Risiko- og sårbarhetsanalyse (ROS) 2024
Publisert: 7. mai 2024
Sist endret: 16. september 2024
Finanssektorens bruk av informasjons- og kommunikasjonsteknologi (IKT).
1. Oppsummering
Den finansielle infrastrukturen i Norge er robust, og foretakenes IKT-tjenester synes å være godt beskyttet mot angrep. Foretakene i finanssektoren arbeider kontinuerlig med å styrke forsvarsverket og automatisere håndteringen av uønskede hendelser, og digitale angrep avverges som oftest før de får konsekvenser for foretaket og foretakets kunder. Arbeidet skjer både hos foretakene selv og gjennom samarbeid både innad i næringen og med myndighetene.
I 2023 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet, men enkelte hendelser fikk stor oppmerksomhet. Antall operasjonelle hendelser økte, noe som i hovedsak skyldes at visse hendelser rammet flere banker samtidig. Finanstilsynet anser at tilgjengeligheten til betalingstjenester og andre kunderettede tjenester samlet sett var tilfredsstillende i 2023 og om lag på samme nivå som i 2021 og 2022.
Det digitale trusselbildet er i endring, og trusselnivået er høyt, men på et stabilt nivå. Økende omfang av digitalisering utvider handlingsrommet, og både organiserte kriminelle med finansielt formål og statlige aktører er involvert i digitale angrep. Samhandlingen mellom kriminelle miljøer er økende, og den geopolitiske uroen forsterker dette bildet. Situasjonen har bidratt til økt oppmerksomhet om faren for systemiske cyberhendelser og betydningen av digital robusthet og motstandsdyktighet innen finanssektoren. Lange og uoversiktlige leverandørkjeder utgjør en sårbarhet som trusselaktører utnytter. Alvorlig svikt i IKT-systemer kan i verste fall true den finansielle stabiliteten og påvirke samfunnssikkerheten.
Det enkelte foretak i finanssektoren har et selvstendig ansvar for å sikre egne systemer mot tilsiktede og utilsiktede hendelser. Dette gjelder selv om hele eller deler av foretakets IKT-virksomhet er utkontraktert. I årets rapport framhever Finanstilsynet viktigheten av at foretakene har gode trusselvurderinger, konsekvensanalyser og beredskapsplaner for sine systemer. Foretakene bør sikre at det gjennomføres sikkerhetstesting av foretakets systemer og at det er etablert tilstrekkelige tiltak for å kunne håndtere angrep, herunder angrep mot sine leverandører. Deltakelse i fora som deler etterretningsinformasjon og bidrar til erfaringsutveksling, vil styrke foretakenes kapasitet både i det forebyggende arbeidet og ved håndteringen av et eventuelt angrep.
Gjennom tilsynsvirksomheten ble det i 2023 avdekket svakheter og sårbarheter i foretakenes arbeid med IKT. Finanstilsynet påpekte blant annet svakheter i ulike foretaks overordnede styring og kontroll med IKT-virksomheten og mangelfull oppfølging av IKT-risiko i andre forsvarslinje. Risikoen knyttet til den utstrakte bruken av IKT-tjenesteleverandører og mangler i oppfølgingen av disse utgjør en betydelig del av foretakenes IKT-risiko. Utkontraktering av IKT-virksomhet gir ofte flere IKT-tjenesteleverandører, datasentre og plattformer foretakene må forholde seg til. Det kan medføre økt kompleksitet, et mer sammensatt risikobilde og mer krevende oppfølging av IKT-virksomheten.
Foretak og leverandører har gjennom innrapportering til, og i dialog med, Finanstilsynet pekt på flere sentrale risiko- og sårbarhetsforhold knyttet til IKT-virksomheten. Blant annet framhever foretakene risikoen knyttet til stadig lengre og mer komplekse leverandørkjeder og utfordringer med å få aksept fra underleverandører for foretakets egne strategier og retningslinjer. Særlig gjelder dette tjenester fra leverandører utenfor EØS-området.
Finanstilsynet anser sårbarheter knyttet til foretakenes forsvarsverk mot digital kriminalitet som den mest sentrale risikoen knyttet til foretakenes bruk av IKT også i 2023, der den samlede risikoen anses å være høy. Sårbarheter knyttet til leverandørstyring, styringsmodell og internkontroll samt tilgangsstyring er også sentrale risikoer, der den samlede risikoen anses som middels til høy.
Tap som følge av svindel fortsetter å øke. Svindelmetodene er mange og under konstant utvikling. I 2023 var samlede tap 928 mill. kroner, en økning på 51 prosent fra 2022. Gjennom sine systemer og kontroller forhindrer bankene et betydelig antall forsøk på svindel. I 2023 avverget bankene svindelforsøket tilsvarende 2 072 mill. kroner, som illustrerer viktigheten av bankenes tiltak.
Overgangen fra IKT-forskriften til forordning om digital operasjonell motstandsdyktighet i finanssektoren (DORA) vil innebære at kravene til foretakene i den norske finanssektoren blir strengere. Det er et viktig tiltak for å styrke den operasjonelle motstandsdyktigheten og fremme robusthet, finansiell stabilitet, trygghet for kundene og ivaretakelse av kritiske samfunnsfunksjoner. Gjennomføring av felleseuropeiske krav kan ha betydning for tilliten i internasjonale markeder til norske foretaks risikostyring og norske myndigheters oppfølging av finanssektoren.
Digital robusthet og motstandsdyktighet i finanssektoren er viktig for tilliten til det finansielle systemet. Det digitale trusselbildet er forverret som følge av geopolitisk uro og økt digital kriminalitet. Finanstilsynet vil i 2024 føre tilsyn med foretakenes etterlevelse av kravene til trygge og robuste IKT-systemer og vurdere beredskapen for håndtering av kritiske situasjoner.
2. Finansiell infrastruktur
2.1 Betydning
En robust finansiell infrastruktur er avgjørende for finansiell stabilitet og velfungerende markeder. Trygge, effektive og sikre betalings- og oppgjørssystemer skaper tillit til aktørene i finanssystemet og fremmer effektiviteten i økonomien. Direktoratet for samfunnssikkerhet og beredskap (DSB) har utpekt finansielle tjenester som en samfunnskritisk funksjon[1], og Finansdepartementet har definert "Sikre samfunnets evne til å formidle finansielle tjenester"[2] som en av tre grunnleggende nasjonale funksjoner (GNF) innen egen sektor.
Den finansielle infrastrukturen skal sørge for at betalinger og transaksjoner i finansielle instrumenter blir registrert, avregnet og gjort opp. Infrastrukturen er kompleks og omfatter mange aktører og leverandører, se boks 2.1. Manglende robusthet eller lavt sikkerhetsnivå hos en enkelt aktør kan utgjøre et svakt ledd i verdikjeden, slik at uønskede hendelser påvirker andre aktører. Finanssektoren er også avhengig av infrastruktur som kraftforsyning og elektronisk kommunikasjon. Svikt hos sentrale aktører kan få betydelige samfunnsmessige konsekvenser og i verste fall true den finansielle stabiliteten, uavhengig av om svikten er forårsaket av kriminell aktivitet eller operasjonelle avvik.
Dersom det ikke er mulig å gjennomføre finansielle transaksjoner, vil viktige samfunnsfunksjoner etter kort tid ikke lenger fungere tilfredsstillende. De samfunnsmessige konsekvensene vil kunne bli særlig store dersom de største foretakene, eller foretak som opererer på vegne av mange, rammes. Sensitiv informasjon på avveie eller brudd på regler for behandling av innsideinformasjon kan svekke tilliten til markedsplassene og det finansielle systemet. Uvedkommende med tilgang til kunde- og kontodata som kompromitterer eller gjør data utilgjengelige, vil skape betydelige utfordringer for kunder og foretak.
Finanstilsynet og Norges Bank samarbeider om overvåking av den finansielle infrastrukturen i Norge, blant annet gjennom felles tilsyn, utredninger og risikovurderinger.
|
Boks 2.1 Transaksjonsflyten i det norske betalingssystemet Den finansielle infrastrukturen består av betalingssystemet og verdipapiroppgjørssystemet samt verdipapirregisteret, markedsplasser og sentrale motparter. Betalingssystemet omfatter interbanksystemer og systemer for betalingstjenester for overføring av midler, med formelle og standardiserte ordninger og felles regler for behandling, avregning eller oppgjør av betalingstransaksjoner. Betalingssystemet, herunder betalingstjenester, reguleres i lovverket blant annet gjennom betalingssystemloven, forskrift om systemer for betalingstjenester og finansavtaleloven, samt gjennom finansnæringens selvregulering forvaltet av Finans Norge og Bits. Verdipapirsektoren reguleres gjennom blant annet verdipapirhandelloven, verdipapirforskriften og verdipapirsentralloven. Verdipapirsektoren består blant annet av aktører som er involvert i verdipapirtransaksjoner knyttet til egenkapitalinstrumenter som aksjer og egenkapitalbevis, herunder gjennomføring av handler og oppgjør av disse.
Kilde: Finanstilsynet |
2.2 Beredskapsutvalget for finansiell infrastruktur
Beredskapsutvalget for finansiell infrastruktur (BFI)[3] skal i henhold til sitt mandat:
- "komme fram til og koordinere tiltak for å forebygge og løse krisesituasjoner og andre situasjoner som kan resultere i store forstyrrelser i den finansielle infrastrukturen. I en krisesituasjon skal utvalget varsle og informere berørte aktører og myndigheter om hvilke problemer som har oppstått, hvilke konsekvenser problemene kan medføre og hvilke tiltak som settes i verk for å løse problemene.
