- I 2013 var det en betydelig økning i svindel av typen "kort ikke til stede", mens det var en reduksjon i tapene knyttet til andre typer svindel mot betalingstjenestene. Det var en stor økning i phishing-forsøk i 2013. Det er vanskelig å estimere hvor mange som har blitt lurt, men det er sannsynlig at enkelte kan ha gitt fra seg sensitiv informasjon, sier seksjonssjef Frank Robert Berg.
Finanstilsynet kjenner ikke til at det var innbrudd på norske brukersteder eller innsamlingssentraler i 2013, men kjenner til store datainnbrudd i andre land, eksempelvis Irland og USA.
- Helhetsvurderingen er at betalingstjenestene i Norge fortsatt er sikre og at tilgjengeligheten i det norske betalingssystemet er god, sier Berg.
Nye banktjenester
Utviklingen og bruken av mobile løsninger økte betydelig i 2013.
- Et risikoaspekt ved bruk av mobile enheter er at de skal dekke flere behov. Når mange funksjoner og opplysninger samles på ett sted, kan sårbarhetene øke. Nye teknologier fører også til at betalingsverdikjedene blir lengre, og kravet til samspill mellom teknologier og mellom aktører øker, sier Berg.
Selv om det ikke har vært kjente angrep mot mobile løsninger i Norge, er det viktig at foretakene stiller minst samme krav til sikkerhet for mobile betalingsløsninger som for de tradisjonelle nettbankløsningene.
Omfattende endringer i finanssektorens IT-virksomhet
Finanstilsynet observerer at flere store finansforetak gjennomfører, eller vil gjennomføre, omfattende endringer i sin IT-virksomhet, både på system- og driftssiden.
- Generelt fører endringer til økt operasjonell risiko. Vi ser at de fleste og mest alvorlige innrapporterte hendelsene faktisk har skjedd i forbindelse med endringer. Det er vesentlig at foretakene kontrollerer og styrer risikoene relatert til de pågående endringene, sier Berg.
- Et viktig element knyttet til håndtering av endringer er varierende kvalitet i finansforetakenes risikoanalyser. Dette kan være alvorlig, ettersom risikovurderingene skal sikre at endringene skjer på en forsvarlig måte, sier Frank Robert Berg.
Selv om det enkelte foretak mener å ha kontroll på sine endringer og risikoer, er Finanstilsynets vurdering at alle de omfattende endringene som pågår i finansnæringen, samlet sett likevel utgjør en økt risiko for norsk finansiell infrastruktur og stabilitet.
Om ROS-rapporten
Finanstilsynet foretar årlig en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT. Rapporten er basert på en rekke interne og eksterne kilder og inneholder vurderinger av hvordan identifiserte risikoer globalt kan få innvirkning på finanssektoren i Norge. Den teknologiske utviklingen og finanssektorens innføring og bruk av mer komplekse tjenester gjør arbeidet med risiko mer krevende både for den enkelte virksomhet og for myndighetene.
Ny teknologi inneholder ofte ukjente sårbarheter som i en tidlig fase både kan utnyttes av kriminelle og føre til feilsituasjoner. Internett åpner for global elektronisk kriminalitet. For at finanssektoren skal ligge i forkant, må den ha
tilgang til korrekt informasjon om internasjonale utviklingstrekk og opplegg for håndtering og reaksjon på uønskede hendelser både juridisk og teknologisk.
For å forstå hva som kan gi økt risiko i framtiden er det viktig å ha fakta om risikosituasjonen og være i stand til å tolke hvilke faktorer som kan endre seg over tid og gi høyere risiko.