Digital finans og IT-risiko

Utviklingstrekk

I internasjonale sammenligninger kommer Norge ut blant de mest digitaliserte landene i Europa og scorer særlig høyt når det gjelder bruk av digitale finansielle tjenester. Innovasjonstakten innenfor finansielle tjenester er høy. Mer bruk av åpne grensesnitt (API-er), skytjenester og kunstig intelligens har muliggjort nye produkter og forretningsmodeller. Samtidig har ny regulering lagt til rette for nye tjenester og økt konkurranse.

Finanstilsynet observerer et trusselbilde i endring. Trusselen fra aktører som leter etter sikkerhetshull i programvare med stor utbredelse, som dersom de blir utnytte kan medføre informasjonslekkasje og/eller uautoriserte endringer i foretakenes systemer og infrastruktur, ser ut til å øke. Dette er angrep som ofte rammer globalt og på tvers av sektorer. Også digital kriminalitet der målet er økonomisk vinning, øker. I 2021 var det mange tilfeller av phishing/smishing, ofte med innslag av sosial manipulering knyttet til fiskingen etter opplysninger. Ulike former for ransom-angrep fortsatte i 2021. Dette er angrep der angriperen klarer å kryptere eller på annen måte gjøre foretakets data og systemer utilgjengelige og krever løsepenger for å avslutte angrepet.

Eventuelle angrep som rammer finansiell infrastruktur, kan få alvorlige konsekvenser. De tette sammenkoblingene i det finansielle systemet innebærer samtidig at én alvorlig hendelse – i Norge eller internasjonalt – kan føre til en mer omfattende krise med fare for finansiell ustabilitet dersom det ikke lykkes å begrense konsekvensene. Preventive tiltak bidrar til å redusere risikoen for alvorlige hendelser.

Tilsyn og analyser

Tilsyn

I 2021 gjennomførte Finanstilsynet flere tilsyn med foretaks IT-virksomhet. Gjennom tilsyn kan Finanstilsynet avdekke brudd på lover og forskrifter samt identifisere sårbarheter som utgjør risiko for alvorlige hendelser i finanssektoren. Tema for tilsynene i 2021 var områder som er viktige for styringen av foretakenes IT-risiko, blant annet utkontraktering, beredskap, IT-infrastruktur og sikkerhet. Tilsyn med IT-området utføres ofte som egne IT-tilsyn. IT-risiko kan også inngå som del av et bredere tilsyn i et foretak. Tilsynene gjennomført i 2021 er nærmere omtalt i rapportene for de ulike tilsynsområdene.

Risiko- og sårbarhetsanalysen

Finanstilsynet utarbeider hvert år en risiko- og sårbarhetsanalyse av finanssektorens bruk av IT. Risiko- og sårbarhetsanalyse 2021 ble publisert og presentert i et webinar i mai 2021. Det går fram av rapporten at den norske finansielle infrastrukturen er robust. Finanstilsynet vurderer sårbarheter i foretaks forsvarsverk mot digital kriminalitet og IT-drift som de to mest sentrale truslene knyttet til foretakenes bruk av IT, men også risikoen for informasjonslekkasje er en sentral trussel.

Regelverk

Digital finans

Digital finans er en viktig del av flere regelverksprosesser i EU innen finansielle tjenester. En pakke med forslag til regelverk, som del av EUs strategi for digital finans, ble lagt fram høsten 2020 og var i 2021 til politisk behandling i EU. Dette består blant annet av nytt regelverk om

• kryptoeiendeler - Markets in Crypto Assets (MiCA)
• et pilotregime for markedsinfrastruktur basert på blokkjedeteknologi
• IT-sikkerhet - Digital Operational Resilience Act (DORA).

Formålet med tiltakene er å styrke Europas konkurranseevne og innovasjon i den finansielle sektoren. Forbrukerne skal få flere valg og muligheter innen finansielle tjenester og betalinger, samtidig som hensynet til forbrukerbeskyttelse og finansiell stabilitet skal ivaretas.

Forvaltning

Hendelserapportering

Finansforetak skal rapportere alvorlige og kritiske IT-hendelser til Finanstilsynet. Selv om antall rapporterte sikkerhetshendelser økte noe i 2020 og 2021 i forhold til tidligere år, har det så langt ikke ført til alvorlige hendelser hos foretak i den norske finanssektoren. Hendelsene har imidlertid avdekket sårbarheter som, dersom det hadde lyktes å utnytte dem, kunne medført betydelig skade.

Finanstilsynet observerte ikke spesielt alvorlige avvik i driften av betalingssystemene i 2021, men problemer med BankID-appen og kodebrikken etter bytte av driftsleverandør medførte betydelig ustabilitet i tilgangen til BankID-tjenesten for mange brukere mot slutten av året.

Finanstilsynet rapporterte om seks hendelser til Finansdepartementet i 2021.

Sikkerhetshendelser

Det ble rapportert 20 sikkerhetshendelser i 2021 fra ulike typer finansforetak. Mange av disse gjaldt en sårbarhet i et såkalt loggverktøy (Apache Log4j), som ble avdekket i desember 2021. Sårbarheten rammet alle sektorer og ble ansett som svært kritisk, da den gjør det mulig å kjøre skadelig kode på en berørt server uten behov for brukernavn og passord. Det ble observert en rekke forsøk på å utnytte sårbarheten, men Finanstilsynet er ikke kjent med at noen har lyktes med å få tilgang til IT-systemer i norske finansforetak. Foretakene kartla sammen med sine leverandører om de benyttet den sårbare komponenten, gjorde nødvendige oppdateringer av IT-systemene og gjennomførte tiltak for å overvåke og håndtere eventuelle forsøk på å unytte sårbarheten.