- forestå nødvendig koordinering av beredskapssaker innenfor finansiell sektor. Herunder skal det, på grunnlag av sivilt beredskapssystem, samordne utarbeidelse og iverksettelse av varslingsplaner og beredskapstiltak ved sikkerhetspolitiske kriser og krig."
Finanstilsynet leder og er sekretariat for BFI. Øvrige deltakere er sentrale myndigheter og aktører med ansvar for kritiske funksjoner i den finansielle infrastrukturen. BFI har regelmessige møter og gjennomfører beredskapsøvelser årlig. Gjennom arbeidet i BFI får Finanstilsynet et bredt og godt bilde av tilstanden i den finansielle infrastrukturen.
2.3 Vesentlige endringer i den finansielle infrastrukturen
I 2023 ble det både gjennomført og varslet flere vesentlige endringer i den norske finansielle infrastrukturen.
Eika Alliansen inngikk i 2020 avtale med Tietoevry om leveranse av kjernebankløsninger til Eika-bankene. Overgangen fra SDC til Tietoevry ble ferdigstilt i 2023. Verdipapirsentralen AS (Euronext Securities Oslo) flyttet i 2023 sin IKT-drift til Tietoevry. Overgangen til Tietoevry for Verdipapirsentralen AS og bankene i Eika Alliansen innebærer isolert sett økt konsentrasjonsrisiko siden flere foretak i finanssektoren allerede benyttet Tietoevry som driftsleverandør.
Som følge av fusjoner mellom foretak ble det i 2023 gjennomført flere sammenslåinger av IKT-systemene til de fusjonerte foretakene. Dette vil fortsette i 2024, med blant annet flytting av Sbankens kunder til DNBs systemer.
BankAxept tar sikte på å lansere digitale betalingskort første halvår 2024 slik at deres betalingsløsning også kan benyttes i digitale lommebøker og ved e-handel. Som følge av krav fra EU har Apple åpnet for bruk av sin kontaktløs-funksjon for andre aktører. Dette åpner for at norske foretak kan tilby egne løsninger for kontaktløs betaling med Apple-produkter.
Finansnæringen har vurdert forbedringer i BankIDs utstedermodell og styringsstruktur og utreder muligheten for å realisere en ny modell for utstedelse av BankID. Modellen støtter målet i nasjonal eID-strategi[4] om at alle relevante brukergrupper enkelt skal kunne skaffe segen eID på det sikkerhetsnivået de har behov for.
2.4 Fellestiltak innen finansnæringen
Bits AS er bank- og finansnæringens infrastrukturselskap og arbeider med modernisering av betalingsinfrastrukturen. Prosjektet for overgang til ISO 20022-standarden for straksbetalinger (Straks 2.1) ble ferdigstilt i 2023, og bankene tok i bruk løsningen. Formatene er nå standardisert, samtidig som løsningen forenkler den tekniske strukturen betydelig. Arbeidet med å tilrettelegge standarden for strukturert kundeinformasjon, spesielt for betalinger med KID (OCR-tjenesten), starter opp i 2024.
Bits arbeider også med å modernisere infrastrukturen rundt bankenes felles avregningssystem for norske kroner (Norwegian Interbank Clearing System, NICS). I arbeidet implementeres internasjonale funksjonsdelinger mellom selve avregningen og øvrige funksjoner som i dag ligger tett på avregningsløsningen. Konkrete prosjekter i 2024 vil påvirke bankene og IKT-tjenesteleverandørenes løsninger samt den fellesoperasjonelle infrastrukturen (FOI).
Finansdepartementet oppnevnte i november 2023 en arbeidsgruppe som skal vurdere beredskapen i betalingssystemet[5]. Arbeidsgruppen skal blant annet kartlegge funksjonalitet og risiko og vurdere behovet for tiltak som kan gi økt trygghet for at betalinger kan gjennomføres elektronisk i ulike scenarioer. Finanstilsynet, Finansdepartementet og finansnæringen er representert i arbeidsgruppen, som ledes av Norges Bank. Arbeidet skal ferdigstilles i september 2024.
Reserveløsningen for BankAxepts betalingskort er en del av beredskapen i det elektroniske betalingssystemet. I 2021 ble reserveløsningen styrket ved at kapasiteten i betalingsterminaler ble vesentlig økt for samfunnskritiske aktører i detaljhandelen med bred utbredelse, som dagligvarekjeder, apotekkjeder og utsalgssteder av drivstoff. Deltakelse i reserveløsningen er frivillig for brukersteder. God beredskap i det elektroniske betalingssystemet forutsetter at flere brukersteder tilsluttes reserveløsningen, herunder flere samfunnskritiske aktører i detaljhandelen, og at brukerstedene regelmessig tester om den fungerer som forutsatt. Beredskapen i betalingssystemet kan bli svekket ved at et økende antall brukersteder tar i bruk betalingsterminalløsninger som ikke støtter BankAxepts reserveløsning.
Utstedelse av betalingskort fra BankAxept med støtte for "offline-PIN" ble startet opp i 2023, og utskifting av eksisterende betalingskort vil pågå de neste tre årene. Hensikten er å forbedre beredskapen i betalingssystemet ved å innføre funksjonalitet som gjør at PIN-koden kan verifiseres mot informasjon i betalingskortet dersom en betalingsterminal er uten nettforbindelse.
Offentlig sektor og finansnæringen samarbeider om digitalisering og effektivisering av viktige tjenester i samfunnet gjennom DSOP[6] (digital samhandling offentlig privat). Løsningene som utvikles, gir betydelige gevinster for samfunnet. Kjøp, finansiering og tinglysing av fast eiendom er eksempler på et samarbeidsfelt, med en samlet digital prosess for boligkjøpere, selgere, meglere, banker og Kartverket. Samtidig skaper slike integrerte løsninger nye avhengigheter og sårbarheter som må hensyntas både i operativ drift og i beredskapsplanlegging.
3. Trusselbildet
3.1 Det digitale trusselbildet er i endring
Det digitale trusselbildet er i stadig endring. Økt digitalisering i samfunnet og teknologisk utvikling utvider handlingsrommet for kriminelle aktører. De siste årenes endringer i risiko- og trusselbildet og økningen i digital kriminalitet har bidratt til større oppmerksomhet rettet mot faren for systemiske cyberhendelser og betydningen av digital motstandsdyktighet.
Risikoen for uønskede hendelser er fortsatt høy. Statlige aktører antas å være direkte eller indirekte involvert i digitale angrep, og den geopolitiske uroen er økende som følge av Russlands invasjonskrig i Ukraina, konflikten i Midtøsten og spenningene mellom Kina og USA. Kriminelle utvikler kontinuerlig sine metoder, blant annet ved å ta i bruk ny teknologi. De prioriterer ofte mål som gir stor potensiell gevinst til lave kostnader, eksempelvis i form av nettsvindel eller angrep kombinert med løsepenger. Samhandlingen mellom kriminelle miljøer er økende, blant annet gjennom salg av tjenester til hverandre og statlige aktører, og det kan være vanskelig å skille mellom trusler fra henholdsvis organiserte kriminelle og fremmed etterretning.
Både Forsvarets etterretningstjeneste (E-tjenesten) og Politiets sikkerhetstjeneste (PST) peker på en betydelig trussel fra statlige aktører, blant annet gjennom etterretnings- og nettverksoperasjoner (digital kartlegging og sabotasje av kritisk infrastruktur). Truslene mot finansiell sektor er primært knyttet til angrep der målet har vært å ramme andre virksomheter, eller angrep mot en verdikjede som også treffer finansielle foretak. Nasjonal sikkerhetsmyndighet (NSM) framhever også rekruttering av innsidere i foretakene og oppkjøp og investeringer fra ondsinnede som risikofaktorer. Finanstilsynet har registrert en økning i innsiderelaterte hendelser det siste året.
Samarbeidsorganet Nordic Financial CERT (NFCERT) peker i sin årlige trusselvurdering for finansiell sektor på at den samlede cybertrusselen mot finanssektoren fortsatt er høy, men at trusselbildet er på et stabilt nivå. Kriminelle grupper utgjør den mest alvorlige og sannsynlige trusselen mot den nordiske finanssektoren, der den mest brukte metoden er kryptering av data og/eller trusler om publisering av sensitiv informasjon og med krav om løsepenger. NFCERT vurderer også at innside-problematikk er en trussel som ofte undervurderes og at innsidere kan være nåværende eller tidligere ansatte, partnere, entreprenører og tredjeparter. Med privilegerte tilganger til en virksomhets digitale verdier og med kunnskap om interne prosesser og prosedyrer kan innsidere utilsiktet eller bevisst misbruke tilganger og kompetanse.
Alvorlig svikt i IKT-systemer kan ha store konsekvenser for finansiell infrastruktur. I verste fall kan finansiell stabilitet trues, særlig dersom kritiske funksjoner for samfunnssikkerheten rammes, enten svikten forårsakes av vinningskriminalitet, målrettede angrep eller operasjonelle avvik. Tette koblinger i det finansielle systemet øker faren for at enkelthendelser rammer andre aktører og tjenester.
Lange og uoversiktlige leverandørkjeder utgjør en sårbarhet som trusselaktører utnytter.
Det vil fortsatt være fare for angrep mot verdikjeder og fra aktører som søker å utnytte sikkerhetshull i programvare med stor utbredelse. Sikkerhetshull utnyttes av både kriminelle og statlige aktører. Også innenfor finanssektoren evner trusselaktører å utnytte at sårbarhetsflatene utvides som følge av digitaliseringen. Finansforetak rapporterte i 2023 om hendelser der sårbarheter i leverandørers programvare ble utnyttet for å komme på innsiden hos leverandøren. Slik inntrenging kan blant annet medføre informasjonslekkasje, uautoriserte endringer i foretakenes systemer og infrastruktur eller kryptering av data med krav om løsepenger.
