Rapportering av IKT-hendelser til Kredittilsynet
Rundskriv/veiledninger
Publisert: 25. november 2009
Sist endret: 18. desember 2019
Dokumentnummer: 15/2009
Sendt til:
Forretningsbanker
Sparebanker
Finansieringsforetak
Forsikringsselskaper
E-pengeforetak
Verdipapirforetak
Forvaltningsselskaper for verdipapirfond
Regulerte markeder, inkl. børser
Oppgjørssentraler
Verdipapirregistre
BBS AS
Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften) § 9 tredje ledd er endret. Nytt tredje ledd lyder som følger:
"Avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data skal rapporteres til Kredittilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk. Foretak som nevnt i § 1 første ledd nr. 5 (Private, kommunale og fylkeskommunale pensjonskasser og pensjonsfond), nr. 11 (Inkassoforetak) og nr. 12 (Eiendomsmeglerforetak) omfattes ikke av kravet til hendelsesrapportering."
§ 9 nåværende tredje ledd blir nytt fjerde ledd. Endringen trer i kraft 1. desember 2009.
Dette rundskrivet beskriver nærmere rutinen for hendelsesrapportering som skal benyttes. Rundskrivet erstatter rundskriv 31/2007.
1. Bakgrunn
Det er viktig å sikre at avvik i IKT-virksomheten i det enkelte foretak behandles hurtig og etter en fastlagt prosedyre slik at normalsituasjonen gjenopprettes og at tiltak iverksettes for å unngå at samme type hendelse skjer på nytt. Det er også viktig å sikre at informasjon om hendelser og avvik som kan ha betydning for hele eller deler av finansnæringen, blir registrert og fulgt opp. Kredittilsynet anser slik rapportering som grunnleggende for å sikre informasjon og oversikt på et område som er av vesentlig betydning for finansmarkedets stabilitet. Korrekt håndtering av IKT-avvik skal bidra til god risikostyring og til at betalinger og oppgjør sikres en korrekt og effektiv gjennomføring. Kritiske situasjoner må håndteres med minst mulig skadevirkning.
Hendelsesrapporteringen bidrar til å sikre et korrekt og rettidig bilde av risikonivået i finanssektoren og til å avdekke mønstre og sammenhenger som det kan være vanskelig å se for det enkelte foretak. Det viktigste er likevel det enkelte foretaks håndtering av hendelser for å sikre gjenoppretting og oppfølging med relevante preventive tiltak. Hendelsesrapporteringen gir grunnlag for risikoanalyser og mulighet til å iverksette forebyggende tiltak på et tidlig tidspunkt. Videre kan hendelsesrapporteringen til Kredittilsynet fungere som en felles informasjonssentral hvis mange finansforetak blir rammet av en hendelse samtidig.
På bakgrunn av dette er det besluttet at hendelsesrapporteringen skal videreføres gjennom en regulering i IKT-forskriften. Virkeområdet for hendelsesrapporteringen er utvidet til å gjelde alle foretak som omfattes av IKT-forskriften med unntak av private, kommunale og fylkeskommunale pensjonskasser og pensjonsfond, inkassoforetak, og eiendomsmeglerforetak.
Mange av foretakene som er omfattet av IKT-forskriften, er også underlagt Basel II-regelverket for operasjonell risiko. Gjennom dette regelverket er de pålagt å etablere et opplegg for håndtering av hendelser og oppbevaring av historikk over hendelser fem år tilbake i tid. Det gjelder foretak som har valgt metodene AMA (Advanced Measurement Approach) eller TSA (The Standardized Approach, også betegnet som “sjablongmetoden” på norsk) for vurdering av operasjonell risiko. Opplegget for hendelsesrapporteringen blir tilpasset kravene i Basel II slik at det ikke oppstår overlappende krav og at det samme datagrunnlaget kan benyttes.
Betalingsformidling utgjør en vesentlig del av bankenes virksomhet. I lov om betalingssystemer mv., § 3-3 Alminnelige systemkrav, er Kredittilsynet gitt et ansvar som gjør det ønskelig å bli informert om avvik i driften av systemer for betalingstjenester som ledd i Kredittilsynets arbeid på dette området.
2. Hendelser som skal rapporteres
Hendelser som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikre mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data, skal rapporteres til Kredittilsynet.
Hendelsene kan være forårsaket av brudd i sentral infrastruktur som strøm eller telekommunikasjon, feil i nettverk, feil i systemprogramvare, feil i applikasjoner eller IKT-baserte ondsinnede angrep.
Rapporten skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre hendelser dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk.
Nedenfor er det listet opp noen eksempler på hendelser som skal rapporteres. Listen er ikke uttømmende. Eksemplene er ment som et hjelpemiddel for å gjøre det enklere å vurdere om en hendelse kvalifiserer for rapportering eller ikke.
