Risiko- og sårbarhetsanalyse 2022

– Sårbarheter knyttet til foretakenes forsvarsverk mot digital kriminalitet er den mest sentrale risikoen knyttet til foretakenes bruk av IKT, sier seksjonssjef i seksjon for IT og betalingstjenester Olav Johannessen.

I 2021 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet. Antall sikkerhetshendelser var omtrent som i 2020 og lavere enn i 2019, mens det var vesentlig flere operasjonelle hendelser. Samlet økte antall rapporterte IKT-hendelser med over 40 prosent, til 292. Ut fra hendelsenes varighet, tidspunkt på døgnet og antall berørte brukere anser Finanstilsynet at tilgjengeligheten til betalingstjenester og andre kunderettede tjenester i 2021 samlet sett var bedre enn i de foregående årene.

Beredskapen i det elektroniske betalingssystemet ble i 2021 styrket ved at kapasiteten i reserveløsningen i betalingsterminaler ved bruk av betalingskort med BankAxept er vesentlig økt.

Trusselbildet er i endring

Også for finansiell sektor er trusselbildet i endring. Det er vanskelig å trekke grensen mellom trusler fra henholdsvis organiserte kriminelle og fremmed etterretning, og en rekke kriminelle miljøer selger tjenester til statlige aktører. Organisering av angrep har utviklet seg, med økt spesialisering og samarbeid mellom ulike grupperinger.

Trusselen fra digital kriminalitet har økt, og angrepsflatene har blitt flere, blant annet gjennom ulike digitale verdikjeder og bruk av leverandører. Samtidig fortsetter foretakene arbeidet med å videreutvikle sine systemer for overvåking av unormal aktivitet, automatisk håndtering av oppdagede hendelser og avverging av angrep. Angrep avverges som oftest før de får konsekvenser for foretaket og foretakets kunder.

– For å sikre robustheten i den finansielle infrastrukturen mener Finanstilsynet at foretakene fortsatt bør styrke arbeidet på IKT-området, med vekt på utviklingen i det digitale trusselbildet, både for å redusere sannsynligheten for avvik og for å bedre IKT-sikkerheten, sier Johannessen.

God oversikt over virksomhetskritisk utstyr, programvare, forretningsfunksjoner, prosesser og informasjon, samt tilstrekkelig innsikt i sikkerhetsarkitektur i egne og leverandørers IKT-tjenester, er viktig for å ha kontroll med IKT- og sikkerhetsrisiko.

Finansnæringens samhandling gjennom Nordic Financial CERT bidrar til å heve kunnskapen om det aktuelle trussel- og risikobildet og til å gjøre foretakene bedre rustet til å håndtere digitale trusler og forebygge uønskede hendelser.

Svindel og svindelstatistikk

I 2021 var det 147 000 svindeltransaksjoner med kort, mot 205 000 i 2020. Til tross for nedgangen i antall svindeltransaksjoner økte tapene på kortsvindel med 9,9 prosent, til 162 millioner kroner i 2021.

For kontooverføringer, hovedsakelig i nettbank, utgjorde tapene 346 millioner kroner i 2021, som er 2,5 prosent færre enn året før. Tapene er knyttet både til transaksjoner der svindleren utsteder eller modifiserer betalingen, og til transaksjoner der svindleren manipulerer betaleren til selv å gjennomføre betalingen.

Svindel ved sosial manipulering, dvs. der betaler er lurt til å iverksette svindeltransaksjonen, var på 240,6 millioner kroner i 2021. Av dette var 224 millioner kroner knyttet til kontooverføringer og 16,6 millioner kroner til betalingskort.

– Selv om antall svindelforsøk stadig øker, var svindlet beløp i 2021 lavere enn i 2020, da svindel ved sosial manipulering samlet utgjorde 295 millioner kroner. En viktig årsak til nedgangen er trolig at bankene forhindrer en stadig større andel av svindelforsøkene. Svindel gjennom sosial manipulering ser fortsatt ut til å være den mest lønnsomme metoden for kriminelle, sier Johannessen.

Misbruk knyttet til ID-kjennetegn er et risikoområde. At BankID benyttes i stort omfang til både private og offentlige tjenester, og med variasjoner i innloggingskonteksten, medfører en fare for at brukerne ikke er tilstrekkelig årvåkne og kan bli fralurt informasjon.