Tjenestenektangrep (DDoS) fra hacktivister vil fortsatt utgjøre en trussel mot foretakene. Foretakene er godt forberedt for å motstå denne typen angrep og iverksetter raskt tiltak. Skadevirkningene vil normalt være begrenset til å kun midlertidig ramme tilgjengeligheten til nettbaserte løsninger som kunderettede selvbetjeningsløsninger og informasjonssider. Hensikten med slike angrep er vanligvis ikke økonomisk vinning, men å påkalle oppmerksomhet, spre usikkerhet, uro og desinformasjon eller demonstrere misnøye med et land eller foretak.
Foretakene arbeider kontinuerlig med å videreutvikle sine systemer for overvåking av unormal aktivitet, automatisk avdekking og håndtering av hendelser og avverging av angrep og svindelforsøk. Selv om hendelser i økende grad håndteres automatisk, har foretakene behov for en manuell gjennomgang av enkelte avdekkede hendelser. Styrket forsvar mot digital kriminalitet medfører at angrep i økende grad blir avverget uten konsekvenser for foretaket. Antall sikkerhetshendelser med høy alvorlighetsgrad er redusert.
3.2 Tiltak i foretakene
Det enkelte foretak har ansvar for sikring av egne systemer. Dette omfatter også de delene av virksomheten som er utkontraktert. Ansvaret innebærer nødvendig og tilstrekkelig kompetanse og kapasitet til å motvirke og avdekke angrep og utarbeide beredskaps- og krisehåndteringsplaner, herunder planer og løsninger for reetablering av systemer etter angrep.
Foretakene må videreføre sitt arbeid med å kartlegge egne risikoer, sårbarheter og verdier som kan være utsatt, iverksette forebyggende tiltak og være forberedt på å håndtere angrep og følgeskader av angrep. Beskyttelse av konfidensiell informasjon og bevisstgjøring av egne ansatte om det digitale trusselbildet er også viktige deler av dette arbeidet.
Finanstilsynet vil i årets rapport særlig trekke fram følgende områder:
Bruk av trusselvurderinger
Risikoen for ondsinnede handlinger kan vanskelig vurderes på samme måte som risikoen for operasjonelle IKT-hendelser, siden slike vurderinger gjerne baserer seg på historiske erfaringer og/eller forventet frekvens. Risikovurderinger av ondsinnede handlinger må derimot bygge på framoverskuende trusselvurderinger som hensyntar foretakets forretningsvirksomhet, størrelse, geografisk plassering og hvor attraktive verdier man beskytter. Videre bør det gjøres en analyse av sårbarheter i det digitale forsvaret av disse verdiene. Den såkalte risikotrekanten eller trefaktormodellen[7] er et eksempel på en slik metodikk og kan benyttes til å anslå risikoen for at trusselaktører lykkes med å ramme foretakets verdier.
Tiltak for å motvirke angrep
Et viktig tiltak for å kunne motvirke digitale angrep er å sørge for at produksjonssystemene er oppdaterte med nye, kontrollerte og godkjente versjoner og sikkerhetsoppdateringer. I tilsynsvirksomheten framhevet Finanstilsynet viktigheten av å fjerne komponenter som ikke er i bruk og passive og/eller utdaterte systemer. Det er også en tydelig sammenheng mellom eldre systemer i bruk og økt risiko for hendelser, samt kostnader for å sikre disse.
Sikkerhetstesting av egne systemer
For å kunne avdekke angrep må foretakene selv ha nødvendig kompetanse og vurdere bruk av eksterne spesialisttjenester.
Forordningen om digital og operasjonell motstandsdyktighet i finanssektoren (Digital Operational Resilience Act, DORA) stiller krav til testing av digital operasjonell motstandsdyktighet, der foretakene (med unntak av mikroforetak) som en del av rammeverket for IKT-risikostyringen skal ha et helhetlig program for risikobaserte tester. Formålet med testingen er å avdekke svakheter, mangler og avvik i digital motstandsdyktighet og å vurdere beredskapen for håndtering av IKT-hendelser samt gi grunnlag for rask og effektiv gjennomføring av forbedringer og rettelser.
Trusselbasert penetrasjonstesting (TLPT) er en metode som benyttes for å teste foretaks digitale motstandsdyktighet, som evnen til å oppdage, beskytte seg mot og reagere på avanserte cyberangrep. Trusseletterretning og bruk av eksterne testspesialister ("Red Teaming") skal bidra til realistisk testing av foretakets forsvar. Metoden simulerer taktikk, teknikk og prosedyrer som reelle trusselaktører antas å benytte. Det vektlegges at foretakets ansatte som deltar i testene, ikke har kjennskap til når og hvordan testangrepene foregår, og foretaket skal i etterkant benytte erfaringene til å styrke egne systemer. Kravet om TLPT-testing omfatter i utgangspunktet alle foretak med konsesjon fra Finanstilsynet. Ved en konkret vurdering av hvilke foretak kravet om TLPT-testing skal gjelde, tas det hensyn til foretakets størrelse og overordnede risikoprofil samt arten, omfanget av og kompleksiteten i foretakets tjenester, aktiviteter og drift.
Gode beredskapsplaner og -øvelser
Foretakene må sørge for at virksomheten kan gjenopprettes etter digitale angrep og ha oppdaterte og testede planer for dette. I tillegg til planer for å gjenopprette systemer og eventuelt tapte data må foretaket ha planer for å håndtere en hendelse inntil systemer og eventuelt tapte data er gjenopprettet, være på plass. Foretaket må også sørge for å ha oppdaterte kommunikasjonsplaner for ulike hendelsesscenarioer.
Det bør gjennomføres vurderinger og tiltak for å sikre at foretakenes beredskapsløsninger og sikkerhetskopier av systemer og informasjon er beskyttet mot digitale angrep.
Foretakene bør gjennomføre scenariobaserte beredskapsøvelser jevnlig. Erfaringer fra beredskapstestene bør gjennomgås for å eliminere svakheter og mangler i beredskapssystemer og -rutiner. Det er også viktig at foretakene tester hvor raskt egne systemer kan reetableres ved ulike scenarioer og vurderer hvilke konsekvenser eventuell nedetid vil kunne ha for foretaket og foretakets kunder.
Forsvar mot verdikjedeangrep
Foretak som benytter eksterne leverandører, kan være utsatt for risiko knyttet til komplekse verdikjeder og bør iverksette særlige tiltak for dette. Foretakene må også følge opp at deres leverandører har adekvate tiltak i sine løsninger. Eksempler på dette kan være:
- mikrosegmentering[8] og kryptering av interne nettverk for å hindre uønskede tilganger og spredning av kode
- overvåking av nettverkstrafikk, inkludert intern nettverkstrafikk, for å avdekke avvikende mønster i datatrafikk eller atferd
- styrking av kontrollen med systemleveranser, leverandører og leverandørers bruk av underleveranser samt utkontrakteringer som omfatter IT-avhengigheter generelt
- bruk av systemer og løsninger for automatisert kontroll og verifisering av programkode.
Verdien for foretakene av å overvåke nettverkstrafikk vil reduseres ved at stadig større deler av foretakenes systemporteføljer utkontrakteres til skyleverandører. Imidlertid krever utkontrakteringen tett kontroll med leverandørenes arbeid med IKT-sikkerhet og oppfølging av underleverandører. Med bakgrunn i trusselen verdikjedeangrep utgjør, forventer Finanstilsynet at foretakene bruker nødvendige ressurser for forsvarlig oppfølging av sine leverandører.
Andre tiltak for å beskytte virksomhetens verdier
Bruk av informasjons- og erfaringsdelingstjenester, samt samarbeid gjennom CERT-er[9], har vist seg formålstjenlig for å styrke foretakenes kapasitet både når det gjelder forebyggende tiltak og som støtte under faktiske angrep.
NSM utarbeider generelle prinsipper[10] og tiltak som foretak i finanssektoren bør se hen til for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Prinsippene bygger på anerkjente standarder og er allmenngyldige for IKT-sikkerhet uavhengig av virksomhetsområde. NSM har i tillegg utarbeidet en rekke andre råd og anbefalinger innenfor digital sikkerhet.[11]
3.3 Samarbeid innen sikkerhetsområdet
Ulike arenaer og fora for samarbeid innen sikkerhetsområdet er viktige tiltak for å styrke forsvaret mot digital kriminalitet. Dette kan være samarbeid mellom myndigheter nasjonalt og internasjonalt, mellom myndigheter og foretak og foretakene seg imellom.
Vurdering av samfunnskritiske virksomheter i finanssektoren
Sikkerhetsloven angir økonomisk stabilitet og handlefrihet som en av flere nasjonale sikkerhetsinteresser. Ansvarlig sektordepartement skal identifisere og holde oversikt over grunnleggende nasjonale funksjoner (GNF) samt virksomheter som har avgjørende eller vesentlig betydning for disse. For finanssektoren er det Finansdepartementet som fatter vedtak om at foretak som har avgjørende betydning for GNFer, helt eller delvis skal underlegges sikkerhetsloven. Finanstilsynet gir sammen med Norges Bank innspill til Finansdepartementets arbeid.
Foretak som er av avgjørende eller vesentlig betydning for en GNF, kan være mer attraktive for digital kriminalitet og angrep fra utenlandsk etterretning.
