Risiko- og sårbarhetsanalysen (ROS) 2017
Nyheter
Publisert: 8. mai 2018
Den finansielle infrastrukturen i Norge er i hovedsak robust. I 2017 var det ingen alvorlige IKT-hendelser med konsekvenser for finansiell stabilitet. Det var imidlertid enkelte alvorlige hendelser som skapte usikkerhet i markedet knyttet til foretakenes evne til kontinuerlig å levere betalingstjenester og gjennomføre betalingsoppdrag. Hendelsene var i hovedsak knyttet til operasjonelle feil.
Betalingssystemene
I 2017 var det økning i antall hendelser på ca. 25 prosent fra 2016, og tilgjengeligheten til betalingstjenester og kunderettede løsninger var lavere enn i 2015 og 2016.
Finanstilsynet observerte flere alvorlige hendelser, både i omfang og varighet, for betalingssystemene i 2017. Flere av hendelsene medførte at betalingsoppdrag ikke ble gjennomført i det aktuelle tidsrommet. For noen av hendelsene var betalingstjenestene utilgjengelige opp til et helt døgn for mer enn 30 prosent av bankkundene.
- Hendelsene skapte usikkerhet i markedet knyttet til foretakenes evne til kontinuerlig å levere robuste betalingstjenester og gjennomføre betalingsoppdrag. Hendelsene viste at det for enkelte typer betalingskort ikke er etablert reserveløsninger, sier seksjonssjef Olav Johannessen.
Betalingsområdet var også i 2017 preget av store endringer, blant annet ved etablering av eget betalingsforetak for samarbeid om Vipps, og avvikling av Mobilpay og mCASH.
Flere av foretakene og deres leverandører har i 2017 arbeidet med å tilpasse virksomheten til det nye betalingstjenestedirektivet (PSD 2), både organisatorisk og teknisk.
Utviklingstrekk finansiell teknologi
Den teknologiske utviklingen har stor innvirkning på tjenesteutviklingen i finansnæringen. Ny regulering åpner for nye aktører og nye løsninger som utfordrer de etablerte foretakene og forretningsmodellene.
Finanstilsynet følger utviklingen, og ser blant annet på hvordan foretakene og nye aktører innretter seg etter lover og regler.
- Finanstilsynet legger vekt på at hensynet til finansiell stabilitet, trygge tjenester og god kundebeskyttelse blir ivaretatt. For å oppnå dette, bør lik risiko behandles likt, uavhengig av forretningsmodell, sier Johannessen.
Digital kriminalitet
Finanstilsynet har for første gang siden registreringen startet i 2010 observert en nedgang i tap knyttet til kortsvindel. Antall misbrukte kort gikk ned med 5 prosent, mens samlede tap var 30 prosent lavere i 2017 enn i 2016. Videre viser tallene at det var en nedgang i svindler mot nettbank sammenliknet med 2016.
- Det antas at nedgangen er et resultat av strengere sikkerhetskrav fra blant annet kortutstedere, hvor sterk autentisering av kortholder ved bruk av betalingskort har vært viktig for å begrense misbruk, sier Johannessen.
Det var også en nedgang i svindler mot nettbank sammenliknet med 2016. Kontinuerlige endringer i trusselbildet for digitale angrep er imidlertid en risiko som i økende grad utfordrer bankene i arbeidet med å etablere risikoreduserende tiltak.
- Finanstilsynet ser behov for at bankene forbedrer sitt arbeid på IKT-sikkerhetsområdet. Dette gjelder blant annet organisering av arbeidet, gjennomføring av risikoanalyser både for egen infrastruktur og for utkontraktert IKT-infrastruktur, ajourføring av sikkerhetsrammeverket og proaktive tiltak for å styrke foretakets forsvarsverk, sier Johannessen.
Sårbarheter
Finanstilsynet vurderer risiko knyttet til sårbarheter i foretakets driftsløsninger, tilgangsstyring, endringsstyring og forsvarsverk mot digital kriminalitet som de mest sentrale truslene.
- Foretakene bør styrke arbeidet innen IKT-sikkerhetsområdet og arbeidet med å etablere og vedlikeholde tilstrekkelige robuste løsninger. Leverandørstyringen er utfordrende for foretakene, og det er behov for å bedre samhandlingen mellom foretakene og leverandørene. Styring og kontroll med utvidete tilgangsrettigheter må forbedres, sier Johannessen.
Svakheter ved katastrofe- og beredskapsløsninger og tilgang på kompetanse er også sentrale risikoer.
ROS-rapporten
Fagkontakt
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.