Relevante eksempler for banker/BBS:
a) Kunder rapporterer om manglende tilgjengelighet til nettbanken. Banken har foretatt endringer i nettbankapplikasjonen, og endringene kan ha medført en feil som ikke ble oppdaget under test.
b) Mange kunder får ikke betalt med betalingskort i butikkene. En del brukersteder har funksjonalitet for å betjene kundene offline, men dette gjelder ikke alle. Årsaken viser seg å være manglende tilgang til dekningskontroll grunnet problem med sentral driftskomponent.
c) Kunder rapporterer til banken at de har tilgang til å se andre kunders kontoer i nettbanken. Banken har gjort endringer i nettbankapplikasjonen, og det viser seg at endringene har medført en feil som ikke ble oppdaget under test.
d) Felles leverandør av nettverksinfrastruktur til banker gjør endring i programvarekonfigurasjonen som medfører en svakhet som gir hyppige tilbakevendende problemer med driftsstabilitet.
e) Banken får meldinger fra kunder som har oppdaget at det er gjort uautoriserte transaksjoner fra deres kontoer i banken. Dette avdekker et nytt angrep av ondsinnet kode mot nettbankkundene til banken.
f) Banken har byttet driftsleverandør, og de første ukene banken kjører på ny driftsplattform, opplever banken større problemer med faste driftskjøringer.
g) Banken blir rammet av et virusangrep som sprer seg til store deler av bankens arbeidsstasjoner, både på hovedkontoret og filialene. Ansatte i banken får ikke tilgang til sine arbeidsstasjoner og får ikke utført normale arbeidsoppgaver.
h) Flere kunder rapporterer til banken om endringer av saldoen på sine kontoer som de ikke kjenner igjen. Banken finner uautoriserte oppdateringer i databasen, men har ennå ikke identifisert kilden til disse. Det er signaler som tyder på at en tidligere ansatt kan ha kompromittert dataene.
i) Nettbanken blir utsatt for massiv samtidig pålogging slik at serveren ikke klarer å håndtere forespørslene. Serveren tas ned og startes opp igjen med spesiell overvåkning. Banken antar at det er et såkalt Denial of Service (DoS)-angrep. Nettbanken er til sammen nede i 3 timer og 40 minutter.
j) Strømbrudd hos driftsleverandøren og svikt i UPS-løsningen hos driftsleverandøren medfører manglende tilgang til bankens kjernesystemer i en periode på 4 timer og 15 minutter.
Relevante eksempler for andre foretak
k) VPS har problemer av teknisk karakter som forårsaker at verdipapiroppgjøret blir vesentlig forsinket.
l) Flere medlemmer av Oslo Børs melder om ustabil tilgang til handelssystemet med periodevis helt manglende tilgjengelighet. Problemet vedvarer utover to timer.
m) I et verdipapirforetak har systemet for tilgangskontroll manglet tilstrekkelig separasjon av tilgangsrettigheter for brukergrupper. En ansatt har utnyttet hullet i systemet til å tilegne seg informasjon og gjøre handler han ikke er autorisert for.
n) I et forsikringsselskap har en applikasjonsendring medført feil i programmet for rettighetsberegning. Feilen blir oppdaget først etter at brev er sendt ut til kundene.
o) Grunnet driftsproblemer har månedskjøring for pensjonsutbetalinger i forsikringsselskapet feilet, og utbetalingene blir en uke forsinket.
p) Et kortselskap har tekniske problemer i kontrollsenteret. Autorisasjonsforespørsler blir avvist, og kunder får ikke benyttet internasjonale betalingskort verken ved e-handel, på hoteller eller andre brukersteder.
3. Tidspunkt for rapportering
Hendelsen rapporteres uten ugrunnet opphold til Kredittilsynet.
4. Formen for rapportering
Foretaket rapporterer om hendelsen til Kredittilsynet gjennom e-post til: hendelse@finanstilsynet.no. Alternativt kan man rapportere pr. brev eller telefon til saksbehandler i seksjon for IT-tilsyn i Kredittilsynet, se telefonliste nedenfor.
Hendelser som bankene rapporterer til NICS’ operatørkontor og som også faller inn under virkeområdet i dette rundskrivet, sendes med kopi til: hendelse@finanstilsynet.no.
Dersom samme hendelse rammer flere banker som samarbeider, kan bankene rapportere med én felles melding til Kredittilsynet.
Beskyttelse av fortrolig informasjon
Dersom foretaket vurderer hendelsesinformasjon som sensitiv, kan foretaket velge et av disse alternativene for å sikre konfidensiell behandling av dataene:
- Kredittilsynets opplegg for utveksling av kryptert e-post
- ordinær e-post der hendelsesrapporten vedlegges som et kryptert og passordbeskyttet Word-dokument (passord utveksles med Kredittilsynet pr. telefon)
- telefon
- alminnelige post
Dersom hendelsesrapporten inneholder personopplysninger, må disse skjermes i henhold til krav i personopplysningsloven.
5. Innholdet i rapporten til Kredittilsynet
Det er viktig at rapporteringen skjer hurtig, og det kan derfor være aktuelt å varsle om en hendelse før det foreligger full oversikt over årsak og konsekvens. Det vil da være aktuelt å ettersende endelig rapport om årsak og tiltak. Kredittilsynet kan på grunnlag av rapporteringen be om ytterligere informasjon eller opprette direkte kontakt med foretaket.
Generelt skal rapporteringen inneholde følgende informasjon om hendelsen:
- tidspunkt for når hendelsen oppsto
- tidspunkt for når hendelsen ble oppdaget
- kontaktinformasjon
- beskrivelse av hendelsen med hvilke systemer og/eller data som er berørt
- foreløpige konsekvenser av hendelsen
- årsak til hendelsen så langt dette er kartlagt
- tidspunkt for gjenoppretting av normal drift eller anslag for dette
- tiltak for gjenoppretting
- tiltak for å hindre gjentakelse eller når og hvordan dette er planlagt
Foretaket kan bruke en kopi av foretakets interne skjema for avviksregistrering hvis dette dekker informasjonen som er angitt ovenfor.
Anne Merethe Bellamy
Frank Robert Berg