TIBER-EU: Threat-Led Penetration Testing dla sektora finansowego

TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) to ramy opracowane przez Europejski Bank Centralny dla realistycznych, opartych na wywiadzie testów penetracyjnych w sektorze finansowym. W każdym państwie członkowskim TIBER-EU jest koordynowany przez krajowy bank centralny (np. TIBER-DE przez Bundesbank, TIBER-NL przez De Nederlandsche Bank). Wraz z DORA Art. 26 TIBER-EU stał się podstawą regulacyjną dla nowego standardu TLPT. Ten przewodnik wyjaśnia, kto potrzebuje TIBER-EU, jak przebiega trzymiesięczne zlecenie, ile kosztuje i jak przygotować się do niego standardowym pentestem.

Rozpocznij przygotowanie do TIBER

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego TIBER-EU, a nie klasyczny pentest?

Klasyczne testy penetracyjne podążają za stałym zakresem i opierają się na znanych wektorach ataku. TIBER-EU odwraca to podejście: najpierw akredytowana firma threat intelligence (dostawca CTI) tworzy indywidualny raport threat intelligence oparty na rzeczywistych TTP atakujących (taktyki, techniki, procedury), specjalnie dopasowanych do badanego podmiotu. Dopiero wtedy akredytowany dostawca Red Team przeprowadza ataki - bez zapowiedzi przeciwko rzeczywistemu środowisku produkcyjnemu, z pełną strategią deception (większość pracowników podmiotu nie wie, że właśnie odbywa się test Red Team). To podejście testuje nie tylko techniczne podatności, ale pełną zdolność 'detect and respond' podmiotu w realistycznych warunkach. DORA Art. 26 przyjął TIBER-EU jako wiążący standard dla testów TLPT, dzięki czemu systemowo istotne podmioty finansowe w UE są teraz prawnie zobowiązane do ich przeprowadzania.

DORA Art. 26 ust. 1: Systemowo istotne podmioty finansowe muszą co najmniej raz na trzy lata przeprowadzić 'Threat-Led Penetration Test' (TLPT) - TIBER-EU to standard zdefiniowany przez EBC dla tych testów.
Fazy TIBER-EU: (1) Faza przygotowawcza (4-6 tygodni): scoping, ustanowienie zespołu kontrolnego, wybór akredytowanych dostawców CTI i Red Team. (2) Faza testowa (8-12 tygodni): tworzenie raportu CTI, atak Red Team przeciwko produkcji. (3) Faza końcowa (2-4 tygodnie): Purple Teaming, mapa drogowa naprawcza, raportowanie do organów.
Krajowe wdrożenia TIBER-EU: krajowe banki centralne koordynują proces zatwierdzania i akredytują dostawców CTI i Red Team. Typowi akredytowani dostawcy: WithSecure (dawniej F-Secure), Mandiant (Google), NCC Group, KPMG Threat Intelligence.
Akredytacja EBC: Tylko dostawcy CTI i Red Team na oficjalnej liście EBC mogą przeprowadzać testy TIBER-EU. Akredytacja obejmuje sprawdzenie testerów, umowy o zachowaniu poufności z bankiem centralnym oraz ścisłe obowiązki raportowania.
Koszty TIBER-EU: Zazwyczaj €80.000-€250.000 za pełne zlecenie, w zależności od wielkości podmiotu i złożoności. Podział: dostawca CTI ~€20.000-€60.000, dostawca Red Team ~€60.000-€190.000. Do tego dochodzą koszty wewnętrzne koordynacji (~0,5 FTE przez 12 tygodni).
Purple Teaming (TIBER-EU Faza 3): Po ataku Red Team wspólna analiza Red Team i Blue Team (SOC/Incident Response) - kluczowy element nauki ram TIBER-EU, którego brakuje w klasycznych pentestach.
Wzajemne uznawanie: Testy TIBER-EU są uznawane transgranicznie - test TIBER-DE przeprowadzony w Niemczech obowiązuje również dla oddziałów w innych krajach UE, które wdrożyły TIBER-xx (TIBER-NL, TIBER-BE, TIBER-FR itd.).

