Forretningsbankar nr. 10
Sparebankar nr. 11
Filialar i Noreg av utanlandske bankar nr. 1
Verdipapirsentralen ASA
Oslo Børs ASA
BBS AS
Kredittilsynet skal etablere eit standardisert opplegg for rapportering til Kredittilsynet om IKT‑relaterte hendingar av eit visst alvor.
Dette rundskrivet inneheld ein førebels rutine som bør brukast ved hendingsrapportering. I denne omgangen gjeld opplegget berre for bankar, VPS og Oslo Børs. I tillegg er BBS oppmoda om å delta. Etter ein periode på ca. 12 månader skal erfaringane evaluerast før eit eventuelt permanent opplegg blir vurdert.
1. Bakgrunn
Etter kvart som IKT er blitt meir og meir utbreidd og nødvendig i finansnæringa, har operasjonell risiko fått auka merksemd og prioritet. For at føretaka skal ha oversikt og styring med den operasjonelle risikoen, er det viktig at alle hendingar og avvik blir registrerte og rapporterte. For bankar og verdipapirføretak er dette reflektert i det nye kapitaldekningsregelverket, Basel II, der operasjonell risiko utgjer eit eige berekningselement. For finansføretak som vel avansert modell (AMA), blir det stilt særlege krav til hendingsregistrering og lagring av historikk.
I IKT-forskrifta § 9 om avviks- og endringshandtering er det gitt føringar for behandling av avvik (hendingar), både med tanke på gjenoppretting og som ledd i det preventive arbeidet.
Foretaket skal sikre at prosedyrer for avviks- og endringshåndtering foreligger og følges. Prosedyrene for avvikshåndtering skal omfatte alle avvik som oppstår i driften av IKT-systemene. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand i IKT-virksomheten. Avviksbehandlingen skal identifisere årsaken til avvik, hindre gjentagelser og sikre forsvarlig og formell behandling av avviket. Avvikene skal dokumenteres. Prosedyrene for avvikshåndtering skal inneholde retningslinjer for eskalering.
Føretaka har ulik praksis på dette området, og graden av registrering og rapportering internt i føretaka varierer. Det skjer normalt inga systematisk rapportering av hendingar til instansar utanfor føretaket, og rapporteringa til Kredittilsynet på dette området er òg tilfeldig.
Eit aktuelt døme på hendingar som det er viktig å informere om, er avvik i nettbankar. Nettbankane speler ei sentral rolle både for privatpersonar og bedrifter som gjer bruk av banktenester. Tilliten til at nettbankane er tilgjengelege og fungerer på ein forsvarleg måte, er viktig for at kundane skal stole på dei tenestene bankane leverer i Noreg. Viktig er det òg å vidareføre den rasjonelle bruken av elektroniske hjelpemiddel som er nødvendige for at banksystemet skal fungere effektivt til beste for kundane, bankane sjølve og samfunnet elles. Systematisk informasjon om moglege svakheiter i nettbanksystema er eit godt grunnlag for å kunne setje i verk tiltak og sikre at systema er tilgjengelege og trygge å bruke.
Kredittilsynet meiner at det er viktig å sikre ei tilstrekkeleg behandling av hendingar i kvart føretak for å avdekkje svakheiter og feilområde og slik medverke til redusert operasjonell risiko på dette området. Vidare er det viktig å sikre at informasjon om hendingar og avvik som heile eller delar av finansnæringa kan ha behov for å kjenne til, blir registrert og følgd opp. Kredittilsynet ser slik rapportering som avgjerande for å skaffe informasjon og oversikt på eit område som er viktig for at finansmarknaden skal fungere og for publikum generelt. Kredittilsynet ventar såleis at rapporteringa skal vere med på å skape eit betre grunnlag for arbeidet på dette området.
Ei totaloversikt over risikobiletet kan avdekkje mønster og samanhengar som det kan vere vanskeleg for eit enkelt føretak å få auge på, samtidig som det er viktig å sikre eit korrekt og rettidig bilete av hendingar som oppstår. Det kan i neste omgang medverke til at effektive tiltak kan koordinerast og setjast i verk på eit tidleg tidspunkt.
Betalingsformidling er ein vesentleg del av bankverksemda, og i lov om betalingssystemer mv., § 3–3 Alminnelige systemkrav, er Kredittilsynet gitt eit ansvar som gjer det ønskjeleg å bli informert om avvik i drifta av system for betalingstenester. Samtidig inngår dette i den generelle tilsynsverksemda Kredittilsynet driv i samsvar med kredittilsynslova og andre relevante lover.
2. Hendingar som bør rapporterast
Hendingar som bør rapporterast, er:
Hendingar som medfører vesentleg redusert funksjonalitet som følgje av brot på konfidensialitet (vern av data), integritet (sikring mot uautoriserte endringar) eller tilgjenge til IKT-system og/eller data.
Hendingane kan skrive seg frå brot i sentral infrastruktur som straum eller telekommunikasjon, feil i nettverk, feil i systemprogramvare, feil i applikasjonar eller vondsinna angrep.
Rapporten skal normalt omfatte hendingar som føretaket sjølv kategoriserer som svært alvorlege eller kritiske, men kan òg omfatte andre hendingar dersom dei avdekkjer spesielt sårbare punkt i applikasjonar, arkitektur, infrastruktur eller forsvarsverk.
Nedanfor er det lista opp nokre døme på hendingar som bør rapporterast. Lista er ikkje uttømmande. Døma er meinte å vere eit hjelpemiddel som skal gjere det enklare å vurdere om ei hending kvalifiserer for rapportering eller ikkje.
