn 09 183 5525 eller juha.kalm(at)fiva.fi

Ämnesord

Dela sidan