Risiko- og sårbarhetsanalyse (ROS) 2024
Nyheter
Publisert: 7. mai 2024
I 2023 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet i Norge. Foretakenes IKT-tjenester fremstår som godt beskyttet mot angrep, men det er avdekket svakheter og sårbarheter. Den finansielle infrastrukturen er robust, men det digitale trusselbildet er i stadig endring, og trusselnivået er høyt. Tap som følge av svindel fortsetter å øke.
Robust finansiell infrastruktur
I 2023 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet, men enkelte hendelser fikk stor oppmerksomhet. Finanstilsynet anser at tilgjengeligheten til betalingstjenester og andre kunderettede tjenester samlet sett var tilfredsstillende i 2023 og om lag på samme nivå som i 2021 og 2022.
Trusselnivået er høyt
Det digitale trusselbildet er i stadig endring, og risikoen for uønskede hendelser er fortsatt høy, men på et stabilt nivå. Økt digitalisering i samfunnet og teknologisk utvikling utvider handlingsrommet for kriminelle aktører. Lange og uoversiktlige leverandørkjeder utgjør en sårbarhet som trusselaktører utnytter. Samhandlingen mellom kriminelle miljøer er økende, og den geopolitiske uroen forsterker dette bildet.
Alvorlig svikt i IKT-systemer kan ha store konsekvenser for finansiell infrastruktur. I verste fall kan finansiell stabilitet trues, særlig dersom kritiske funksjoner for samfunnssikkerheten rammes, enten svikten forårsakes av vinningskriminalitet, målrettede angrep eller operasjonelle avvik. Tette koblinger i det finansielle systemet øker faren for at enkelthendelser rammer andre aktører og tjenester.
Selv om foretakene så langt har vært godt beskyttet og i hovedsak motstått angrepene, er det avdekket svakheter og sårbarheter som kunne medført store konsekvenser dersom de hadde blitt utnyttet.
– I årets rapport fremhever Finanstilsynet viktigheten av at foretakene har gode trusselvurderinger, konsekvensanalyser og beredskapsplaner for sine systemer. Foretakene bør sikre at det gjennomføres sikkerhetstesting av foretakets systemer og at det er etablert tilstrekkelige tiltak for å kunne håndtere et angrep, herunder angrep mot leverandører, sier seksjonssjef i seksjon for IT og betalingstjenester, Olav Johannessen.
Tap ved svindel fortsetter å øke
I 2023 var det en betydelig økning i samlede tap sammenlignet med tidligere år. Økningen i tap fra 2022 til 2023 var på 314 mill. kroner, som utgjør om lag 51 prosent. Økningen var størst for svindel ved kontooverføringer, med 64 prosent. For svindel med bruk av betalingskort var økningen på om lag 28 prosent. Målt som andel av samlet transaksjonsverdi utgjør samlede tap 0,0014 prosent, som er på nivå med året før.
Svindel gjennom sosial manipulering ser fortsatt ut til å være den mest lønnsomme metoden for kriminelle, og ny teknologi som kunstig intelligens og "deepfake" tas i bruk i økende grad. Så langt er bruken knyttet til å gjøre svindelmetoder mer troverdige gjennom forbedret språk, mer overbevisende innhold og stemmeforfalskning. Det er rimelig å anta at bruken av slike verktøy ved svindel vil øke.
Aktørene i markedet jobber aktivt med tiltak for å avdekke og avverge svindel. Bankene stopper en betydelig andel av svindelforsøkene, og samlet ble det forhindret tap på 2 072 mill. kroner for kontooverføringer (768 mill. kroner) og kortbetalinger (1 303 mill. kroner) i 2023.
– Et høyere antall svindelforsøk og økte tap gir samfunnsmessige konsekvenser og er belastende for kundene som blir utsatt for svindelen. Bankenes løpende arbeid for å begrense tapene er derfor viktig, sier Olav Johannessen.
Svindel og svindelstatistikk for 2023 er nærmere omtalt her:
Mangler og sårbarheter knyttet til foretakenes IKT-virksomhet
Finanstilsynet har gjennom tilsynsvirksomheten i 2023 avdekket svakheter og sårbarheter i foretakenes arbeid med IKT. Det er blant annet påpekt svakheter i den overordnede styringen og kontrollen med IKT-virksomheten. Risikoen knyttet til den utstrakte bruken av IKT-tjenesteleverandører og mangler i oppfølgingen av disse utgjør en betydelig del av foretakenes IKT-risiko.
– Også i år anses sårbarheter knyttet til foretaks forsvarsverk mot digital kriminalitet som den mest sentrale risikoen, der den samlede risikoen anses å være høy. Sårbarheter knyttet til leverandørstyring, styringsmodell og internkontroll samt tilgangsstyring er også sentrale risikoer, der den samlede risikoen anses som middels til høy.