Risiko- og sårbarhetsanalyse (ROS) 2023

Robust finansiell infrastruktur 

Det var i 2022 ingen IKT-hendelser med konsekvenser for finansiell stabilitet. Foretakenes driftsstabilitet var tilfredsstillende, tilgjengeligheten til betalingstjenester og øvrige kunderettede tjenester var bedre enn tidligere år, og det var i hovedsak god regularitet på avregnings- og oppgjørssystemene. Samlet sett anser Finanstilsynet den norske finansielle infrastrukturen som robust.

Endret trusselbilde 

Det digitale trusselbildet er i endring, blant annet som følge av krigen i Ukraina, generell geopolitisk uro og organisert cyberkriminalitet. Det var færre angrep på den finansielle infrastrukturen i 2022 enn i 2021, men omfanget av digital kriminalitet med konsekvens for finanssektoren synes fortsatt å øke.

Endringen i det digitale trusselbildet har bidratt til økt oppmerksomhet om faren for systemiske cyberhendelser og viktigheten av digital robusthet og motstandsdyktighet innen finanssektoren.

Selv om digital kriminalitet rettet mot foretak i den norske finanssektoren ikke har ført til systemkriser eller alvorlige hendelser, er det avdekket alvorlige sårbarheter som kunne medført store konsekvenser dersom de hadde blitt utnyttet. I tillegg var det sikkerhetshendelser hos leverandører som fikk konsekvenser for berørte foretak.

– For å opprettholde en robust finansiell infrastruktur mener Finanstilsynet at foretakene fortsatt bør styrke arbeidet på IKT-området ved å redusere sannsynligheten for operasjonelle hendelser, øke motstandsdyktigheten mot digital kriminalitet og bedre IKT-sikkerheten generelt. Arbeidet må tilpasses utviklingen i det digitale trusselbildet, sier seksjonssjef i seksjon for IT og betalingstjenester, Olav Johannessen.

Svindel og svindelstatistikk 

Samlet økte tapene med 106 mill. kroner fra 2021 til 2022, til 614 mill. kroner. Økningen skyldes særlig økt phishing-aktivitet, der kriminelle forsøkte å få tilgang til brukernes innloggingsdetaljer.

– Selv om svindel med betalingstjenester øker, bidrar bankenes arbeid med løpende forebygging og avdekking av svindel til å begrense tapene, sier Olav Johannessen.

Til tross for en liten økning i antall svindeltransaksjoner økte tapene på kortsvindel med 35 prosent, til 219 mill. kroner i 2022. Oppgangen i prosent av samlet transaksjonsbeløp var noe lavere. For kontooverføringer, hovedsakelig gjennom nettbank, økte tapene ved svindel med 14 prosent, til 395 mill. kroner i 2022. Tapene i prosent av samlet transaksjonsbeløp er relativt konstant og med en liten nedgang fra 2021 til 2022.

Tap som følge av svindel ved sosial manipulering, dvs. der betaler er lurt til å iverksette svindeltransaksjonen, utgjorde 290 mill. kroner i 2022, mot 240 mill. kroner i 2021. En andel av svindeltransaksjonene der svindleren iverksetter transaksjonen basert på stjålet informasjon, anses også å skje som en konsekvens av sosial manipulering. I tillegg er det trolig mørketall, noe som gjør at det er vanskelig å anslå det samlede omfanget av tap knyttet til sosial manipulering.

Svindel gjennom sosial manipulering ser fortsatt ut til å være den mest lønnsomme metoden for kriminelle.

At BankID benyttes i stort omfang til både private og offentlige tjenester utenom finanssektoren, og med variasjoner i innloggingskonteksten, medfører fare for at brukerne ikke er tilstrekkelig årvåkne mot falske innlogginger slik at de blant annet kan bli fralurt sikkerhetsinformasjon. Det store omfanget av bruksområder gir kriminelle mulighet til å bruke et bredt spekter av moduser i svindelvirksomheten.

Mangler og sårbarheter knyttet til foretakenes IKT-virksomhet

Gjennom tilsynsvirksomheten ble det i 2022 avdekket svakheter og sårbarheter i foretakenes arbeid med IKT som utgjør en risiko. Det ble blant annet avdekket svakheter i ulike foretaks arbeid med krisehåndterings- og beredskapsplaner og manglende involvering i leverandørers test av krisehåndteringsløsninger. Videre ble det funnet mangler i etterlevelsen av gjeldende regelverk ved utkontraktering av IKT-virksomhet, som at avtaler ikke er behandlet av foretakets styre, og   mangelfull oppfølging av at leverandører etterlever foretakets sikkerhetskrav. 

– Sårbarheter i foretakenes forsvarsverk mot digital kriminalitet anses som den mest sentrale IKT-risikoen. Det skyldes både høy sannsynlighet for angrep og alvorlig konsekvens om angrep lykkes, sier Johannessen.