Kredittilsynet offentliggjør i dag en ny risiko- og sårbarhetsanalysen (ROS) av finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT). IKT er en vesentlig del av finansforetakenes virksomhet, og analysen er et viktig bidrag til Kredittilsynets arbeid innenfor operasjonell risiko. At Internett i stadig større grad blir brukt som verktøy for kriminelle handlinger er ett av områdene det pekes på i rapporten.
For at finansnæringen fortsatt skal kunne opprettholde en stor grad av tillit til tjenester og leveranser, er det særlig viktig å ha oversikt over hvilken risiko næringen er utsatt for. Dette gjelder spesielt tjenester som leveres via Internett. Bruken av IKT er stadig økende, og det kreves et løpende og aktivt engasjement fra det enkelte foretak for å kunne beskytte seg mot nye og stadig økende trusler. Samtidig er arbeidet med å sikre stabil tilgang til tjenestene viktig for å kunne ha en velfungerende finansiell sektor.
Blant de endringene som skjer på området er en stadig større grad av utkontraktering, både innenlands og utenlands, noe som betyr at den norske andelen av IKT-leveranser vil avta. Finanssektoren har på mange måter vært en drivkraft i IKT-utviklingen i Norge. Sett i forholdt til sikkerhets, risiko og kompetanse er denne utviklingen derfor betenkelig.
De viktigste risikoområdene som Kredittilsynet peker på i rapporten, er:
- Infrastruktur – Samarbeid om utvikling av infrastruktur innen finansnæringen er avgjørende for å skape verdier på tvers av landegrensene. Kompleksiteten i infrastrukturen øker med veksten i antall transaksjoner, samhandlende kunder, aktører og utstrakt bruk av IKT. Med økt kompleksitet følger også økt risiko som stiller store krav til styring og kontroll i det enkelte foretak.
- Risikovurderingenes kvalitet – Finansiell stabilitet og velfungerende markeder er avhengig av at finansforetakene har god oversikt over egen operasjonell risiko. For at de ansvarlige i et foretak skal kunne ta veloverveide beslutninger, bør interne risikovurderinger utføres med bakgrunn i foretakets målsettinger og danne grunnlag for å definere basiskriterier for akseptabel risiko.
- Finansinstitusjonenes bruk av åpne nettverk – Bruk av åpne nettverk og risiko knyttet til dette er et generelt problem for alle brukere av Internett. Finanssektoren er imidlertid særlig utsatt, både fordi den er en betydelig bruker av internettjenester og fordi penger ofte er involvert i internettbruken.
- Nettbank – Den stadig økende bruken av Internett verden over gjør at Internett også i større grad blir benyttet som verktøy for å gjennomføre kriminelle handlinger rettet mot nettbankløsningene.
- Mangelfulle katastrofeløsninger – Den store utfordringen for foretakene er å teste sine katastrofeløsninger i et omfang som gir trygghet for at løsningen fungerer dersom uhellet skulle være ute.
- Utkontraktering innenlands og utenlands – Det synes å være en stor utfordring å definere og plassere ansvar, samt å være i stand til å identifisere risiko relatert til operasjon i et annet land.
- Endringspress – I løpet av de to siste årene har finansnæringen vært utsatt for store forretningsmessige, teknologiske og regelverksmessige endringer som stiller store krav til fastlagte endringsprosesser og etterlevelse av disse.
I rapporten omtales også viktige hendelser innen IKT-sikkerhet i 2007. Disse omfatter blant annet:
- Virusangrep rettet mot en av de større bankene
- Ondsinnede angrep mot nettbankkunder
- Avanserte phishing-angrep
- Brannen på Oslo S
ROS-analysen vil benyttes som underlag i dialogen tilsynet har med enkeltforetak og bransjeorganisasjoner i det videre arbeidet på dette området i 2008.
Den positive erfaringen Kredittilsynet får ved gjennomføring av de årlige ROS-analysene medfører at dette arbeidet vil bli videreført også i 2008.
Vedlegg:
Risiko- og sårbarhetsanalyse (ROS) 2007 – finansforetakenes bruk av IKT (pdf)
Pressekontakter:
Seksjonssjef Frank Robert Berg, tlf. 22 93 98 47, eller mobiltlf. 926 54 131
Spesialrådgiver Stig Ulstein, tlf. 22 93 99 66, eller mobiltlf. 977 01 601
Kontaktpersoner i kommunikasjonsenheten:
Fung. kommunikasjonssjef Terje H. Solheim, tlf. (a) 22 93 99 34, mobiltlf. 971 58 803
Senior kommunikasjonsrådgiver Arild Eide Johansen, tlf. (a) 22 93 99 94, mobiltlf. 971 52 011
Kommunikasjonsrådgiver Merete Ulvund, tlf. (a) 22 93 99 99, mobiltlf. 905 99 342
