Risiko- og sårbarhetsanalyse 2020: Robust finansiell infrastruktur

Under koronakrisen har Finanstilsynet og Beredskapsutvalget for finansiell infrastruktur (BFI) rettet særlig oppmerksomhet mot virksomheter som støtter viktige funksjoner, herunder de kritiske samfunnsfunksjonene definert av Direktoratet for samfunnssikkerhet og beredskap.

- De sentrale foretakene i den norske finansielle infrastrukturen har gode beredskapsplaner. Aktørene har så langt hatt god kontroll på driftssituasjonen og har raskt iverksatt nødvendige tiltak, sier seksjonssjef Olav Johannessen.

Koronasituasjonen har ført til utfordringer for foretakene i den finansielle infrastrukturen i forbindelse med drift, smittehåndtering, bemanning og sikkerhet. Så langt har foretakene håndtert situasjonen godt.

Robust infrastruktur

Den norske finansielle infrastrukturen er robust. Det var ingen IKT-hendelser med konsekvenser for finansiell stabilitet i 2019. Det var færre rapporterte IKT-hendelser som påvirket tilgjengeligheten til betalingstjenestene og de øvrige kunderettede tjenestene, enn i 2018. Selv om hendelsene medførte negative konsekvenser for berørte kunder, vurderes tilgjengeligheten til tjenestene samlet sett som tilfredsstillende, og bedre i 2019 enn i 2018.

I 2019 var det i hovedsak god regularitet på avregnings- og oppgjørssystemene og ingen kritiske hendelser. Det var også god regularitet på kommunikasjonen mot det internasjonale betalingssystemet Swift og det internasjonale oppgjørssystemet CLS.

En digital hendelse kan komme brått, medføre sammenbrudd og få vidtrekkende samfunnsmessige konsekvenser.

- Foretakenes arbeid for å redusere sannsynligheten for avvik og generelt forbedre IKT-sikkerheten er viktig for å sikre stabile og robuste driftsløsninger. Arbeid med kontinuitetsløsninger, kriseløsninger og beredskap, gjenopprettingsplaner og IKT-sikkerhetsarbeid er viktig, sier Johannessen.

Tilsyn

Finanstilsynet har gjennom tilsyn observert sårbarheter som kan utgjøre risiko for alvorlige hendelser i finanssektoren. Finanstilsynet har blant annet påpekt forhold som bankers og betalingsforetaks utilstrekkelige oppfølging av leverandører, spesielt leverandørers etterlevelse av foretakets sikkerhetskrav, og at risikoanalyser av IKT-virksomheten ikke avdekker den reelle risikoen. Det er også avdekket svakheter innen bankers kontinuitets- og kriseledelse. For både banker og verdipapirforetak er det påpekt mangelfulle rutiner for informasjonsklassifisering og -beskyttelse ved utveksling og håndtering av informasjon, samt mangler i rutiner for sikkerhetstesting.

- Finanstilsynet vurderer risiko knyttet til sårbarheter i IKT-drift, skjerming av konfidensiell informasjon og forsvarsverk mot digital kriminalitet som de mest sentrale truslene, sier Johannessen.

Digital kriminalitet

Omfanget av digital kriminalitet øker år for år, men har så langt ikke ført til større hendelser hos foretak i den norske finanssektoren. Finanstilsynets erfaring er at foretakene i økende grad er oppmerksomme på at angrepsform og -metodikk er i kontinuerlig endring.

- Finanstilsynet understreker at styret og ledelsen i alle foretak bør rette særlig oppmerksomhet mot endringer i trusselbildet, og foretakene må fortsette sitt arbeid med å kartlegge risiko- og sårbarheter, iverksette preventive tiltak og ha beredskap for å håndtere angrep og følgeskader, sier Johannessen.

Tap ved svindel

Samlet var tapene på kortsvindel ca. 190 millioner kroner i 2019. Det er en økning på 28 prosent fra 2018. Svindel gjennom sosial manipulering økte ytterligere i 2019 og indikerer tap på over 500 millioner kroner, mot i underkant av 300 millioner kroner i 2018.

- For tap ved kortsvindel er det særlig misbruk av kortinformasjon ved internetthandel som har økt. Tap ved sosial manipulering synes å være en lukrativ metode for kriminelle, sier Johannessen.

Geopolitisk risiko

Finanstilsynet har tidligere pekt på avhengighet av eksterne leverandører som en sårbarhet dersom alvorlige kriser eller katastrofer rammer globale aktører som leverer kritiske IKT-tjenester til finansnæringen. Dette gjelder spesielt der operativt personell fra utlandet er avskåret fra å utføre sine oppgaver.

Finanstilsynet konstaterer gjennom hendelsesrapporteringen at foretakene i samarbeid med sine leverandører i stor grad klarer å løse til dels alvorlige avbrudd i tjenestene. Koronakrisen har også vist at foretakene har klart å opprettholde stabil drift. Det er imidlertid knyttet usikkerhet til i hvilken grad foretakene ville evnet å gjenopprette driften ved IKT-hendelser eller cyberangrep som medfører alvorlige avbrudd.

- Foretakene må ta høyde for at tilsvarende og mer alvorlige kriser kan inntreffe i fremtiden, og at næringen i slike situasjoner må være i stand til å opprettholde sikker og stabil drift av den finansielle infrastrukturen, sier Johannessen.