Betalingstjenestene og -systemene generelt er stabile og sikre, men kortsvindel med stjålet kortinformasjon øker

I 2014 ble det rapportert om enkelte alvorlige hendelser i norske finansforetak som gjaldt beskyttelse av data mot uautoriserte endringer og innsyn. Noen hendelser viste at enkelte foretak har forbedringspotensial i sine kontinuitets- og katastrofeløsninger. Hendelsene skjedde oftest i forbindelse med endringer i systemer og omgivelser.

Økt kortsvindel med stjålet kortinformasjon

Samlet tap i betalingssystemene økte med 16 prosent i 2014. Kortsvindel med stjålet kortinformasjon økte mest. Antall betalingskort rammet av misbruk økte med 71 prosent.

-  I 2014 økte svindel av typen "kort ikke til stede" med 39 prosent. Tapene har nær tredoblet seg i løpet av tre år og utgjorde i 2014 mer enn 40 prosent av de samlede tapene innen betalingsformidlingen, sier seksjonssjef Olav Johannessen.

Svindelen skjer hovedsakelig i utlandet. Tapene er likevel små i forhold til det totale transaksjonsvolumet og i internasjonal sammenheng.

Det har vært en betydelig økning i tap som skyldes at kundens innloggingsmekanisme er blitt stjålet og misbrukt.

- Det har lyktes svindlere å utgi seg for å være en annen kunde og få utlevert kundens kodebrikke og misbruke denne. Tapene er samlet sett begrenset, men kan gi store negative konsekvenser for den enkelte kunde, sier Johannessen.

Betalingstjenestene blir fortsatt angrepet, men de direkte tapene er fortsatt små, noe som ikke minst skyldes tiltak som enkeltforetak og finanssektoren har iverksatt.

- Det viktige arbeidet med forebyggende tiltak må fortsette, sier Johannessen.

Utviklingen i digital kriminalitet gjør forbrukerne mer sårbare

Rask teknologiutvikling og sterk konkurranse om nye betalingsløsninger fører til store endringer i betalingstjenestemarkedet. Det er en fare for at sikkerhetsløsninger ikke vektlegges tilstrekkelig i konkurransen om markedsandeler.

- Det er krevende for forbrukere å forholde seg til trusler og sårbarheter i finansielle tjenester. Finansnæringen har et stort ansvar for å bygge inn tilstrekkelig sikkerhet i løsningene og formidle kunnskap om hvordan forbrukerne skal beskytte seg mot digital kriminalitet, sier Johannessen.

Finanstilsynets erfaring er at foretakene har god beredskap, at de har etablert et godt forsvarsverk og at de iverksetter effektive tiltak som reduserer både skadeomfang og kunders tapsomfang.

Økt fare for inntrenging i IKT-infrastruktur og applikasjoner gjennom målrettede angrep

De alvorligste truslene for norske finansforetak er at inntrengere får tilgang til IKT-infrastruktur og applikasjoner gjennom målrettede angrep.

Andre trusselområder som representerer betydelig risiko, er økningen i IKT- og cyberkriminalitet, sikkerhetshull i programvare som kan utnyttes av kriminelle, den sterke avhengigheten av Internett, ansattes bruk av sosiale medier og informasjon som kommer på avveie.

Kompleksitet i IKT-løsninger utgjør også en høy risiko når det gjelder datakvalitet og stabil drift.

Omfattende endringer i finanssektorens IKT-virksomhet

Det har skjedd store endringer i eierforhold hos viktige tjenesteleverandører til finanssektoren som Nets og Evry og i foretakenes valg av leverandører ved blant annet flytting av IKT-drift til danske SDC.

- Endringene kan gi forbedringer, men de kan også skape nye sårbarheter. Generelt fører endringer til at samhandlingskonstellasjoner endres, som kan øke den operasjonelle risikoen. Det er viktig at finansnæringen har kontroll på endringene, ettersom disse samlet kan utgjøre en betydelig risiko for norsk finansiell infrastruktur, sier Johannessen.