Ny risiko- og sårbarhetsanalyse om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) lagt fram

Rapporten ble lagt frem på en pressekonferanse torsdag 31. mars.

Hensikten med analysen er å sikre et mest mulig korrekt bilde av risikosituasjonen, informasjonskilde for tilsynets arbeid med risiko og som innspill til finansforetak som arbeider med egen risikohåndtering.

Skimmingangrep mot minibanker

Mens det tidligere har vært såkalt digital skimming, ble det i 2010 brukt en analog skimming-teknologi. Tiltak er iverksatt for å hindre videre utbredelse av denne typen angrep.

-Tapene er begrensede fordi urettmessige transaksjoner ble oppdaget raskt og potensielt skimmede kort ble sperret raskt. Det er likevel ingen grunn til å tro at det ikke kan dukke opp nye former for skimming-angrep mot minibankene, sier seksjonssjef Frank Robert Berg i seksjon for tilsyn med IT og betalingstjenester.

Finanstilsynet følger bankorganisasjonenes arbeid mot skimming og holder seg oppdatert på den teknologiske utviklingen, trusler og sårbarheter innen området.

-Tilsynet vil sikre nødvendig informasjon om hendelser og tap som grunnlag for å vurdere potensielle konsekvenser og tiltak for å sikre akseptabel håndtering av risiko slik at man kan begrense eventuelle samfunnsmessige konsekvenser, sier Frank Robert Berg.

Angrep mot nettbankløsninger

Finanstilsynet følger nettbankløsningene nøye. Det er viktig at bankene har nye sikringstiltak tilgjengelig når konsekvensene av angrepene blir for store. Ved inngangen til 2011 er beredskapen styrket i forhold til angrep fra trojanere mot nettbankene.

Tapene på nettbanktjenesten er fortsatt svært lave. Tapene i 2010 er relatert til mer tradisjonelle tyverier og ikke internettbaserte angrep.

- Finanstilsynets vurdering er at bankene i Norge har stor oppmerksomhet på trusler mot nettbanken og samarbeider både nasjonalt og internasjonalt om hensiktsmessige tiltak, sier Frank Robert Berg.

Finanstilsynet har etablert et tett samarbeid på nordisk og internasjonalt plan med andre tilsynsmyndigheter på dette området. Det er også etablert formelt samarbeid med NorCERT som bidrar til overvåking av nettet, og som er en viktig samarbeidspartner når det gjelder tiltak i nettverk utenfor Norge.

Mangelfulle katastrofeløsninger

Foretakene skal i henhold til regelverket gjennomføre test av katastrofeløsningene minst årlig og resultatet skal dokumenteres. Foretakene i finansnæringen benytter IKT-løsninger som er komplekse, sammensatt av mange lag og basert på leveranser fra flere leverandører.

- Tilliten til katastrofeløsninger er vesentlig for samfunnet. Tilstrekkelig testing for å verifisere at beredskapsløsningen virker er nødvendig. Finanstilsynet vil derfor følge opp dette viktige området både gjennom tilsynsvirksomheten, direkte kontakt mot enkeltforetak og ny spørreundersøkelse i 2011, sier Frank Robert Berg.

Mangelfull styring ved utkontraktering

Det er risiko forbundet med utkontraktering, enten det er til leverandør i eget land, i Norden eller i land lenger unna. Stor avstand til leverandøren, gir større utfordringer knyttet til å sikre tilstrekkelig styring og kontroll med utkontrakterte tjenester.

-Det er grunnleggende at foretakene selv gjennomfører nødvendige risikovurderinger knyttet til utflytting av IKT-virksomhet. Risikovurderingene må omfatte både den operasjonelle risiko isolert, men også landrisikoen knyttet til det landet virksomheten skal flyttes til, sier Frank Robert Berg.

Det er ledelsen som skal sørge for at risikosituasjonen er håndtert tilfredsstillende. Foretakene må ta høyde for en økt operasjonell risiko som følge av utkontraktering, og møte risikoen med å etablere relevante tiltak.

Det arbeides med denne problemstillingen som omfatter både utkontraktering generelt og offshoring spesielt både gjennom mulige regelverksendringer og gjennom utarbeidelse av egen veiledning til IKT-forskriftens § 12 Utkontraktering.

-Tilsynet vil følge denne utviklingen nøye gjennom 2011, og samtidig samarbeide med bransjeorganisasjoner og myndigheter i andre land for å sikre avstemming mot beste praksis og internasjonale standarder på dette område, sier Frank Rober Berg.

Risiko knyttet til endringer hos leverandørene

I 2010 har det vært flere fusjoner mellom de store dataleverandørene. Fusjonene bidrar til færre leverandører og med det risikoen for økt konsentrasjonsrisiko og mindre påvirkningskraft for kunden.
Fusjoner skaper uro i organisasjonene i en omstillingsperiode, og det påvirker driften. Den nordiske dimensjonen blir stadig mer dominerende. Nordiske konsern skal levere tjenester til finansforetak i hele Norden. Hvert av de nordiske land har sin betalingsinfrastruktur og sitt regelverk. Kompetanse flyttes på og kan i den forbindelse gå tapt og være vanskelig å bygge opp igjen fordi kunnskap om betalingsinfrastruktur i et annet nordisk land er annerledes.

Fakta:
Finanstilsynets ROS-analyse baserer seg på informasjon innhentet gjennom tilsyn, intervjuer, IKT-hendelsesrapporteringen og annen innrapportering og egne spørreundersøkelser. I tillegg er internasjonale kilder benyttet.