IKT og betalingstjenester

Utviklingstrekk

Foretakene i finanssektoren rapporterte noen flere IKT-relaterte hendelser i 2020 enn i 2019. Andelen sikkerhetshendelser var større enn året før. Ingen av disse var relatert til koronapandemien. Det ble i løpet av året rapportert om to ulike varianter av infisert programvare som kunne gjøre det mulig for kriminelle å angripe på innsiden av foretakenes nettverk og ødelegge eller hente ut data. Ingen foretak har imidlertid registrert at noen skade har skjedd. Beredskapsutvalget for finansiell infrastruktur (BFI) avholdt en rekke møter i 2020 for oppfølging av foretakenes status og tiltak for håndtering av koronakrisen. Finanstilsynet observerte ikke spesielle avvik i driften av betalingssystemene som følge av krisen.

Det ble gjennomført færre IT-tilsyn enn normalt i 2020. Mye arbeid ble lagt ned i behandlingen av meldinger om utkontraktering og endringer i betalingssystemer, herunder endringer i leverandører av felles betalingsinfrastruktur. Finanstilsynet fulgte opp krav i henhold til PSD2 og forskrift om betalingstjenester. Blant disse kan nevnes krav til grensesnitt for tiltrodde tredjeparter, krav til sterk kundeautentisering i betalinger med kort ved netthandel og nye rapporteringer til Finanstilsynet av svindel og risiko.

Tilsyn, overvåking og kontroll

Tilsyn med IKT og betalingstjenester

Til sammen ble det gjennomført 17 stedlige tilsyn i 2020 der IKT og betalingstjenester var tema. Dette er færre enn det som var planlagt, noe som primært skyldes koronapandemien. De fleste tilsynene i 2020 ble gjennomført digitalt. Av de 17 tilsynene var fem i banker, tre i forsikringsforetak, tre i verdipapirforetak, to i inkassoforetak, ett i eiendomsmeglerforetak, to i revisjonsselskaper og ett i regnskapsførerforetak. To av tilsynene i bank var tematilsyn om antihvitvasking, hvor tilsyn med bankenes systemer for elektronisk overvåking av mistenkelige transaksjoner var en del av temaet.

Finanstilsynet har gjennom tilsyn merket seg utfordringer i styring og kontroll av IT-virksomheten der foretaket er del av en gruppe som på vegne av alle foretakene ivaretar deler av IKT-virksomheten. Å være del av en gruppe gir foretaket fordeler i form av felles infrastruktur og tilgang til ressurser og spisskompetanse. Finanstilsynet ser imidlertid at det enkelte foretak i gruppen kan mangle egen risikoanalyse av IT-virksomheten og egen IT-strategi, og at det blir flere ledd mellom foretaket og den utkontrakterte virksomheten. Foretaket skal sikre egen styring og kontroll med IT-virksomheten.

Manglende eller mangelfull test av kriseløsninger ble kommentert ved flere tilsyn i 2020. Finanstilsynet pekte også på den økte risikoen det utgjør at leverandør har ansvar for applikasjonsutvikling og samtidig har tilganger i produksjonsmiljøet. Dette må kompenseres med strenge kontroller.

Tilsyn med bankenes systemer for overvåking av mistenkelige transaksjoner knyttet til hvitvasking og terrorfinansiering viste at foretakene har etablert kundespesifikke regler. Dette har likevel redusert effekt når risikoklassifiseringen av kundene, som er utgangspunktet for riktig bruk av reglene, ikke er ivaretatt godt nok.

Hendelsesrapportering

Det ble rapportert 207 hendelser i 2020, som er noen flere enn året før. 20 av disse var sikkerhetshendelser. De fleste sikkerhetshendelsene gjaldt DDoS-angrep, men flere foretak rapporterte, henholdsvis i begynnelsen og slutten av året, om to ulike varianter av infisert programvare som kunne gjøre det mulig for kriminelle å angripe på innsiden av foretakenes nettverk og ødelegge eller hente ut data. Ingen av foretakene hadde registrert at noen skade hadde skjedd.  

Økningen i antall hendelser ser ut til å skyldes at flere typer finansforetak aktivt rapporterer og at flere typer hendelser rapporteres. Det ble meldt fire hendelser der foretaket oppdaget sårbarheter i egen programvare før sårbarheten ble utnyttet. Det ble meldt to hendelser om manglende levering av data til gjeldsregistre, åtte hendelser om avvik i den elektroniske transaksjonsovervåkingen mot hvitvasking og fem hendelser fra inkassoforetak. For øvrig er det hendelser fra banker og foretak i verdipapirsektoren som dominerer. Fra forsikringsforetak ble det rapportert kun seks hendelser i 2020. Hendelsen som fikk størst oppmerksomhet i 2020, var en driftshendelse i DNB i juni som forårsaket flere dagers forsinkelse i utbetaling av lønn og feriepenger til et høyt antall kunder. I juli fikk en driftshendelse i Nets stor oppmerksomhet fordi den rammet mange foretaks betalingstjenester en lengre periode på ettermiddag-/kveldstid.