Samarbeid og informasjonsutveksling gir bedre risikoforståelse
Finansforetak i Norden samarbeider om Nordic Financial CERT (NFCERT). Hensikten er å styrke den nordiske finansnæringens motstandsdyktighet mot cyberangrep. Samarbeid og informasjonsutveksling mellom finansforetakene bidrar til å heve kunnskapen om det aktuelle trussel- og risikobildet, styrker motstandsdyktigheten mot cyberangrep og styrker foretakenes evne til å reagere raskt og effektivt på cybersikkerhetstrusler og nettkriminalitet. NFCERT utarbeider og distribuerer regelmessig trusselrapporter til sine medlemmer. Finanstilsynet erfarer at foretak som ikke deltar i dette samarbeidet, kan være dårligere rustet til å håndtere digitale trusler og uønskede hendelser og oppfordrer foretak til å vurdere bruk av informasjons- og erfaringsdelingstjenester og CERT-er. Bruk av slike tjenester har vist seg formålstjenlig for å styrke foretakenes kapasitet både når det gjelder proaktive tiltak og som støtte i faktiske angrepssituasjoner.
Finanstilsynet er utpekt av Finansdepartementet som sektorvist responsmiljø (SRM) ansvarlig for å håndtere IKT-sikkerhetshendelser i finanssektoren innenfor Finanstilsynets ansvarsområde. Rollen utøves i samarbeid med NFCERT.
Finanstilsynet deltar som partner i Nasjonalt cybersikkerhetssenter (NCSC), som er en arena for nasjonalt og internasjonalt samarbeid innen indentifisering (deteksjon), håndtering, analyse og rådgivning knyttet til digital sikkerhet. Nasjonal sikkerhetsmyndighet (NSM) etablerte NCSC for å styrke Norges motstandsdyktighet og beredskap på det digitale feltet. Deltakelsen gir Finanstilsynet tilgang til oppdatert kunnskap om risikobildet på cybersikkerhetsområdet samt mulighet for å samhandle med andre aktører for å håndtere cybertrusler og -angrep.
Finanstilsynet deltar også i NSMs samarbeidsforum for myndigheter som fører tilsyn med IKT-sikkerhet i sin sektor. Samarbeidsforumet er nyttig for å utveksle informasjon og dele erfaringer mellom tilsynsmyndigheter.
Sikkerhetstesting i finanssektoren
Finanstilsynet og Norges Bank etablerte i 2021 et rammeverk for testing av cybersikkerhet i finansiell sektor (TIBER-NO)[12] i Norge basert på den europeiske sentralbankens TIBER-rammeverk (Threat Intelligence-based Ethical Red-Teaming). Rammeverket gir retningslinjer for testing av finansielle institusjoners evne til å oppdage, beskytte seg mot og håndtere avanserte cyberangrep.
Målet med rammeverket er å bidra til finansiell stabilitet gjennom økt motstandsdyktighet mot cyberangrep i virksomheter som har funksjoner som er kritiske for det norske bank- og betalingssystemet. Kritiske funksjoner og hvilke virksomheter som er ansvarlige for disse, ble identifisert i 2022. De første testene etter rammeverket ble gjennomført i 2023.
Samhandling om rammeverk for vurdering av systemisk IKT-risiko
Med bakgrunn i at systemiske IKT-hendelser kan true finansiell stabilitet samarbeider Finanstilsynet med Norges Bank om å utarbeide et rammeverk og en prosess for vurdering av systemisk IKT-risiko. I arbeidet vil anbefalinger og bruk av definisjoner fra Det europeiske systemrisikorådet (ESRB)[13] samt fra andre myndigheter der det vurderes relevant tas i betraktning.
Europeisk samhandling og informasjonsutveksling ved cyberhendelser
Det europeiske systemrisikorådet (ESRB) publiserte i januar 2022 en strategi for å redusere risikoen for finansiell ustabilitet som følge av cyberhendelser. Det pekes blant annet på behovet for å utvikle makroreguleringsvirkemidler som fanger opp systemisk cyberrisiko. ESRB har opprettet en arbeidsgruppe (ESCG) som skal kartlegge systemisk cyberrisiko og om og hvordan en cyberhendelse kan utløse en systemisk krise. Videre anbefaler ESRB å utvikle et europeisk rammeverk for koordinering ved systemiske cyberhendelser (EU-SCICF), i henhold til bestemmelsen om tverrsektorielt samarbeid i DORA (art. 49). Formålet er å fremme rask kommunikasjon og koordinering mellom tilsynsmyndigheter og andre relevante myndigheter for å forhindre systemsvikt dersom en alvorlig hendelse oppstår. I påvente av opprettelsen av EU-SCICF har ESCG etablert et forum for utveksling av informasjon om cyberhendelser.
Veikart for cybersikkerhet i finansnæringen
For å møte cybertrusselen og bidra til å sette foretakene bedre i stand til å etterleve et stadig mer komplekst og detaljert regelverk på IKT-området har finansnæringen ved Finans Norge etablert et veikart for cybersikkerhet for finansnæringen.[14] Målet med veikartet er at alle aktørene, uavhengig av størrelse, skal ha samme forutsetninger for et sterkt cybervern. En del av arbeidet er å utvikle en helhetlig tilnærming til cybersikkerhet og å etablere hensiktsmessige arenaer for cybersikkerhet innad i næringen og/eller med andre sektorer.
4. Finanstilsynets observasjoner og vurderinger
Kapittel 4 består av tre hoveddeler. Den første omhandler Finanstilsynets tilsynsvirksomhet med IKT- og betalingstjenester i 2023 (kapittel 4.1). Den andre omhandler foretakenes vurdering av viktige forhold knyttet til IKT-virksomheten (kapittel 4.2). Den tredje omhandler Finanstilsynets oppsummering av foretakenes rapportering av risiko og sårbarhet, jf. forskrift om systemer for betalingstjenester og IKT-forskriften (kapittel 4.3).
4.1 Tilsyn med IKT- og betalingstjenester i 2023
Det ble i 2023 gjennomført 21 tilsyn der IKT- og betalingstjenester var tema. Av disse var ti i banker, to i betalingsforetak, to i forsikringsforetak, to i fondsforvaltningsforetak, ett i et inkassoforetak, to i eiendomsmeglingsforetak og to i revisjonsselskap. To av tilsynene i bank inngikk i tematilsyn om antihvitvasking, hvor bankenes systemer for elektronisk overvåking av mistenkelige transaksjoner var en del av tilsynet.
Rapporter fra tilsynene er publisert på Finanstilsynets nettsted. Finanstilsynet vil særlig trekke fram følgende temaer:
Mangelfull styring og kontroll med IKT-virksomheten
Tilsyn i 2023 avdekket mangler i foretakenes overordnede styring av sin IKT-virksomhet. Ved flere av tilsynene ble det pekt på manglende styrebehandling av strategi, rammeverk og retningslinjer på IKT-området, herunder sikkerhetskrav, samt manglende rapportering av IKT-risiko til styret. Finanstilsynet understreket viktigheten av at rammeverk og retningslinjer er tydelige og avklarte for å sikre at foretaket opererer i tråd med styrets risikotoleranse. Ved enkelte tilsyn i mindre finansforetak fant Finanstilsynet grunnleggende mangler i styringen av IKT-virksomheten, som fravær av dokumentasjon og rutiner for etterlevelse av kravene i IKT-forskriften.
Mangelfull oppfølging av IKT-risiko i andre forsvarslinje
Finanstilsynet fant ved tilsyn i 2023 mangelfull oppfølging av IKT-risiko i enkelte foretaks andrelinje[15] og stilte spørsmål ved om denne funksjonen gjør tilstrekkelige egne og uavhengige kontroller av IKT-området. Finanstilsynet pekte på at det er viktig at andre forsvarslinje har tilstrekkelig IKT-kompetanse til å kunne kontrollere og stille krav til førstelinjen, herunder evne til å vurdere om foretakets IT-sikkerhetspolicy er operasjonalisert.
Manglende ressursbruk og fagkompetanse
Finanstilsynet stilte ved flere tilsyn spørsmål om foretaket har tilstrekkelige ressurser og kompetanse på IKT-området i både første og andre forsvarslinje. Nøkkelpersonrisiko ble også framhevet i enkelte tilsyn.
Mangler i leverandøroppfølgingen
Finanstilsynet fant ved tilsyn i 2023 mangler i foretakenes oppfølging av utkontraktert virksomhet. Foretakene må sikre at de har tilstrekkelig kompetanse og rutiner til å følge opp og kontrollere at utkontraktert IKT-virksomhet oppfyller kravene i IKT-forskriften. Spesielt viktig er det å følge opp endringshåndteringen hos leverandører og å kontrollere at disse etterlever foretakets sikkerhetskrav. Finanstilsynet pekte videre på at vurderingen av leverandørers etterlevelse av foretakets krav også må omfatte andrelinjekontroller eller revisjonsgjennomganger fra tredjelinjen av den utkontrakterte IKT-virksomheten.
|
Konsentrasjonsrisiko Finanstilsynet vil peke på at høy konsentrasjonsrisiko, som oppstår ved bruk av en og samme leverandør for mange eller alle applikasjoner, kan gjøre et foretak særlig sårbart for inntrenging i foretakets IKT-infrastruktur. Dette gjelder særlig dersom ett og samme tilgangsstyringssystem benyttes på hele eller store deler av foretakets applikasjonsportefølje. I slike tilfeller er det spesielt viktig at foretaket påser at for eksempel produksjons- og administrative systemer er adskilt på en måte som hindrer at inntrengere kan ta over hele foretakets IKT-virksomhet. Videre må foretaket påse at brukere med sterke rettigheter og bred tilgang underlegges strenge rammer for hvordan disse skal brukes. |
Mangler i kriseberedskapen
Ved tilsyn i 2023 ble flere mangler knyttet til kriseberedskapen påpekt. En del foretak hadde ikke analysert konsekvensene av avbrudd for virksomheten og manglet tilstrekkelige beredskapsløsninger. Finanstilsynet påpekte også mangelfull opplæring, øvelse i og test av kriseberedskapen og at det ikke var gjennomført beredskapsøvelser med cyberangrep som scenario.
