I 2015 var det ingen alvorlige IKT-hendelser med konsekvenser for finansiell stabilitet. Sammenliknet med året før, var det en nedgang i antall hendelser med konsekvenser for enkeltforetak og forbrukere. Antall svindelangrep var imidlertid økende.
Betalingssystemene og kunderettede tjenester var mer tilgjengelige i 2015 enn i året før. Den positive synkende trenden fra 2011 fortsetter etter et brudd i 2014.
Stabile betalingssystemer
- Finanstilsynet vurderer betalingssystemene generelt som solide og stabile i 2015. På enkelte områder er det likevel rom for forbedringer. I flere foretak er det observert at blant annet kriseløsninger, styring av operasjonell risiko og styring av tilganger kan bli bedre, sier seksjonssjef Olav Johannessen.
Til tross for en økning i angrep mot betalingstjenestene i 2015, er de direkte tapene fortsatt små. Lave tap skyldes i stor grad forebyggende tiltak som er iverksatt. Samlede tap ved bruk av nettbank endret seg lite fra 2014 til 2015. Tapene i 2015 var i stor grad knyttet til svindel via bedriftsnettbanker.
Det er fortsatt økning i tap ved handel med betalingskort der det ikke er krav til ekstra sikkerhet, som PIN-kode ("Card-Not-Present "). Økningen i tap var på 37 prosent fra 2014 til 2015, og tapene er nær fordoblet fra 2013. Samlede tapstall for kortbruk økte med 25 millioner kroner fra 2014 til 2015, en økning på 15 prosent. Økningen i tap er større enn økningen i volumet av kortbetalinger.
Som et ledd i styringen og kontrollen av betalingstjenestene, bør tiltak for å bidra til god samhandling om fellesløsninger og infrastruktur fortsette.
Digital kriminalitet
Den digitale kriminaliteten øker og endrer trusselbildet for finansnæringen. IKT-forskriften stiller tydelige krav til foretakets styring og kontroll med IKT-sikkerhet.
I 2015 forårsaket krypteringsvirus at foretak ble utestengt fra arbeidsverktøy og data inntil dataene ble gjenopprettet. Dersom slike hendelser treffer samordnede løsninger, felles driftsleverandører eller andre sentrale aktører, kan det få alvorlige konsekvenser.
- Det er viktig at foretakenes ledelse og styre stiller tydelige krav til, og følger opp, foretakets arbeid med IKT-sikkerhet. Tilsiktede kriminelle hendelser kan få betydelige konsekvenser for det enkelte foretak, sier Johannessen.
Tilgangsstyring
Tilgangsstyring av sensitive data er et område hvor flere foretak har et vesentlig forbedringspotensial.
- Verdipapirforetakene må bli bedre på å sikre at sensitiv informasjon ikke kan komme på avveie. Finanstilsynet har registrert utkontraktering av IKT-systemer med kurssensitive data der foretaket har hatt manglende kontroll med leverandørens driftsoperatører, sier Johannessen.
Utkontraktering
Ved behandling av meldinger om utkontraktering har Finanstilsynet avdekket svakheter både ved gjennomførte risikoanalyser, foretakets selvstendige vurderinger av utkontrakteringsforholdet og etterlevelse av gjeldende lover og forskrifter. Dette gjelder blant annet IKT-forskriften og internkontrollforskriftens krav om at foretak under tilsyn skal gis rett til å kontrollere og revidere de av leverandørens aktiviteter som er knyttet til avtalen. Bruk av skytjenester vil etter Finanstilsynets vurdering falle inn under reglene som gjelder tradisjonell utkontraktering.
Om ROS-rapporten
Finanstilsynet foretar årlig en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT. Rapporten er basert på en rekke interne og eksterne kilder og inneholder vurderinger av hvordan identifiserte risikoer globalt kan få innvirkning på finanssektoren i Norge. Den teknologiske utviklingen og finanssektorens innføring og bruk av mer komplekse tjenester gjør arbeidet med risiko mer krevende både for den enkelte virksomhet og for myndighetene.
Ny teknologi inneholder ofte ukjente sårbarheter som i en tidlig fase både kan utnyttes av kriminelle og føre til feilsituasjoner. Internett åpner for global elektronisk kriminalitet. For at finanssektoren skal ligge i forkant, må den ha
tilgang til korrekt informasjon om internasjonale utviklingstrekk og opplegg for håndtering og reaksjon på uønskede hendelser både juridisk og teknologisk.
For å forstå hva som kan gi økt risiko i framtiden er det viktig å ha fakta om risikosituasjonen og være i stand til å tolke hvilke faktorer som kan endre seg over tid og gi høyere risiko.