Risiko- og sårbarhetsanalysen (ROS) 2016

Nyheter

Publisert: 26. april 2017
Sist endret: 13. juli 2017

Den finansielle infrastrukturen i Norge er robust. Stabiliteten i 2016 var god, selv om det inntraff enkelte hendelser som medførte utilgjengelige betalingsløsninger i kortere perioder. Mot slutten av 2016 og inn i 2017 var det imidlertid en negativ utvikling i driftsstabiliteten. Digital kriminalitet og informasjon på avveie er de største truslene mot foretakenes systemer. Tap knyttet til betalingstjenester øker.

Betalingssystemene

- Finanstilsynet vurderer betalingssystemene generelt som solide og stabile i 2016. Det er likevel rom for forbedringer. I flere foretak er det blant annet observert mangler ved kapasitetsovervåking, kapasitetsstyring og kriseløsninger. Styring av operasjonell risiko bør også bli bedre, sier seksjonssjef Olav Johannessen.

I takt med utviklingen av nye betalingsløsninger, øker også sårbarheten og konsekvensene ved mangler i driftsløsningene, manglende kvalitet på testing ved endringer og mangelfull kapasitetsovervåking og -styring. Det gjelder både for nye løsninger og ved videreutvikling av eksisterende betalingsløsninger.

Endringene på betalingstjenesteområdet drives ved at nye aktører kommer til, at eksisterende aktører tilbyr nye tjenester gjennom allerede eksisterende kanaler, og ved at nye samarbeidskonstellasjoner oppstår mellom banker og mellom banker og andre aktører.

Bankene hadde også i 2016 store endringsprosesser på IKT-området, men endringene ble gjennomført uten vesentlige konsekvenser for driftsstabiliteten.

- Høy endringstakt utgjør en betydelig risiko. Det er derfor viktig at foretakene gjør grundige risikovurderinger knyttet til betalingstjenestene, både når det gjelder operasjonell risiko knyttet til drift og vedlikehold av tjenestene og sikkerhetsmessig risiko knyttet til blant annet uautorisert bruk av tjenestene, sier Olav Johannessen.

Sårbarheter i foretakenes systemer

Digital kriminalitet, urettmessig tilgang til systemer og data og datalekkasje vurderes som de største truslene mot og sårbarhetene i foretakenes systemer.

Sektorenes økende utkontraktering av IKT-systemer med sensitiv informasjon kombinert med at informasjonen konsentreres hos få driftsselskaper, skaper utfordringer når det gjelder å beskytte sensitiv informasjon. Et økende trusselbilde krever bedre beskyttelse av sensitiv informasjon.

- Tilsyn i 2016 viser at det er betydelige mangler når det gjelder kontroll med tilgang til systemer og data, og risikoen har tiltatt siden 2015. Digital kriminalitet øker i omfang og kompleksitet og gjør at risikoen er høyere enn i 2015, sier Olav Johannessen.

Digital kriminalitet

Ifølge hendelsesrapportene Finanstilsynet mottok i 2016, var antall ondsinnede angrep mot betalingstjenestene noe lavere enn i 2015.

Totalt var det 9,5 prosent økning i tap på kortbetalinger i 2016, mens antall misbrukte kort økte med over 50 prosent. Totalt ble over 68 000 kort rammet av misbruk, og samlede tap beløp seg til 206,5 mill. kroner. For svindel av typen "Card Not Present" var økningen i tap 39 prosent.

Tapstall knyttet til bruk av nettbank økte med 48 prosent 2016, men er likevel av begrenset omfang. Samlet tap utgjorde 18,6 mill. kroner.

Finanstilsynet er ikke kjent med svindel mot mobilbetalinger, til tross for at trusselnivået er økende.

- Risikoen for digitale angrep er tiltakende, og arbeidet med IKT-sikkerheten bør intensiveres ytterligere, sier seksjonssjef Olav Johannessen.