Døme for bankar:
a) Kundar rapporterer om manglande tilgang til nettbanken. Banken har gjort endringar i nettbankapplikasjonen, og endringane kan ha ført til feil som ikkje er blitt oppdaga under testen.
b) Kundar rapporterer til banken at dei har tilgang til å sjå kontoane til andre kundar i nettbanken. Banken har gjort endringar i nettbankapplikasjonen, og det viser seg at endringane har ført til ein feil som ikkje blei oppdaga under testen.
c) Felles leverandør av nettverksinfrastruktur til bankar gjer endringar i programvarekonfigurasjonen som introduserer ei svakheit som gir hyppig tilbakevendande problem med driftsstabiliteten.
d) Banken får meldingar frå kundar som har oppdaga at det er gjort uautoriserte transaksjonar frå kontoane deira i banken. Dette avdekkjer eit nytt angrep av vondsinna kode mot nettbankkundane til banken.
e) Banken har bytt driftsleverandør, og dei første vekene banken køyrer på ny driftsplattform, opplever han større problem med faste driftskøyringar.
f) Banken blir ramma av eit virus som spreier seg til ein stor del av arbeidsstasjonane i banken, både ved hovudkontoret og i filialane. Tilsette i banken får ikkje tilgang til arbeidsstasjonane sine og får ikkje utført normale arbeidsoppgåver.
g) Fleire kundar rapporterer til banken at saldoen på kontoane deira er endra utan at dei veit kvifor. Banken finn uautoriserte oppdateringar i databasen, men har enno ikkje identifisert kjelda. Signal tyder på at ein tidlegare tilsett kan ha kompromittert data.
h) Nettbanken har vore utsett for massiv samtidig pålogging, slik at serveren ikkje klarer å handtere trafikken. Serveren blir stengd ned og starta opp igjen med spesiell overvaking. Banken går ut frå at det er snakk om eit ”Denial of Service”-angrep (DoS). Nettbanken er til saman nede i 3 timar og 40 minutt.
i) Straumbrot hos driftsleverandøren og svikt i UPS-løysinga hos driftsleverandøren medfører manglande tilgang til kjernesystema i banken i ein periode på 4 timar og 15 minutt.
Døme for VPS:
j) VPS har problem av teknisk karakter som gjer at verdipapiroppgjeret blir mykje forseinka.
Døme for Oslo Børs:
k) Fleire medlemmer av Oslo Børs melder om ustabil og periodevis manglande tilgang til handelssystemet. Problemet varer i over to timar.
3. Tidspunkt for rapportering
Hendinga skal utan ugrunna opphald rapporterast til Kredittilsynet.
4. Rapporteringsform
Føretaket rapporterer om hendinga til Kredittilsynet gjennom e-post til hendelse@kredittilsynet.no eller telefon til saksbehandlar i seksjon for IT-tilsyn, sjå telefonlista nedanfor.
Hendingar som bankane rapporterer til NICS Operatørkontor, og som fell inn under spesifikasjonen i dette rundskrivet, skal sendast med kopi til hendelse@kredittilsynet.no.
Dersom same hendinga rammar fleire bankar som samarbeider, kan bankane rapportere med éi felles melding til Kredittilsynet.
Vern av fortruleg informasjon
Dersom føretaket vurderer hendingsinformasjon som sensitiv, kan hendingsrapporten leggjast ved e‑post som eit kryptert og passordbeskytta Word-dokument. Passord blir utveksla med Kredittilsynet per telefon. Føretaket kan òg ta kontakt per telefon og ettersende sensitiv informasjon i vanleg postgang eller levere informasjonen til Kredittilsynet.
5. Innhaldet i rapporten til Kredittilsynet
Ofte kan det vere aktuelt å varsle om hendinga før det ligg føre full oversikt over kva årsaker og konsekvensar hendinga har. Kredittilsynet kan på grunnlag av rapporteringa be om ytterlegare informasjon, eventuelt opprette direkte kontakt med føretaket, dersom det er behov for det.
Generelt bør rapporteringa innehalde desse opplysningane om hendinga:
- Tidspunkt då hendinga oppstod
- Tidspunkt då hendinga blei oppdaga
- Kontaktinformasjon
- System og/eller data som er ramma
- Årsak til hendinga så langt det er kartlagt
- Førebelse konsekvensar av hendinga
- Tidspunkt då normal drift er gjenoppretta eller er venta å vere det
- Tiltak for å hindre gjentaking eller når og korleis dette er planlagt
Føretaket kan bruke ein kopi av sitt eige interne skjema for avviksregistrering dersom dette dekkjer informasjonen som er nemnd ovanfor.
6. Evaluering
Kredittilsynet vil evaluere hendingsrapporteringa fortløpande og gjere opp status etter ein prøveperiode på 12 månader.
Anne Merethe Bellamy
Frank Robert Berg
Kontaktpersonar:
Anne Karen Seip, tlf. 22 93 98 46, e-post: anne.karen.seip@kredittilsynet.no
Atle Dingsør, tlf. 22 93 99 51, e-post: atle.dingsor@kredittilsynet.no
Einar Lyford, tlf. 22 93 99 13, e-post: einar.lyford@kredittilsynet.no
Frank Robert Berg, tlf. 22 93 98 47, e-post: frank.robert.berg@kredittilsynet.no
Stig Ulstein, tlf. 22 93 99 66, e-post: stig.ulstein@kredittilsynet.no
Åshild Johnsen, tlf. 22 93 97 02, e-post: ashild.johnsen@kredittilsynet.no
