Risiko- og sårbarhetsanalysen (ROS) 2018
Nyheter
Publisert: 9. mai 2019
Den norske finansielle infrastrukturen er robust. Det var ingen IKT-hendelser med konsekvenser for finansiell stabilitet i 2018. Omfanget av kortsvindel avtok ytterligere i 2018, målt både i kroner og i antall misbrukte kort. Tapene som følge av svindel mot nettbank er lave. Samtidig identifiserte Finanstilsynet også i 2018 sårbarheter som utgjør risiko for at alvorlige hendelser kan inntreffe.
Sårbarhet
Kompleksiteten i den tekniske infrastrukturen øker som følge av flere aktører, ny teknologi og bruk av teknologi på nye områder. En høy endringstakt og kompliserte verdikjeder, med et stadig økende antall aktører, utfordrer foretakene i deres arbeid med å opprettholde god styring og kontroll, og opprettholde tilstrekkelig sikkerhet. Det gir økt risiko for hendelser.
- Foretakene bør fortsatt styrke arbeidet med IKT-sikkerhet, samt etablere tiltak for å redusere risikoen for alvorlige avvik. Sårbarheter knyttet til foretakenes operative drift, digital kriminalitet, skjerming av konfidensiell informasjon og tilgangsstyring anses som de mest sentrale truslene knyttet til foretakenes bruk av IKT, sier seksjonssjef Olav Johannessen.
Betalingssystemene
Finanstilsynet observerte få alvorlige hendelser i betalingssystemene i 2018, både i omfang og i varighet.
- Betalingssystemer og kunderettede løsninger var mer tilgjengelige for kundene i 2018 enn i 2017. Alvorlighetsgraden på hendelsene var også lavere, målt ved antall kunder som ble rammet og hvor lenge avbruddene varte, sier Olav Johannessen.
IKT-hendelser hos foretakene blir fulgt opp, og det legges vekt på at årsaker avdekkes og tiltak iverksettes for å hindre gjentakelser. Alvorlige avvik følges opp løpende.
Utviklingstrekk
Betalingsområdet var også i 2018 preget av store endringer. For å styrke konkurranseevnen overfor internasjonale aktører fusjonerte Vipps AS, BankAxept AS og BankID AS i 2018. Bankene har forberedt seg på nye regler som følge av det reviderte betalingstjenestedirektivet (PSD 2), som trådte i kraft i Norge 1. april 2019. Flere banker etablerte avtaler med globale foretak om betalingsløsninger. Endringene må ses i lys av økt konkurranse som følge av ny teknologi, regulatoriske endringer og kunders forventninger.
- Det er viktig at foretakene gjennomfører grundige analyser i tidlig fase av endringsprosesser og utviklingsprosjekter for å avdekke ulike risikoer, sier Johannessen.
Digital kriminalitet
Omfanget av kortsvindel avtok ytterligere i 2018. Antall misbrukte kort gikk ned med om lag 46 prosent sammenlignet med 2017, mens tapene målt i kroner gikk ned med 36 prosent. Siden 2016 er tapene redusert med 55 prosent. Tapene som følge av svindel mot nettbank er fortsatt lave, selv om de økte noe i 2018.
- Iverksatte tiltak, som blant annet bankenes overvåking for å hindre at kort blir misbrukt og strengere sikkerhetskrav fra blant annet kortutstedere, synes å ha betydelig effekt, sier Olav Johannessen.
Finansnæringen i Norge har vært forskånet for alvorlige cyber-hendelser. Samtidig opplever foretakene at den digitale kriminaliteten øker i form av flere angrep enn tidligere, og forsøk på målrettede angrep skjer kontinuerlig. Finanstilsynet konstaterer at det til nå ikke har vært sikkerhetshendelser innen finansnæringen som kan kategoriseres som alvorlige.
- Foretakenes systemer for overvåking blir stadig bedre, og angrepene avverges som oftest før konsekvenser oppstår. Dette skyldes i hovedsak at finansnæringen generelt har en høy modenhet i sitt sikkerhetsarbeid, sier Johannessen.
Det er likevel usikkert hvordan foretak vil takle og håndtere en alvorlig situasjon der angripere har etablert fotfeste på innsiden av IT-systemene og iverksatt sine handlinger. Finanstilsynet mener generelt at foretakene ikke er tilstrekkelig forberedt på slike situasjoner, og at de derfor kan ha utfordringer med å håndtere slike alvorlige cyber-hendelser.
ROS-rapporten
Fagkontakt
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.