Co obejmuje test Red Team TIBER-EU

Zakres oparty na threat intelligence: Dostawca CTI analizuje konkretne podmioty zagrożeń dla podmiotu (np. wspierane przez państwa grupy APT, operatorzy ransomware) i tworzy niestandardowe TTP na bazie MITRE ATT&CK dla usług finansowych.
Symulacja Initial Access: spear-phishing przeciwko kierownictwu i pracownikom IT, eksploitacja podatności VPN/zdalnego dostępu, ataki watering hole na strony branżowe - realistyczne wektory ataku z raportu CTI.
Ruch lateralny w sieci: eksploitacja Active Directory (Kerberoasting, Pass-the-Hash, DCSync, Golden Ticket), traversal sieci wewnętrznej, eskalacja uprawnień do poziomu Domain Admin.
Kompromitacja krytycznych aktywów: dostęp do systemów core banking, interfejsów SWIFT, infrastruktury obrotu płatniczego, systemów treasury - raport CTI definiuje, które aktywa są 'crown jewels'.
Symulacja eksfiltracji danych: dowód, że poufne dane klientów, pozycje handlowe lub informacje zgodnościowe mogłyby zostać wyekstrahowane - włącznie z omijaniem systemów DLP.
Mechanizmy persistence: ustanawianie połączeń Command-and-Control (C2), backdoory, zaplanowane zadania - dowód jak długo atakujący mógłby pozostać niewykryty w sieci.
Test wykrywania Blue Team: równolegle: pomiar czasu wykrycia (Time-to-Detect), czasu reakcji (Time-to-Respond), jakości reakcji incident response - TIBER-EU wprost testuje zdolność 'detect and respond'.
SWIFT CSP CSCF v2024: Konkretne testy przeciwko interfejsom SWIFT i infrastrukturze obrotu płatniczego (Mandatory Control 1.1, 1.2, 2.1, 6.1) - wymagania SWIFT Customer Security Programme.
Symulacja ataku łańcucha dostaw (opcjonalne rozszerzenie zakresu): atak przez dostępy dostawców zewnętrznych, skompromitowane aktualizacje oprogramowania, scenariusze zagrożeń wewnętrznych.
Ćwiczenie Purple Teaming: wspólna sesja Red Team + Blue Team + zarząd - przejście przez scenariusze, identyfikacja luk wykrywania, ustalanie priorytetów dla napraw.

Sample finding

Critical

Golden Ticket przez DCSync: pełna kompromitacja AD w 4 godziny

Po udanym ataku spear-phishing na pracownika działu IT (początkowa przesłanka: dostęp do urządzenia końcowego z uprawnieniami Domain User), Red Team mógł przez Kerberoasting (CVE-2022-37967, CVSS 7.2) skompromitować konto usługowe ze słabym hasłem. Przez to konto możliwy był dostęp DCSync (wywołanie RPC DsGetNCChanges), co pozwoliło na pełną ekstrakcję wszystkich haszy haseł NTLM Active Directory (włącznie z kontem KRBTGT). Z haszem KRBTGT utworzono Kerberos Golden Tickets, które umożliwiają nieograniczony czasowo dostęp do wszystkich zasobów domeny - włącznie z serwerem core banking, infrastrukturą SWIFT messaging i systemami backupu. Blue Team (SOC) nie wykrył aktywności w 72-godzinnym okresie ćwiczenia.

Fix: Rotacja hasła konta KRBTGT (dwukrotna, z 10-godzinną przerwą) w celu unieważnienia wszystkich istniejących biletów Kerberos. Wprowadzenie Privileged Access Workstations (PAW) dla wszystkich administratorów IT. Redukcja praw DCSync do minimum (tylko konta usługowe replikacji). Wdrożenie Azure ATP / Microsoft Defender for Identity dla wykrywania w czasie rzeczywistym ataków Kerberoasting i DCSync. Wprowadzenie modelu tieringu AD (separacja Tier 0/1/2). Wyostrzenie reguł alertów SOC dla RPC DsGetNCChanges. Dokumentacja jako TIBER-EU Purple Teaming Finding.

Reference: CVE-2022-37967 (Kerberos Privilege Elevation) · MITRE ATT&CK T1003.006 (DCSync) · T1558.001 (Golden Ticket) · TIBER-EU Red Team Guidance v2.0 · DORA Art. 26 ust. 4

TIBER-EU vs. standardowy pentest: porównanie

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Przygotowanie do TIBER-EU z Matproof

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęstsze pytania dotyczące TIBER-EU

Kto musi przeprowadzać TIBER-EU?

TIBER-EU jest obowiązkowy dla systemowo istotnych podmiotów finansowych zgodnie z DORA Art. 26 - w UE: istotne podmioty pod nadzorem EBC (Direct Supervision, ok. 115 w całej UE), a także krajowe istotne podmioty pod nadzorem krajowych organów nadzoru, które są kwalifikowane jako 'TIBER-relevant'. Mniejsze podmioty nie są zobowiązane, ale mogą dobrowolnie przeprowadzać testy TIBER. Krajowe organy nadzoru i banki centralne regularnie publikują listę zobowiązanych podmiotów.