|
Konsekvensanalyse for virksomheten Konsekvensanalyse for virksomheten (Business Impact Analysis, BIA) er en analyse som gjennomføres for å kartlegge effekten en hendelse vil kunne ha på et foretaks forretningsprosesser og tjenester. En slik analyse tar utgangspunkt i kartlegging og vurdering av prosesser og tjenester som er kritiske for foretakets virksomhet. Vurderingen omfatter også en kartlegging og klassifisering av aktiviteter og ressurser som er nødvendige for virksomhetskritiske prosesser og tjenester. En slik analyse av virksomheten legger videre grunnlaget for foretakets kontinuitets- og kriseplaner. Foretaket må sikre at test- og øvelsesaktiviteter, også av utkontraktert virksomhet, tar utgangspunkt i foretakets konsekvensanalyser for å sikre at kontinuitet i kritiske forretningsprosesser og -tjenester ivaretas ved en uønsket hendelse. Foretaket bør etablere rutiner for gjennomføring av konsekvensanalyser for virksomheten for å sikre at kontinuiteten i forretningskritiske tjenester og prosesser ivaretas. Det framgår av både Den europeiske bankstilsynsmyndighetens (EBA) retningslinjer om IKT-sikkerhet og -risiko[16] og Den europeiske forsikringstilsynsmyndighetens (EIOPA) retningslinjer om IKT-sikkerhet og styring[17] at foretakene bør utarbeide konsekvensanalyse for virksomheten. |
Mangelfull tilgangsstyring og oppfølging av logger
Finanstilsynet fant ved tilsyn i 2023 at flere foretak hadde mangelfulle rutiner for å kontrollere tilgangene til ansatte hos leverandørene, inkludert mangelfull rapportering fra leverandørene på dette. Finanstilsynet pekte også på at tilganger som leverandørene har til foretakenes driftsmiljøer, i større grad bør være tidsbegrensede ved at tilganger tildeles og kontrolleres for det enkelte oppdrag. Videre pekte Finanstilsynet på at foretakene manglet rutiner for å kontrollere logger over tilgangsaktivitet.
Manglende kvalitet på konfigurasjonsdatabasen
Flere foretak benytter løsninger for å dokumentere endringer i sine løsninger, såkalt konfigurasjonsdatabase (Configuration Management Database – CMDB). Med god kvalitet og tilstrekkelig detaljeringsnivå på informasjonen vil CMDB kunne bidra til å redusere risikoen ved endringer og styrke arbeidet med beredskap og kontinuitet. Ved flere av tilsynene i 2023 stilte Finanstilsynet spørsmål om foretakenes CMDB-løsninger hadde tilstrekkelig kvalitet og detaljeringsnivå og om prosessen for senere oppdatering av informasjonen var tilstrekkelig automatisert.
4.2 Foretakenes vurdering av viktige forhold knyttet til IKT-virksomheten
Foretak og leverandører av IKT-tjenester har i samtaler med Finanstilsynet pekt på flere viktige forhold knyttet til IKT-virksomheten.
Virksomhetsstyring
Mange foretak viser til økt forståelse for viktigheten av en velfungerende styringsmodell på IKT-området og arbeider med å etablere slik modell. Som i 2022 viser foretakene til at egen størrelse har betydning for evnen til å etablere en organisasjon med en klar deling av første- og andrelinjens internkontrolloppgaver. De mindre foretakene finner det utfordrende å ha kontroll på etterlevelsen av alle regulatoriske krav.
Flere foretak opplyser om svakheter knyttet til virksomhetsstyringen av utkontraktert IKT-virksomhet. Foretakene mottar avtalefestede rapporter fra leverandører, men innholdet blir ikke i tilstrekkelig grad gjennomgått, behandlet og fulgt opp i foretaket. Blant annet blir det i liten grad vurdert om rapportene er dekkende for foretakets tjenestekjøp.
Kompetanse og kompetansestyring
Foretakene opplyser at det generelt er blitt enklere å rekruttere IKT-kompetanse som følge av et mindre stramt arbeidsmarked og svakere etterspørsel i konsulentbransjen. Tilgangen på gode kandidater er bedret, og fast ansettelse av IKT-spesialister har økt. Foretakene peker likevel på at det fortsatt er utfordringer med tilgang til og fornying av kompetanse på eldre teknologi. Av den grunn har flere foretak igangsatt prosesser for overgang til nyere teknologi. Mange foretak opplyser også om økt forståelse internt av betydningen IKT har for virksomheten og av mulighetene IKT gir for utvikling av virksomheten.
Leverandørstyring
Utviklingen med lengre og mer komplekse leverandørkjeder gir foretakene større utfordringer med å med å følge opp leverandørene godt nok. Området krever en økt ressursinnsats, som er særlig krevende for de mindre foretakene. Videre har foretakene tidvis utfordringer med å oppnå aksept for foretakets egne strategier og policyer hos underleverandører. Flere foretak har opplyst at de ser hen til bestemmelser i det kommende DORA-regelverket for å skjerpe kravene som stilles til leverandører og deres leveranser.
Digital kriminalitet
Foretakene vurderer at phishing og ransomware utgjør den største trusselen mot virksomheten. Dette skyldes blant annet at metodene som benyttes, har blitt mer sofistikerte. Svindelforsøk blir dermed vanskeligere å avdekke, både for foretakene og for deres kunder.
Av digital kriminalitet er det hovedsakelig DDOS-angrep som direkte rammer interne systemer. Foretakene omtaler slike angrep som en del av "den vanlige støyen/normalen" og viser til at de har gode løsninger for å håndtere slike angrep.
Flere foretak peker på innsidetrussel som en ny og voksende risiko. Den digitale sikkerheten i foretakene er forbedret, og svindlere og ondsinnede aktører ser på rekruttering av innsidere som en metode for å omgå sikkerhetstiltakene. Slik rekruttering kan være rettet både mot foretakene og mot deres leverandører.
Informasjonslekkasje
Foretakene gir uttrykk for at klassifisering av informasjon og overvåking av informasjon som sendes ut på e-post eller kopieres til eksterne lagringsenheter eller private skytjenester, er viktig for å hindre at uvedkommende får tilgang til informasjon og påfører foretakene eller deres kunder skade.
|
Klassifisering Det er viktig at foretakene har klassifisert sine dokumenter med hensyn til blant annet konfidensialitet og kritikalitet, slik at de kan etablere løsninger som bidrar til å forhindre uthenting eller deling av data. |
IKT-drift
Foretakene uttrykker at driftsstabiliteten har vært god det siste året. De fleste rapporterer liten endring i driftsavvik fra 2022 til 2023. Hendelser som har påvirket driftsstabiliteten, har ofte oppstått hos driftsleverandører. Det har likevel vært noen problemer knyttet til DDOS-angrep o.l., men disse har i liten grad påvirket tilgjengeligheten til foretakenes løsninger. Flere foretak arbeider med kostnadseffektivisering, blant annet ved å flytte hele driftsmiljøet over til skytjenester, sanere eldre systemer for å redusere teknisk gjeld eller reetablere intern kompetanse.
Geopolitiske forhold
Foretakene legger fortsatt stor vekt på vurdering av landrisiko og andre geopolitiske forhold i sine risikovurderinger på grunn av den sikkerhetspolitiske situasjonen globalt. Det er i 2024 valgår i flere land med betydelig eksport av IKT-tjenester, og foretakene vil følge nøye med på resultatene. Foretakene vurderer at risikoen knyttet til utkontrakterte tjenester fra utenlandske leverandører, særlig utenfor EØS, har økt de siste årene. Dersom risikoen er vurdert å være høyere enn foretakets fastsatte risikotoleranse, er tjenesteutførelsen i flere tilfeller hentet tilbake fra utlandet til leverandører i Norge eller foretaket selv.
Beredskap og krisehåndtering
I kontakten med foretakene kommer det fram at manglende analyser av konsekvenser ved en krise, mangelfull opplæring og øvelse i krisehåndtering, mangler i test av kriseløsninger og mangelfulle kriseløsninger kan gi foretak utfordringer med å opprettholde kritiske IKT-tjenester ved alvorlige avvik på normalt driftssted. Oppfølging av beredskapsløsninger er utfordrende, særlig der foretakene skal utarbeide og kommunisere rammene for testing av beredskapsløsninger til tjenesteleverandør. Flere foretak har nå etablert beredskapsprosesser, men arbeidet vil videreføres for å sikre at blant annet testing og øvelser er på et akseptabelt nivå.
Endringsstyring
Manglende kontroll av endringer i driftsoppsettet kan føre til brudd i kritiske forretningsprosesser og til at foretaket eksponeres for digital kriminalitet. Foretakene har blitt mer robuste gjennom standardiserte rutiner for håndtering av endringer. Dette gjelder også ut mot leverandører. Små foretak peker på at de har mindre kontroll med endringer som gjennomføres hos leverandører, samt at lange verdikjeder kompliserer kontrollprosessene.
Når det gjelder bruk av kunstig intelligens (KI) er foretakene tydelige på at en forsiktig tilnærming er viktig og at retningslinjer for bruk av slike løsninger må være tydelige. Endringer i KI-løsninger må skje i henhold til foretakets rutiner for håndtering av endringer for å sikre at risikoen knyttet til bruk av løsningene ikke bryter med foretakets fastsatte risikotoleranse.
