Generelt solide og stabile betalingssystemer i 2015

Betalingssystemene og kunderettede tjenester var mer tilgjengelige i 2015 enn i året før. Den positive synkende trenden fra 2011 fortsetter etter et brudd i 2014.

Stabile betalingssystemer

- Finanstilsynet vurderer betalingssystemene generelt som solide og stabile i 2015. På enkelte områder er det likevel rom for forbedringer. I flere foretak er det observert at blant annet kriseløsninger, styring av operasjonell risiko og styring av tilganger kan bli bedre, sier seksjonssjef Olav Johannessen.

Til tross for en økning i angrep mot betalingstjenestene i 2015, er de direkte tapene fortsatt små. Lave tap skyldes i stor grad forebyggende tiltak som er iverksatt. Samlede tap ved bruk av nettbank endret seg lite fra 2014 til 2015. Tapene i 2015 var i stor grad knyttet til svindel via bedriftsnettbanker.

Det er fortsatt økning i tap ved handel med betalingskort der det ikke er krav til ekstra sikkerhet, som PIN-kode ("Card-Not-Present "). Økningen i tap var på 37 prosent fra 2014 til 2015, og tapene er nær fordoblet fra 2013. Samlede tapstall for kortbruk økte med 25 millioner kroner fra 2014 til 2015, en økning på 15 prosent. Økningen i tap er større enn økningen i volumet av kortbetalinger.

Som et ledd i styringen og kontrollen av betalingstjenestene, bør tiltak for å bidra til god samhandling om fellesløsninger og infrastruktur fortsette.

Digital kriminalitet

Den digitale kriminaliteten øker og endrer trusselbildet for finansnæringen. IKT-forskriften stiller tydelige krav til foretakets styring og kontroll med IKT-sikkerhet.

I 2015 forårsaket krypteringsvirus at foretak ble utestengt fra arbeidsverktøy og data inntil dataene ble gjenopprettet. Dersom slike hendelser treffer samordnede løsninger, felles driftsleverandører eller andre sentrale aktører, kan det få alvorlige konsekvenser.

- Det er viktig at foretakenes ledelse og styre stiller tydelige krav til, og følger opp, foretakets arbeid med IKT-sikkerhet. Tilsiktede kriminelle hendelser kan få betydelige konsekvenser for det enkelte foretak, sier Johannessen.

Tilgangsstyring

Tilgangsstyring av sensitive data er et område hvor flere foretak har et vesentlig forbedringspotensial.

- Verdipapirforetakene må bli bedre på å sikre at sensitiv informasjon ikke kan komme på avveie. Finanstilsynet har registrert utkontraktering av IKT-systemer med kurssensitive data der foretaket har hatt manglende kontroll med leverandørens driftsoperatører, sier Johannessen.

Utkontraktering

Ved behandling av meldinger om utkontraktering har Finanstilsynet avdekket svakheter både ved gjennomførte risikoanalyser, foretakets selvstendige vurderinger av utkontrakteringsforholdet og etterlevelse av gjeldende lover og forskrifter. Dette gjelder blant annet IKT-forskriften og internkontrollforskriftens krav om at foretak under tilsyn skal gis rett til å kontrollere og revidere de av leverandørens aktiviteter som er knyttet til avtalen. Bruk av skytjenester vil etter Finanstilsynets vurdering falle inn under reglene som gjelder tradisjonell utkontraktering.