Risiko- og sårbarhetsanalyse 2021

– Det digitale trusselbilde endres stadig. Foretakene bør fortsatt styrke arbeidet på IKT-området, både for å redusere sannsynligheten for avvik og for å bedre IKT-sikkerheten, sier seksjonssjef i seksjon for IT og betalingstjenester Olav Johannessen.

Det var samlet sett noen flere IKT-hendelser i 2020 enn i 2019. Det var flere sikkerhetshendelser, men færre operasjonelle hendelser. Ut fra hendelsenes varighet, tidspunkt og antall berørte brukere, har Finanstilsynet vurdert tilgjengeligheten til betalingstjenester og andre kunderettede tjenester samlet sett som tilfredsstillende, men noe dårligere enn i 2019.

Under koronapandemien har Finanstilsynet og Beredskapsutvalget for finansiell infrastruktur (BFI) rettet særlig oppmerksomhet mot virksomheter som støtter viktige funksjoner, herunder kritiske samfunnsfunksjoner definert av Direktoratet for samfunnssikkerhet og beredskap.

– De sentrale foretakene i den norske finansielle infrastrukturen har gjennomgående gode beredskapsplaner. Aktørene har hatt god kontroll på driftssituasjonen og har raskt iverksatt nødvendige tiltak, sier Olav Johannessen.

Digital kriminalitet

Omfanget av digital kriminalitet øker fortsatt, men har så langt ikke ført til større hendelser i foretak i den norske finanssektoren. Hendelser i 2020 avdekket imidlertid sårbarheter i enkelte foretak. Foretakene arbeider kontinuerlig med å styrke forsvarsverket, og angrep avverges hovedsakelig før de får alvorlige konsekvenser.

– Foretakene må videreføre arbeidet med å kartlegge risiko- og sårbarheter, iverksette preventive tiltak og forberede seg på å måtte håndtere angrep og følgeskadene av slike angrep. Det er viktig at foretakene sikrer konfidensiell informasjon og bevisstgjør egne ansatte om det digitale trusselbildet, sier Olav Johannessen.

Forsvarets etterretningstjeneste (E-tjenesten) og Politiets sikkerhetstjeneste (PST) peker på en betydelig trussel fra statlige aktører mot norske interesser, herunder finanssektoren.

– Det er viktig at foretakene kartlegger hvilke verdier som kan være utsatt for trusler fra statlige aktører. Foretakene har ulik modenhet i vurderingene av risikoen ved manglende beskyttelse av data, sier seksjonssjef Olav Johannessen.

En digital hendelse kan komme brått, medføre sammenbrudd i den finansielle infrastrukturen og forårsake vidtrekkende samfunnsmessige konsekvenser. Foretakenes arbeid for å redusere sannsynligheten for avvik og for generelt å forbedre IKT-sikkerheten er viktig for fortsatt stabile driftsløsninger. Dette omfatter kontinuitetsløsninger, kriseløsninger og -beredskap, gjenopprettingsplaner og IKT-sikkerhetsarbeid.

Svindel og svindelstatistikk

Samlede tap ved bruk av betalingstjenester viste en nedgang fra 2019. Tapene ved misbruk av betalingskort var på 147,5 mill. kroner. Dette er en nedgang fra 2019 på 22 prosent. Rapporterte tall på svindel ved sosial manipulering, dvs. der svindleren manipulerer betaleren til å gjennomføre en transaksjon, utgjorde i 2020 ca. 295 mill. kroner, hvorav 285 mill. kroner gjaldt transaksjoner i nettbank og 10 mill. kroner gjaldt betalingskort. Dette er på nivå med 2018, hvor rapporterte tap var i underkant av 300 mill. kroner, men vesentlig lavere enn rapporterte tall i 2019, som indikerte tap på over 500 mill. kroner.

– Svindel gjennom sosial manipulering ser fortsatt ut til å være den mest utbredte metoden. Hvilken type sosial manipulering de kriminelle benytter, endrer seg. Omfanget av svindel ved sosial manipulering er usikkert, fordi betaleren selv bærer tapet og mange svindler av denne typen trolig ikke blir meldt til banken, sier Olav Johannessen.

Risiko som følge av nye ledd i betalingskjeden

Å sikre ende-til-ende-sikkerhet for en transaksjon (sesjonssikkerhet) er utfordrende. Introduksjon av tredjeparter i en betalingskjede, der brukeren rutes fra tredjeparten til banken for autentisering, gir prinsipielt ikke ny risiko. Bankene har lang erfaring med å autentisere brukere og brukersteder, også når brukeren ikke er i nettbanken. Imidlertid vil bankenes mulighet for ende-til-ende sikring kunne bli svekket.

– Informasjonen (metadata) en bank får fra tredjeparten om brukeren, kan være mangelfull eller vanskelig å tolke, og dette kan svekke sikkerheten. Det er en frykt for at kriminelle kan gå via tredjeparter, som kan ha svakere kontrollmiljø og lavere sikkerhet i sin portal, for å omgå bankenes sikkerhetsmekanismer, sier Johannessen.