Antall rapporterte IKT-hendelser

Kilde: Finanstilsynet

Utkontraktering av IKT

Finanstilsynet mottok i 2020 over 250 meldinger om utkontraktering. Av disse var 36 fra forsikringsforetak og 13 fra finansieringsforetak. Flest meldinger gjaldt endringer knyttet til leverandører av felles betalingsinfrastruktur til bankene, herunder Nets' salg av konto-til-konto-tjenester til Mastercard og den planlagte flyttingen av driften av BankID, og endringer i forbindelse med "Kontanttjenester i butikk" (KiB). Disse meldingene ble også gitt i henhold til krav i betalingssystemloven om endrede eller nye betalingstjenester. En del av meldingene ble gitt fra samarbeidende grupper av banker på vegne av flere banker. Det har vært behov for omfattende oppfølging av bankenes meldinger knyttet til Nets' salg av konto-til-konto-tjenester til Mastercard.

System for betalingstjenester og betalingsforetak

Grensesnitt for tiltrodde tredjeparter

Det reviderte betalingstjenestedirektivet (PSD2) stiller krav, nærmere utdypet i delegert kommisjonsforordning (EU) 2018/389, om grensesnitt som gir betalingsfullmektiger og opplysningsfullmektiger, såkalte tiltrodde tredjeparter (TPP), rett til tilgang til betalingskontoer tilhørende kontotilbyderes kunder. Kontotilbyderne har plikt til å legge til rette for at TPP-er får slik tilgang. I 2020 hadde Finanstilsynet tett kontakt med kontotilbydere og TPP-er og veiledet foretakene om forståelsen av regelverket. I juni 2020 gjennomførte Finanstilsynet en spørreundersøkelse hos alle kontotilbyderne for å vurdere om grensesnittene tilfredsstilte kravene i regelverket. Svarene avdekket at kontotilbyderne ennå hadde mangler, noe som gjorde det vanskelig for TPP-er å starte opp med sine tjenester. Dette medførte at TPP-ene ble utsatt for økonomisk risiko og omdømmerisiko i markedet. Finanstilsynet følger opp foretakene.

Sterk kundeautentisering

PSD2 stiller krav, som er tatt inn i forskrift om systemer for betalingstjenester § 5, om sterk kundeautentisering (SKA) når kunden logger seg inn på betalingskonto via nettet, initierer en elektronisk betalingstransaksjon eller gjennomfører en handling som kan innebære risiko for svindel eller annet misbruk. Betalingstjenestetilbyderne fikk utsettelse til 31. desember 2020 med å innføre SKA for betalinger med kort i internetthandel. Finanstilsynet innhentet i 2020 statistikk fra kortutstederne som viste utviklingen i antall transaksjoner og brukere der SKA er benyttet, eller der det teknisk lå til rette for at SKA kan benyttes. Finanstilsynet informerte om overgangen til SKA på Finanstilsynets nettsted og henvendte seg til kortutstederne med oppfordring om å informere brukerne om overgangen og ha aktiv brukerstøtte under overgangen.

Svindelrapportering

Finanstilsynet mottok i 2020 foretakenes første rapportering av svindel i henhold til krav i PSD2. Foretakene rapporterte totalt antall transaksjoner og svindeltransaksjoner for andre halvår 2019 og første halvår 2020 i henhold til den felles europeiske spesifikasjonen i retningslinjene fra den europeiske banktilsynsmyndigheten (EBA). Deler av resultatet av rapporteringen for andre halvår 2019 ble publisert i Finanstilsynets risiko- og sårbarhetsanalyse (ROS) 2020. Aggregerte data ble sendt til den europeiske sentralbanken (ESB) og den europeiske banktilsynsmyndigheten (EBA).

Risikorapportering

Forskrift om systemer for betalingstjenester § 2 stiller krav om at betalingstjenestetilbydere minst årlig skal gi Finanstilsynet en samlet vurdering av operasjonell risiko og sikkerhetsrisiko knyttet til tilbyderens betalingstjenester, samt om tilbyderens tiltak er tilstrekkelige. Finanstilsynet publiserte i 2020 skjemaer for denne risikorapporteringen med frist for første rapportering 17. februar 2021. Rapporteringen i 2020 ble kansellert som følge av koronapandemien.