Tilgangsstyring
Manglende kontroll med og overvåking av utvidede tilgangsrettigheter for ansatte og personell hos leverandører kan skade foretaket som følge av bevisste eller ubevisste operasjonelle feil. Dette kan også føre til informasjonslekkasje. Foretakene vurderer det som viktig at leverandørers tilganger blir fulgt tett opp. Tilgangene settes som oftest til det som er nødvendig for å utføre oppgaver, aktivitetene logges, og det varsles om aktiviteter som ikke er innenfor oppdragsbeskrivelsen. Likevel oppgir flere foretak at de ikke alltid følger opp leverandører i like stor grad som interne brukere når det gjelder tildeling og bruk av utvidede tilgangsrettigheter.
Datakvalitet
Mangler eller feil i data kan føre til at analyser, kontroller og beslutninger utføres på feil eller for svakt grunnlag. Dette kan blant annet omfatte feil i kredittvurderinger, feil i kontroller for å avdekke hvitvasking eller svindel, og feil i risikovurderinger. Styring og kontroll av data er et område alle foretak framhever som viktig. Flere foretak peker på at datainnsamling og korrekt merking av data er viktig for den videre verdiskapingen i virksomheten, blant annet ved bruk av KI.
4.3 Oppsummering av foretakenes rapportering av risiko og sårbarhet
Finanstilsynet har innhentet betalingstjenestetilbyderes og andre foretaks vurderinger av risiko og sårbarhet knyttet til IKT-virksomheten, jf. forskrift om systemer for betalingstjenester § 2 tredje ledd sammenholdt med IKT-forskriften § 3. Risikorapporteringen for 2023 omfattet flere foretak enn tidligere. Enkelte spørsmål i rapporteringsskjemaet er endret fra tidligere år, og risikokategorien "Svært høy" er lagt til.[18] For nærmere detaljer vises det til vedlegg 1.
Områder med høyest risiko
I rapporteringen ble foretakene bedt om å oppgi hvilken risiko de vurderer som den høyeste. Flere foretak trakk fram svindel der svindleren har lurt til seg kundens Bank-ID. Videre peker flere på faren for cyberangrep, hvorav noen viser til geopolitiske forhold. Kompleks infrastruktur blir trukket fram av flere foretak. Her vises det blant annet til utfordringen med å holde oversikt over leverandørkjeder og at det kan være vanskelig å forutse feil som kan oppstå ved endringer. Noen foretak peker også på utfordringer med å beholde kompetanse og på nøkkelpersonrisiko, særlig i sammenheng med eldre systemer.
Styring og kontroll
Av innrapporteringen framgår det at de fleste foretak på et overordnet nivå anslår risikoen forbundet med styring og kontroll som lav også i 2023. Finanstilsynet har merket seg at det er en større andel av mindre og mellomstore foretak enn store foretak som vurderer risikoen som moderat eller høy. Det sammenfaller med Finanstilsynets erfaring fra tilsynsvirksomheten.
Flere enn tre av fire foretak mener at IKT-systemene gir et godt grunnlag for styring med og kontroll av virksomheten, at prosessen for risikoanalyse er godt innarbeidet, og at ledelsen har godkjent dokumenterte mål og prosedyrer for IKT-sikkerhet. De aller fleste foretakene rapporterer etterlevelse av prinsippet om de tre forsvarslinjer. Likevel rapporterer mer enn 40 prosent at risikoen er moderat eller høy når det gjelder oversikt over hvilke kontroller foretaket bygger på innenfor de tre forsvarslinjene, brutt ned på kontroller som bidrar til å sikre henholdsvis integritet, konfidensialitet og tilgjengelighet. Det framgår av foretakenes kommentarer at de fortsatt i varierende grad har fullstendig og enhetlig dokumentasjon av kontroller innen de enkelte ansvarsområdene og forsvarslinjene. De aller fleste som rapporterer moderat eller høy risiko på spørsmålet, indikerer en positiv eller stabil utvikling.
Som i 2022 rapporterte om lag tre av fire foretak i 2023 lav risiko knyttet til løpende oppfølging av leverandører og leveranser med hensyn til leveransekvalitet. Noe under to av tre foretak vurderer at det er lav risiko når det gjelder bestillerkompetanse. Selv om flere av foretakene rapporterer om ressurs- og kompetansehevende tiltak i løpet av 2023, framhever også flere foretak avhengighet av ekstern kompetanse, både teknisk, juridisk og faglig.
Mer enn ett av tre foretak mener det er middels eller høy risiko forbundet med manglende eller mangelfulle retningslinjer knyttet til IKT-sikkerhet, herunder risikovurderinger av betalingstjenestevirksomheten og tiltak for å beskytte brukere mot identifiserte risikoer. Mens risikoen i 2022 ble vurdert å være økende, vurderer de fleste den som stabil i 2023. De fleste foretakene mener det fortsatt er lav risiko knyttet til tilstrekkelig bevisstgjøring og sikkerhetsopplæring av medarbeidere.
Beskyttelse av data
For beskyttelse av data vurderer mer enn halvparten av foretakene risikoen som lav. Flere foretak vurderer risikoen som moderat eller høy når det gjelder gode retningslinjer for klassifisering og beskyttelse av strukturert og ustrukturert data. Foretakene som vurderer at risikoen er høy viser til at dataklassifisering mangler eller er under arbeid og at ustrukturert informasjon sorteres manuelt.
Risikoen forbundet med inndeling av nettverket i sikkerhetssoner basert på en sikkerhetsgradering av data og systemer er området flest foretak vurderer som høy. Likevel vurderer over halvparten av foretakene risikoen som lav. Foretakene som vurderer risikoen som høy viser blant annet til at nettverket ikke er inndelt i soner og at dette har vært vurdert som kritisk over tid. Et foretak har vurdert risikoen som svært høy.
Et betydelig flertall av foretakene rapporterer også for 2023 om lav risiko for at det gjøres uautoriserte endringer i foretakets systemer, og for at tjenestene ikke lenger fungerer som de skal. Når nye løsninger utvikles, rapporterer de aller fleste av foretakene at de tar i betraktning behovene til alle forretningsområdene. Foretakene rapporterer om lav risiko knyttet til sikring av data under både transport og lagring.
Foretakene samler inn informasjon om drift, transaksjoner og svindel, og benytter informasjonen til å gjøre tjenestene sikrere og mer stabil. Omfanget og konsekvensene av feil i applikasjoner og data som påvirker dataenes integritet rapporteres begge å være lave.
Endringshåndtering
Samlet sett er endringshåndtering et område der mer enn halvparten av foretakene anser risikoen som lav. Risikoen knyttet til kompleksitet i IKT-systemene er den flest foretak anser som høy, hvorav omtrent halvparten er banker, herunder flest sparebanker. Samtidig vurderer under halvparten av foretakene risikoen som høy eller moderat.
Omtrent halvparten av foretakene vurderer risikoen for at nye regulatoriske krav medfører behov for endringer i systemer, som moderat eller høy. Foretakene som vurder risikoen som høy, viser til et stort omfang av nytt regelverk med knapp implementeringstid, som blant annet PSD2, antihvitvasking, GDPR og DORA. Videre viser foretakene til at nytt regelverk medfører nye rapporteringskrav, og at foretakene ofte må oppdatere systemer og rutiner. Det totale omfanget av krav trekkes også fram, samt at mange krav er krevende å etterleve.
Drift
Over halvparten av foretakene vurderer risikoen forbundet med drift som lav. Flest foretak vurderer risikoen som moderat eller høy for at foretaket ikke regelmessig gjennomgår planer, prosesser og prosedyrer for kontinuitet og reetablering av kritiske IKT-systemer og -tjenester. Foretakene som vurderer risikoen som høy, viser blant annet til at det kun gjøres en årlig gjennomgang, men at det med fordel kunne skje oftere, eller at den skjer ad hoc.
Omtrent en tredjedel av foretakene vurderer risikoen for at utkontrakteringsoversikten ikke er oppdatert, som moderat eller høy. Det samme gjelder for om det er tilstrekkelige ressurser og kompetanse i andre- og tredjelinjen, herunder om leveranser kontrolleres regelmessig. Foretakene som vurderer risikoen som høy, viser til at omfanget av utkontrakteringer øker, at det mangler ressurser eller foreligger nøkkelpersonrisiko, og at andrelinjen mangler kompetanse eller har vært involvert kun i de største kontraktene.
Sikkerhet
Mer enn halvparten av foretakene vurderer sikkerhetsrisikoen forbundet med drift som lav. Flest foretak vurderer risikoen som høy for at foretaket ikke regelmessig gjennomfører sikkerhetstester av tjenestene. Foretakene som vurderer risikoen som høy, viser til at tester ikke er gjennomført, eller at det ikke testes regelmessig. Videre vises det til at det ikke er gjennomført penetrasjonstest, at tester mangler, eller at foretaket ikke er kjent med omfanget av testing som følge av at IKT er utkontraktert. Samlet sett vurderer imidlertid under halvparten av foretakene risikoen som moderat eller høy.
Omtrent halvparten av foretakene vurderer risikoen som moderat eller høy for at det er en utfordring å få tilgang til IKT-sikkerhetskompetanse, herunder kompetanse til å stille krav til leverandører og følge opp leveransen. Foretakene som vurderer at risikoen er høy, viser til et stramt arbeidsmarked for god og riktig IKT-sikkerhetskompetanse og til at både rekruttering og innleie av konsulenter er krevende. Videre vises det til at det er utfordrende å dublere sikkerhetskompetansen i et lite foretak, slik at nøkkelpersonrisikoen blir stor.
ID-tyveri
Flere foretak viser til at risikoen for ID-tyveri også i 2023 var en av foretakets høyeste risikoer. Risikoen for ikke å ha gode tiltak for å forhindre at en angriper tar over og misbruker en kundes ID og/eller en systembrukers ID, vurderes av flere som høy og/eller stigende. Spesielt vises det til risikoen for at en svindler overtar en kundes BankID. Risikoen samlet sett er imidlertid uendret fra 2022 og dermed stabil. Foretakene oppgir at de har stort fokus på sitt kontrollarbeid, inklusive antisvindeltiltak, og at de gjør bruk av sterk kundeautentisering.
