Gå til hovedinnhold Gå til søkesiden
Finanstilsynet
Søk i nettstedet
Forside >
Nyhetsarkiv >
Risiko- og sårbarhetsanalyse (ROS) 2023

Risiko- og sårbarhetsanalyse (ROS) 2023

Nyheter

Publisert: 9. mai 2023

Tilgjengeligheten til betalingstjenester og øvrige kunderettede tjenester var i 2022 bedre enn tidligere år. Det var færre angrep på den finansielle infrastrukturen enn i 2021. Tap ved svindel med betalingstjenester økte, mens tapene målt som andel av samlet transaksjonsbeløp var relativt konstant. Samtidig er det digitale trusselbildet i stadig endring. Gjennom tilsynsvirksomheten ble det identifisert svakheter og sårbarheter knyttet til foretakenes IKT-virksomhet.

Denne siden inneholder:

  • Robust finansiell infrastruktur 
  • Endret trusselbilde 
  • Svindel og svindelstatistikk 
  • Mangler og sårbarheter knyttet til foretakenes IKT-virksomhet
  • ROS-rapporten
  • Presentasjon
  • Pressekontakt

Robust finansiell infrastruktur 

Det var i 2022 ingen IKT-hendelser med konsekvenser for finansiell stabilitet. Foretakenes driftsstabilitet var tilfredsstillende, tilgjengeligheten til betalingstjenester og øvrige kunderettede tjenester var bedre enn tidligere år, og det var i hovedsak god regularitet på avregnings- og oppgjørssystemene. Samlet sett anser Finanstilsynet den norske finansielle infrastrukturen som robust.

Endret trusselbilde 

Det digitale trusselbildet er i endring, blant annet som følge av krigen i Ukraina, generell geopolitisk uro og organisert cyberkriminalitet. Det var færre angrep på den finansielle infrastrukturen i 2022 enn i 2021, men omfanget av digital kriminalitet med konsekvens for finanssektoren synes fortsatt å øke.

Endringen i det digitale trusselbildet har bidratt til økt oppmerksomhet om faren for systemiske cyberhendelser og viktigheten av digital robusthet og motstandsdyktighet innen finanssektoren.

Selv om digital kriminalitet rettet mot foretak i den norske finanssektoren ikke har ført til systemkriser eller alvorlige hendelser, er det avdekket alvorlige sårbarheter som kunne medført store konsekvenser dersom de hadde blitt utnyttet. I tillegg var det sikkerhetshendelser hos leverandører som fikk konsekvenser for berørte foretak.

– For å opprettholde en robust finansiell infrastruktur mener Finanstilsynet at foretakene fortsatt bør styrke arbeidet på IKT-området ved å redusere sannsynligheten for operasjonelle hendelser, øke motstandsdyktigheten mot digital kriminalitet og bedre IKT-sikkerheten generelt. Arbeidet må tilpasses utviklingen i det digitale trusselbildet, sier seksjonssjef i seksjon for IT og betalingstjenester, Olav Johannessen.

Svindel og svindelstatistikk 

Samlet økte tapene med 106 mill. kroner fra 2021 til 2022, til 614 mill. kroner. Økningen skyldes særlig økt phishing-aktivitet, der kriminelle forsøkte å få tilgang til brukernes innloggingsdetaljer.

– Selv om svindel med betalingstjenester øker, bidrar bankenes arbeid med løpende forebygging og avdekking av svindel til å begrense tapene, sier Olav Johannessen.

Til tross for en liten økning i antall svindeltransaksjoner økte tapene på kortsvindel med 35 prosent, til 219 mill. kroner i 2022. Oppgangen i prosent av samlet transaksjonsbeløp var noe lavere. For kontooverføringer, hovedsakelig gjennom nettbank, økte tapene ved svindel med 14 prosent, til 395 mill. kroner i 2022. Tapene i prosent av samlet transaksjonsbeløp er relativt konstant og med en liten nedgang fra 2021 til 2022.

Tap som følge av svindel ved sosial manipulering, dvs. der betaler er lurt til å iverksette svindeltransaksjonen, utgjorde 290 mill. kroner i 2022, mot 240 mill. kroner i 2021. En andel av svindeltransaksjonene der svindleren iverksetter transaksjonen basert på stjålet informasjon, anses også å skje som en konsekvens av sosial manipulering. I tillegg er det trolig mørketall, noe som gjør at det er vanskelig å anslå det samlede omfanget av tap knyttet til sosial manipulering.

Svindel gjennom sosial manipulering ser fortsatt ut til å være den mest lønnsomme metoden for kriminelle.

At BankID benyttes i stort omfang til både private og offentlige tjenester utenom finanssektoren, og med variasjoner i innloggingskonteksten, medfører fare for at brukerne ikke er tilstrekkelig årvåkne mot falske innlogginger slik at de blant annet kan bli fralurt sikkerhetsinformasjon. Det store omfanget av bruksområder gir kriminelle mulighet til å bruke et bredt spekter av moduser i svindelvirksomheten.

Mangler og sårbarheter knyttet til foretakenes IKT-virksomhet

Gjennom tilsynsvirksomheten ble det i 2022 avdekket svakheter og sårbarheter i foretakenes arbeid med IKT som utgjør en risiko. Det ble blant annet avdekket svakheter i ulike foretaks arbeid med krisehåndterings- og beredskapsplaner og manglende involvering i leverandørers test av krisehåndteringsløsninger. Videre ble det funnet mangler i etterlevelsen av gjeldende regelverk ved utkontraktering av IKT-virksomhet, som at avtaler ikke er behandlet av foretakets styre, og   mangelfull oppfølging av at leverandører etterlever foretakets sikkerhetskrav. 

– Sårbarheter i foretakenes forsvarsverk mot digital kriminalitet anses som den mest sentrale IKT-risikoen. Det skyldes både høy sannsynlighet for angrep og alvorlig konsekvens om angrep lykkes, sier Johannessen.

ROS-rapporten

  • Risiko- og sårbarhetsanalyse (ROS) 2023

Presentasjon

  • Nett-tv
  • Presentasjon av ROS-rapporten (pdf)

Pressekontakt

Telefon: 40 90 03 50

E-post: pressevakt@finanstilsynet.no

  • Pressekontakter
Til toppen av siden expand_less

Fant du det du lette etter?

Del denne siden:

  • Facebook
  • LinkedIn
Abonner på nyhetsvarsel
  • Om Finanstilsynet
  • Presse
  • Jobb hos oss
  • Kontakt
  • eFormidling
  • Personvern og tilgjengelighetserklæring
  • RSS og API
  • Varsling til Finanstilsynet

Besøksadresse: 
Revierstredet 3, 0151 Oslo
Postadresse: 
Postboks 1187 Sentrum
0107 Oslo
Tlf: 22 93 98 00
E-post: post@finanstilsynet.no
Org.nr.: 840 747 972
Abonner på nyhetsvarsel

Til toppen av siden expand_less