Jak długo trwa test TIBER-EU?

Pełny test TIBER-EU trwa zazwyczaj 10-16 tygodni: 4-6 tygodni przygotowania (scoping, wybór dostawcy, procedura zatwierdzania z bankiem centralnym), 6-10 tygodni fazy testowej (tworzenie raportu CTI ~4 tygodnie, atak Red Team ~6-8 tygodni, równolegle), 2-4 tygodnie fazy końcowej (Purple Teaming, raportowanie, komunikacja z organami). To znacznie dłużej niż klasyczny pentest - zaplanujcie odpowiedni wyprzedzenie.

Którzy dostawcy są akredytowani dla TIBER-EU?

Krajowe banki centralne prowadzą listę akredytowanych dostawców CTI i Red Team. Znani akredytowani dostawcy Red Team: WithSecure (dawniej F-Secure), Mandiant/Google Cloud, NCC Group, KPMG, Deloitte Cyber. Pełna aktualna lista jest dostępna w krajowym banku centralnym. Matproof Sentinel nie jest platformą akredytowaną TIBER-EU - zalecamy do testu TIBER akredytowanych partnerów i wspieramy w przygotowaniu.

Ile kosztuje test TIBER-EU i jak go finansować?

Typowe koszty: €80.000-€250.000 za pełne zlecenie TIBER-EU (dostawca CTI + dostawca Red Team + koordynacja wewnętrzna). Dla międzynarodowych grup z kilkoma krajowymi oddziałami możliwy jest podział kosztów przez strukturę grupową (skonsolidowany TIBER-EU obowiązuje dla wszystkich jurysdykcji z wdrożeniem TIBER). Niektóre banki budżetują TIBER jako część budżetu bezpieczeństwa, inne jako wydatek na zgodność regulacyjną.

Jak przygotować mój podmiot do TIBER-EU?

Optymalne przygotowanie: (1) Przeprowadzić standardowy pentest DORA Art. 24 i naprawić wszystkie krytyczne i wysokie wyniki - test TIBER na bazie niezałatanych podatności to zmarnowany budżet. (2) Wzmocnić bezpieczeństwo AD (tiering, PAW, MFA dla wszystkich administratorów). (3) Poprawić jakość wykrywania SOC (reguły SIEM, zdolności threat hunting). (4) Testować playbooks incident response. (5) Używać Matproof Sentinel jako ciągłego testu między cyklami TIBER.

Jaka jest różnica między TIBER-EU a CBEST (UK)?

Oba to ramy Red Team oparte na threat intelligence dla sektora finansowego. CBEST zostało opracowane przez Bank of England i obowiązuje dla brytyjskich podmiotów finansowych. TIBER-EU to ogólnounijny odpowiednik EBC. Po Brexicie oba ramy nie uznają się już automatycznie - brytyjskie banki z oddziałami w UE muszą testować zgodnie zarówno z CBEST, jak i z TIBER-EU. Pod względem treści metodyki są bardzo podobne (oparte na PTES, CTI-First).

Czy TIBER-EU może obowiązywać również dla sektora ubezpieczeniowego?

Tak - DORA Art. 26 obowiązuje dla wszystkich podmiotów finansowych zgodnie z Art. 2 DORA, w tym zakładów ubezpieczeń, reasekuratorów i ubezpieczeniowych spółek holdingowych. EIOPA (European Insurance and Occupational Pensions Authority) przyjęła TIBER-EU jako podstawę dla testów TLPT w sektorze ubezpieczeniowym. Dla ubezpieczycieli obowiązki TLPT zaczynają się również od 17 stycznia 2025 r. (rozpoczęcie stosowania DORA).

Co dzieje się po teście TIBER-EU - jakie wyniki są publikowane?

Wyniki TIBER-EU są ściśle poufne i są komunikowane wyłącznie podmiotowi, właściwemu organowi nadzoru i koordynującemu bankowi centralnemu. Nie ma publicznej publikacji wyników. Podmiot otrzymuje 'TIBER-EU Test Certificate' (przy udanym ukończeniu), który obowiązuje wobec innych krajowych banków centralnych jako dowód. Krytyczne wyniki muszą zostać naprawione w uzgodnionym okresie, zanim wystawiony zostanie certyfikat.

Go deeper — related blog articles

Przygotuj się do TIBER-EU - teraz z Matproof

Zanim zainwestujecie €80.000-€250.000 w test TIBER-EU, wszystkie znane podatności powinny być naprawione. Matproof Sentinel identyfikuje Państwa krytyczne ryzyka w godziny zamiast tygodni - jako optymalne przygotowanie do TIBER-EU i dowód dla DORA Art. 24.