Interne misligheter
Tilbakemeldingene indikerer at foretakene hadde søkelys på dette trusselområdet også i 2023. Risikoen for interne misligheter ble av flere foretak vurdert som en av de høyeste risikoene for foretaket. Likevel vurderte godt over halvparten av foretakene risikoen som lav når det gjelder kontrollen med interne misligheter og mislighetsscenarioer, noe som er en liten økning fra 2022. Risikoen knyttet til at logging og varsling ikke er tilstrekkelig, vurderes å være lav av to tredjedeler av foretakene, mens en tredjedel vurderer risikoen som moderat. Det er en del lavere enn i 2022, da halvparten av foretakene vurderte denne risikoen som moderat. Foretakene benytter tjenestedeling ("fire øyne-prinsippet") så langt som mulig.
IKT-støtte for anti-hvitvasking og -terrorfinansiering
Generelt er hvitvasking og terrorfinansiering et område hvor foretakene i tidligere år har vist til betydelig risiko. I motsetning til rapporteringen for 2022 vurderer foretakene nå risikoen for hvitvasking og terrorfinansiering i liten grad som en av de største risikoene.
For 2023 vurderer foretakene gjennomgående risikoen som moderat for at IKT-systemene ikke gir et samlet bilde av kunde, kunderelasjoner og kundeatferd. Selv om enkelte foretak viser til mange falske positive alarmer, har også risikoen for at det ikke er tilstrekkelig presisjon knyttet til flagging av mistenkelige transaksjoner, gått ned fra moderat til lav i 2023.
I underkant av én av tre banker, kredittforetak og finansieringsforetak mener at det er moderat risiko for at systemene for transaksjonsovervåking ikke fanger opp alle betalingstransaksjoner som bør undersøkes nærmere. Noen få vurderer risikoen som høy, og av disse viser enkelte til hendelser som følge av feil i forbindelse med konvertering av kjernesystemer.
Et betydelig flertall av foretakene mener at det er lav eller moderat risiko forbundet med hvitvaskingssystemenes gjenkjennelse av mistenkelige mønstre over tid. I motsetning til ved rapporteringen for 2022 er det i 2023 ingen av foretakene som har vurdert risikoen som høy for at sanksjonsscreeningsystemet ikke har høy presisjon i treff på listeførte personer og foretak i 2023. Fire av fem foretak vurderer risikoen som moderat.
Andre observasjoner
I rapporteringen har flere foretak svart at noen påstander ikke er relevante for dem. Finanstilsynet slutter seg til vurderingen for flere av påstandene, men for andre mener Finanstilsynet at påstanden er relevant for alle foretak. Blant annet har
- 21 foretak svart at risiko knyttet til utfordringer med å få tilgang til IKT-sikkerhetskompetanse, herunder kompetanse til å stille krav til leverandører og følge opp leveransen, ikke er relevant.
- 32 foretak svart at risiko knyttet til om programmet for regelmessig bevisstgjøring og opplæring av medarbeidere når det gjelder sikkerhet er godt, ikke er relevant.
- 19 foretak svart at risiko knyttet til regelmessig testing av sikkerheten i tjenestene (f.eks. penetrasjonstesting, testing i henhold til internasjonalt anerkjente standarder, sårbarhetsscanning) ikke er relevant.
Det er mulig at foretakene som har svart at påstanden ikke er relevant for dem, har lagt til grunn at området ikke har noen risiko. Risikoen må vurderes selv om IKT-virksomheten er utkontraktert, siden foretaket fortsatt har ansvaret selv om denne virksomheten er helt eller delvis utkontraktert.
5. Svindel
Betalingstjenestetilbydere, dvs. banker, kredittinstitusjoner og e-penge- og betalingsforetak og filialer av slike foretak med hovedsete i annen EØS-stat, rapporterer svindelstatistikk til Finanstilsynet hvert halvår. Resultatene og utviklingen presenteres i egne rapporter på Finanstilsynets nettsider. I det følgende omtales noen hovedfunn fra 2023.
Det var i 2023 en betydelig økning i samlede tap sammenlignet med tidligere år, se tabell 5.1. Økningen i tap fra 2022 til 2023 var på 314 mill. kroner, som utgjør om lag 51 prosent. Økningen er størst for svindel ved kontooverføringer, om lag 64 prosent. For svindel med bruk av betalingskort er økningen på om lag 28 prosent. Målt som andel av samlet transaksjonsverdi utgjør samlede tap 0,0014 prosent, som er på nivå med fjoråret.
Tabell 5.1 Samlede tap ved svindel. Beløp i mill. kroner
|
|
Svindeltransaksjoner - kontooverføringer (nettbank m.m.) |
Svindeltransaksjoner med betalingskort rapportert av kortutsteder |
Samlede tap |
|---|---|---|---|
|
2023 |
647 |
281 |
928 |
|
2022 |
395 |
219 |
614 |
|
2021 |
347 |
162 |
508 |
Kilde: Finanstilsynet
Aktørene i markedet jobber aktivt med antisvindeltiltak for å avdekke og avverge svindel. Bankene stopper en betydelig andel av svindelforsøkene, og samlet ble det forhindret tap tilsvarende 2 072 mill. kroner i 2023, for kontooverføringer (768 mill. kroner) og kortbetalinger (1 303 mill. kroner).
Svindelmetodene er mange, og svakheter utnyttes. For eksempel kan en mangelfull konfigurasjon av e-post-oppsettet gjøre det mulig for svindlere å sende e-poster hvor de utgir seg for å være et finansforetak.[19] Den utstrakte bruken av BankID og ulike innloggingskontekster gir en form for "slitasje" på brukerens kritiske sans ved innlogginger med BankID.
I tillegg til at automatiseringen og effektiviseringen har medført at svindlede beløp overføres raskere, utvikler også svindlerne stadig nye metoder for svindel. Såkalt "sikker-konto"-svindel, som har vært benyttet blant annet i Sverige og Danmark, ble i 2023 også tatt i bruk i Norge. Offeret blir kontaktet av svindleren, som utgir seg for å være fra banken eller politiet, og får beskjed om at uvedkommende har fått tilgang til bankkontoen. Deretter får offeret beskjed om å flytte midlene til en "trygg" konto som angivelig tilhører banken eller politiet, men som er kontrollert av svindleren. Om svindleren utgir seg for å være fra politiet, får kunden opplyst at banken ikke må varsles, da det er en pågående politisak.
Ny teknologi som kunstig intelligens og "deepfake" tas i bruk i økende grad av svindlere. Så langt er bruken knyttet til å gjøre svindelmetoder mer troverdige gjennom forbedret språk, mer overbevisende innhold og stemmeforfalskning. Det er rimelig å anta at bruken av slike verktøy ved svindel vil øke.
Et høyere antall svindelforsøk og økte tap gir samfunnsmessige konsekvenser og er belastende for kundene som blir utsatt for svindelen. Det er viktig at befolkningen har tillit til bruk av både elektronisk kommunikasjon og elektroniske betalingstjenester. Det stiller krav til tjenestetilbyderne om å arbeide videre med å utvikle effektive antisvindeltiltak. Svindel ved kontooverføringer der svindleren iverksetter betalingen er redusert til tilnærmet null etter at tjenestetilbydere har iverksatt tiltak.
I tillegg til det enkelte foretaks egne tiltak må også næringen samlet og myndighetene samarbeide for å møte utfordringene. Både bankene, Finans Norge, telekom-operatører og myndigheter advarer jevnlig publikum om aktuelle svindelmetoder. I Finans Norges rapport "Trygge forbrukere" har finansnæringen foreslått gjennomføring av en rekke antisvindeltiltak i regi av enten bankene selv, BankID BankAxept A/S eller Finans Norge.[20] Nasjonal kommunikasjonsmyndighet (Nkom), Økokrim og Finans Norge har etablert en nasjonal ekspertgruppe for å forhindre digital svindel med fokus på taletelefoni og SMS-kommunikasjon.[21] Ved mange av svindelforsøkene i Norge er bruken av ekomsvindel (svindel ved elektronisk kommunikasjon) og telefonsvindel (vishing) en fellesnevner.
Den europeiske banktilsynsmyndigheten (EBA) har analysert innrapporterte svindeldata og publiserte en uttalelse 29. april 2024 med anbefalinger om å styrke bestemmelser knyttet til antisvindel ytterligere i forslaget til betalingstjenesteforordning (PSR) og det tredje betalingstjenestedirektivet (PSD3)[22].
6. Hendelsesrapportering
Det følger av IKT-forskriften at operasjonelle hendelser eller sikkerhetshendelser skal rapporteres til Finanstilsynet uten ugrunnet opphold. Hendelsesrapporteringen bidrar til å sikre et korrekt og rettidig bilde av risikonivået i finanssektoren og til å avdekke mønstre og sammenhenger som det kan være vanskelig å oppdage for det enkelte foretak. Også i 2023 ble enkelte hendelser fulgt særskilt opp av Finanstilsynet.
Det viktigste er likevel hvordan det enkelte foretak, inkludert foretakets leverandører, håndterer hendelser for å sikre rask gjenoppretting og følger opp med relevante preventive tiltak. Foretaket må i tillegg påse at det iverksettes tiltak hos leverandøren der denne er ansvarlig for hendelsen.
6.1 Økning i antall rapporterte hendelser
Foretakene rapporterte 408 IKT-hendelser til Finanstilsynet i 2023, som er en økning på om lag 40 prosent fra året før, se fig. 6.1. Økningen skyldtes hovedsakelig at flere hendelser rammet flere foretak samtidig, og at ti hendelser hos ulike leverandører var grunnlag for 95 rapporter til Finanstilsynet. Dette var hendelser med feil saldo, mangler i AML-systemene, avvik i BankID eller samme logiske applikasjonsfeil.