Kontantundersøkelse

Finanstilsynet fikk i 2020 i oppdrag fra Finansdepartementet å kartlegge bankenes samlede tilbud av kontanttjenester og vurdere om utviklingen i kontanttilbudet innebærer behov for nye tiltak eller regelverksendringer. Finanstilsynet ble bedt om å utveksle faktagrunnlag og vurderinger med Norges Bank. Innspillene skal leveres Finansdepartementet innen utgangen av februar 2021, og vil danne grunnlaget for en ny vurdering av om kontanttilbudet til norske bankkunder kan anses som tilfredsstillende over hele landet, eller om det kan være behov for nærmere regulering av bankenes plikter.

Aktuelle endringer i kontanttilbudet er næringens lansering av "Kontanttjenester i butikk" (KiB) og saneringen av banktjenester i "Post i butikk" (PiB). KiB er et samarbeid mellom Vipps/BankAxept og NorgesGruppen. Alle Kiwi- og Meny-butikker skal tilby tjenesten. Den omfatter for tiden 1 437 brukersteder, som gir en dekningsgrad på 98 prosent av Norges befolkning. Finanstilsynet hentet inn informasjon om kontanthåndteringen fra relevante aktører og sendte spørreskjema til alle bankene med spørsmål om bankens tilbud av kontanttjenester. Ved utgangen av 2020 hadde Finanstilsynet mottatt svar fra bankene.

Risiko- og sårbarhetsanalyse (ROS)

I rapporten Risiko- og sårbarhetsanalyse (ROS) 2020 om finansforetakenes bruk av IKT presenterte Finanstilsynet i mai 2020 sine observasjoner og vurderinger fra tilsynsvirksomheten. Rapporten ble presentert på en pressekonferanse og er publisert på Finanstilsynets nettsted.

Beredskapsarbeid

Finanstilsynet leder og er sekretariat for Beredskapsutvalget for finansiell infrastruktur (BFI). BFI hadde tre ordinære møter i 2020. I tillegg kalte BFI inn til 13 ekstramøter, fortrinnsvis i mars og april, for gjennomgang av status og tiltak knyttet til koronapandemien. BFI sikret seg slik oppdatert oversikt over finansforetakenes, leverandørenes og myndighetenes håndtering av koronapandemien. Erfaringer fra krisen har vist at de sentrale aktørene i den norske finansielle infrastrukturen har gode beredskapsplaner og raskt kan iverksette nødvendige tiltak. BFI-øvelsen i 2020 skulle vært deltagelse i den sivile nasjonale øvelsen Digital 2020 i regi av Direktoratet for samfunnssikkerhet og beredskap (DSB), hvor scenariet var en hendelse i finanssektoren. Øvelsen ble endret som følge av koronakrisen og egnet seg ikke for BFIs deltagelse. Finanstilsynet deltok i øvelsen.

Finanstilsynet og Nordic Financial CERT (NFCERT) etablerte i 2020 faste månedlige møter som et ledd i at Finanstilsynet skal ivareta rollen som sektorvist responsmiljø (SRM) for den delen av finanssektoren som Finanstilsynet har ansvaret for.

Norges Bank og Finanstilsynet startet i 2020 et samarbeid for å etablere et rammeverk for sikkerhetstesting for finansnæringen i Norge, basert på TIBER-rammeverket (TIBER: Threat Intelligence-based Ethical Red Teaming).

Finanstilsynet ble i 2019 partner ved Nasjonalt cybersikkerhetssenter (NCSC) og deltok i 2020 på faste statusmøter ved NCSC der statusrapport for det nasjonale digitale trusselbildet gjennomgås.

Forvaltning – betalingsforetak

Sju foretak fikk i 2020 tillatelse til å drive virksomhet som betalingsforetak. Av disse var det fire som fikk tillatelse til å yte de to nye betalingstjenestene kontoinformasjonstjenester og betalingsfullmakttjenester. I tillegg fikk ett betalingsforetak og ett e-pengeforetak utvidet sine tillatelser til å også omfatte de to nye betalingstjenestene.

Finanstilsynet mottok i 2020 seks søknader om konsesjon som betalingsforetak/e-pengeforetak, hvorav fem ble mottatt i andre halvår. Av disse foretakene er det to som har søkt om de to nye betalingstjenestene.

Den 1. april 2019 ble det innført meldeplikt for betalingstjenestevirksomhet som er unntatt konsesjonsplikt i finansforetaksforskriften § 1-8. Finanstilsynet behandlet i løpet av 2020 en rekke meldinger fra foretak som gjelder finansforetaksforskriften § 1-7 bokstav k nr. 1 og nr. 2: unntaket for betalingsinstrumenter som kun kan benyttes innenfor et begrenset nettverk eller til et meget begrenset utvalg varer og tjenester.