For øvrige rapporterte sikkerhetshendelser var mindre finansforetak overrepresentert. Her ble det blant annet rapportert om virusangrep på e-post-servere og infeksjon med ondsinnet kode i teksteditor. Det ble rapportert kun ett tjenestenektangrep i 2021. Flere banker rapporterte om spesielt aggressive phishing-kampanjer.

En sentral leverandør til finanssektoren ble utsatt for et løsepengeangrep i februar, men dette rammet ikke foretak i finanssektoren.

Finanstilsynet har dialog med Nordic Financial CERT (NFCERT) om de fleste sikkerhetshendelsene. For spesielt å informere finansforetak som ikke er medlemmer i NFCERT, publiserte Finanstilsynet informasjon om sårbarheten i loggverktøyet Log4j på sitt nettsted.

Driftshendelser

Med unntak av en driftshendelse i Danske Bank 13. oktober var det ingen driftshendelser i 2021 som var av spesielt lang varighet. Imidlertid var det hendelser der flere banker rapporterte om gjentagende ustabilitet og periodevis utilgjengelighet til betalingstjenester grunnet driftsproblemer hos leverandør. Problemene med BankID-appen og kodebrikke etter Vipps' flytting av driften til ny leverandør vurderer Finanstilsynet som svært alvorlige. Finanstilsynet har fulgt opp dette med hyppige møter med Vipps (BankID) og brev til bankene.

Finanstilsynet har hatt spesiell oppfølging av en hendelse der ansatte hos en leverandør hadde gjort søk på kundedata som ikke var begrunnet i tjenstlige behov. Finanstilsynet har også fulgt opp hendelser knyttet til forsinket betaling og forsinket oppgjør på verdipapirområdet.

Det ble meldt 14 hendelser fra banker og betalingsforetak om avvik i den elektroniske transaksjonsovervåkingen mot hvitvasking. Det ble meldt ti driftshendelser knyttet til problemer med kontotilbyderes dedikerte grensesnitt for tiltrodde tredjeparters tilgang til kunders betalingskonto.

Rapportering av hendelser fordelt på foretakstyper:

• 16 hendelser fra inkassoforetak
• 12 hendelser fra forsikringsforetak
• 215 hendelser fra banker
• 7 hendelser fra betalingsforetak
• 3 hendelser fra finansieringsforetak
• 39 hendelser fra verdipapirområdet

Beredskapsarbeid

BFI

Finanstilsynet er leder og sekretariat for Beredskapsutvalget for finansiell infrastruktur (BFI). BFI hadde tre møter i 2021. Gjennomgang av status og tiltak knyttet til koronapandemien var tema på alle møtene. Det ble gjennomført én beredskapsøvelse i BFI i 2021 i regi av Eika Gruppen.

SRM

Finanstilsynet er utpekt som sektorvist responsmiljø (SRM) på finansmarkedsområdet i henhold til Nasjonal sikkerhetsmyndighets (NSM) rammeverk for håndtering av sikkerhetshendelser knyttet til IT. Tilsynet utøver rollen i samarbeid med Nordic Financial CERT (NFCERT). Finanstilsynet og NFCERT hadde faste møter hver fjerde uke i 2021 som en del av dette arbeidet.

KIKS

Justis- og beredskapsdepartementet ga i 2021 Direktoratet for samfunnssikkerhet og beredskap (DSB) i oppdrag å revidere oversikten over kritiske samfunnsfunksjoner i rapporten Samfunnets kritiske funksjoner (2016), også kjent som KIKS-rammeverket (kritisk infrastruktur, kritiske samfunnsfunksjoner). Finanstilsynet leverte sammen med Norges Bank innspill til revisjon av de delene av rammeverket som gjelder finanssektoren.

Samarbeid om IT-sikkerhet og den finansielle infrastrukturen

TIBER-NO

Norges Bank og Finanstilsynet besluttet høsten 2021 å etablere et rammeverk for sikkerhetstesting av kritiske funksjoner i finansiell sektor i Norge. Samarbeidet er basert på det europeiske TIBER-rammeverket - Threat Intelligence-based Ethical Red-Teaming. Målet med rammeverket er å bidra til finansiell stabilitet gjennom økt motstandsdyktighet mot cyber-angrep for kritiske funksjoner i norsk finansiell sektor. Rammeverket åpner også for testing av ikke-kritiske funksjoner. Forslag til rammeverk for TIBER-NO var våren 2021 på høring. Det er også arbeidet med å identifisere de kritiske funksjonene og virksomheter med ansvar for disse. Norges Bank vil organisere og bemanne et «TIBER Cyber Team» (TCT-NO) for å forvalte og operasjonalisere TIBER-NO og ha det formelle ansvaret for forvaltningen av rammeverket. Den overordnede styringen av testingen vil bli ivaretatt av en styringsgruppe, ledet av Norges Bank, der også Finanstilsynet er medlem.

Samhandling med Nasjonal sikkerhetsmyndighet

Finanstilsynet er partner ved Nasjonalt cybersikkerhetssenter (NCSC) og deltok i 2021 på møter ved NCSC der blant annet statusrapportene for det nasjonale digitale trusselbildet ble gjennomgått.

Finanstilsynet deltar i Nasjonal sikkerhetsmyndighets samarbeidsforum for tilsynsmyndigheter som fører tilsyn med IT-sikkerhet i sin sektor (SIG IKT). Forumet ble etablert i 2021.

Den finansielle infrastrukturen

Finanstilsynet samarbeider med Norges Bank om tilsyn med og overvåking av den finansielle infrastrukturen i Norge, blant annet gjennom utredninger, risikovurderinger og felles tilsyn. Finanstilsynets oppfølging av den kunderettede delen av betalingssystemet inngår i Norges Banks overvåking av betalingssystemet som helhet.