Av de 408 innrapporterte hendelsene var 15 sikkerhetshendelser, mens de øvrige var operasjonelle hendelser.[23]
Fig. 6.1 Antall rapporterte IKT-hendelser
For nærmere informasjon om tallgrunnlaget, se vedlegg 4. Kilde: Finanstilsynet
Noen banker ble rammet av enkelte hendelser som medførte manglende tilgang til deler av betalingstjenestene i 5–11 timer, men samlet var det få hendelser som medførte manglende tilgang til betalingstjenestene i mer enn tre timer.
Mange hendelser medførte at kundene fikk feil saldo på sin konto på grunn av dupliserte eller manglende transaksjoner. Disse hendelsene oppsto hos leverandører som flere banker benytter, og hver av dem ble rapportert av mange banker. Finanstilsynet vurderer hendelser som medfører feil saldo slik at kundene ikke kan stole på kontoutskriften, som spesielt alvorlige. Korrekt saldo ble gjenopprettet først flere dager senere. Flesteparten av transaksjonene var knyttet til straksbetalinger. Det var også noen slike transaksjoner som var knyttet til kortbetalinger, blant annet hendelsen med dupliserte VISA- og Mastercard-transaksjoner som rammet en rekke banker etter påsken 2023.
6.2 Sikkerhetshendelser
Det ble rapportert 15 sikkerhetshendelser i 2023, som er noe færre enn året før. Noen av hendelsene var alvorlige for foretakene som ble rammet, men ingen sikkerhetshendelser påvirket den finansielle infrastrukturen eller fikk alvorlige konsekvenser for de større finansforetakene.
Seks av hendelsene var tjenestenektangrep (DDoS) rapportert fra ulike foretak på ulike tidspunkt.
Flere av hendelsene gjaldt angrep på utenlandske underleverandører i verdikjeden. Sårbarheter i programvare ble utnyttet til å komme på innsiden hos leverandøren, og det ble krevd løsepenger for å låse opp systemene eller la være å publisere eller stjele data. Slike hendelser er krevende å håndtere også for foretakene som er indirekte angrepet gjennom sin underleverandør. Det er nødvendig å gå grundig gjennom servere og systemer for å kartlegge om kompromitteringen hos underleverandøren kan ha spredd seg. Ingen av hendelsene i 2023 fikk alvorlige konsekvenser for de norske finansforetakene som benyttet tjenester fra underleverandørene som ble angrepet.
To av sikkerhetshendelsene gjaldt kompromitterte e-post-kontoer som ble benyttet som utgangspunkt for svindel eller til å sende spam.
En bank rapporterte om en hendelse der banken avdekket et sikkerhetshull i egne systemer som hadde blitt utnyttet. Svindlerne misbrukte en forsinkelse i oppdateringen av saldo til å overføre midler fra kontoer opprettet for svindelformål for samtidig å ta ut kontanter fra de samme kontoene, noe som medførte overtrekk. Svindlerne ble arrestert.
6.3 Akseptansetest av endringer gjennomført av leverandør
Det ble rapportert mange hendelser om feil i løsninger etter planlagte endringer gjennomført av leverandør. Feilene var knyttet til renteberegninger, purregebyr og andre gebyr, kostnadsberegning som grunnlag for lån, varslingsbrev, tokenisering av betalingskort og kodifisering i AML-systemene. Feilene burde vært avdekket i testprosessen og understreker betydningen av grundig testing hos leverandør og akseptansetesting og interne kontroller i foretakene. Det enkelte foretak er ansvarlig for sine systemer og tjenester uavhengig av om det er leverandøren eller foretaket selv som har utviklet dem.
6.4 Hendelser i systemer for å avdekke hvitvasking og terrorfinansiering
Det ble i 2023 rapportert 26 hendelser om avvik i foretaks elektroniske løsninger for transaksjonsovervåking for å avdekke hvitvasking og terrorfinansiering. Flere av de rapporterte hendelsene var forårsaket av samme feil hos en felles leverandør. Ofte er årsaken til avvik at endringer har medført feil merking av transaksjoner slik at de ikke overvåkes med korrekt regelsett. Spesielt ofte gjelder det feil/manglende merking av utenlandstransaksjoner slik at disse overvåkes som innenlandstransaksjoner. Det var også hendelser der transaksjoner falt ut av overvåkingen grunnet fusjoner eller konvertering til nye systemer. Ingen av hendelsene i 2023 avdekket manglende overvåking over flere år.
6.5 Hendelser etter foretakstype
Figur 6.3 gir en oversikt over antall hendelser etter foretakstype, fordelt på operasjonelle hendelser og sikkerhetshendelser. Hendelsene er nærmere omtalt nedenfor.
Figur 6.3 Rapporterte hendelser i 2023 sammenlignet med 2022 fordelt på type foretak
Kilde: Finanstilsynet
Banker
Økningen i antall rapporterte hendelser i 2023 skyldtes først og fremst på et høyere antall rapporter fra bankene. Flere banker sendte egne rapporter, og mange rapporterte om samme hendelse hos en felles leverandør. Det var færre alvorlige hendelser som rammet tilgjengeligheten til betalingstjenestene, men langt flere hendelser som medførte feil saldo.
Hendelser med feil saldo på kunders konti
Finanstilsynet mottok 60 rapporter om feil saldo på kunders konti. Seks av rapportene var om hendelser som rammet kun ett foretak, mens 54 av rapportene var om seks hendelser oppstått hos ulike leverandører. Sju av hendelsene var knyttet til straksbetalinger og tre til kortbetalinger, mens to gjaldt andre problemer med dupliserte filer. Ved mange av hendelsene tok det flere dager før saldo ble korrigert. Finanstilsynet vurderer hendelser som medfører feil saldo, som spesielt alvorlige.
Kortbetalinger
Det oppsto kapasitetsproblemer for håndtering av Visa- og Mastercard-transaksjoner etter helligdagene i påsken 2023. Dette førte til doble transaksjoner og feil saldo på kundenes konto.
Straksbetalinger
Driftsavvik knyttet til straksbetalinger sto for en stor økning i hendelser som resulterte i feil saldo på konto. Årsaken ser ut til være driftsproblemer med manglende kompletthetskontroll av antall filer, feil rekkefølge på kjøring av filer, manglende rutiner ved avbrudd i batch-kjøringen, databaseproblemer og sertifikatproblemer.
For Finanstilsynet framstår det som at de aktuelle driftsmiljøene har problemer med å håndtere avvik på grunn av den økte kompleksiteten som følger med driften av straksbetalinger, der betalinger skal ha umiddelbart oppgjør. Dette har økt risikoen for alvorlige feil. Etter Finanstilsynets vurdering må foretakene iverksette tiltak for å bedre driftsrutinene og opplæringen slik at det sikres trygg drift av straksbetalingene. Finanstilsynet vil følge opp dette med de relevante aktørene i det løpende tilsynet.
Betalingsforetak
Majoriteten av de 17 operasjonelle hendelsene rapportert av betalingsforetak var fra betalingsforetaket Vipps. Årsaken til de fleste hendelsene var problemer med tilgangen for alle eller noen av kundene til alle eller noen av tjenestene. Enkelte av de rapporterte hendelsene skyldtes avvik hos banker og var av den grunn sammenfallende med tilsvarende rapportering fra en eller flere banker. Spesielt gjaldt dette tre hendelser knyttet til straksbetalinger der problemer i grensesnittet mellom Vipps og banken(e) medførte forsinkelser og tilfeller av dupliserte transaksjoner, noe som resulterte i flere rapporter fra bankene.
Verdipapirområdet
I 2023 var omtrent halvparten av de 44 hendelsene som ble rapportert på verdipapirområdet, knyttet til verdipapirsentralen Euronext Securities Oslo (VPS) og de regulerte markedsplassene. Ingen pekte seg ut som særskilt alvorlige. Tre hendelser medførte forsinket verdipapiroppgjør. Andre hendelser var knyttet til feil ved merking av kontoer, i oppgjørsmeldinger, ved kansellering av oppgjørsinstrukser, ved registrering av instrumenter, ved utbetaling av utbytte, i produkter eller konfidensialitetsbrudd i rapporteringer. Øvrige rapporter om operasjonelle hendelser på verdipapirområdet var dominert av problemer med tilgang til netthandel med finansielle instrumenter og kortere driftsavbrudd knyttet til tjenester på markedsplassene. Det ble rapportert fire sikkerhetshendelser på verdipapirområdet, hvorav tre angrep mot underleverandører og ett DDoS-angrep.
Forsikringsforetak
Det ble rapportert seks hendelser fra forsikringsselskap og pensjonskasser. Dette var én sikkerhetshendelse og fem operasjonelle hendelser som berørte kundenes tilgang til web- eller telefonitjenester.
Finanstilsynet har i lengre tid mottatt relativt få rapporter om hendelser fra forsikringsforetakene og har stilt spørsmål ved om bransjens forståelse av rapporteringsplikten i henhold til IKT-forskriften er god nok. Etter at Finanstilsynet i 2024 sendte brev til forsikringsforetakene med eksempler på hendelser som skal rapporteres, har antall rapporteringer økt.
Inkassoforetak
Rapporterte hendelser fra inkassoforetak oppsto etter systemendringer og medførte avvik i saksbehandlingsløpet med feil knyttet til betalingsfrister eller fakturerte beløp eller brudd på konfidensialitet slik at kunder kunne se andre kunders opplysninger. Det var én sikkerhetshendelse der en underleverandør ble angrepet ved at sårbarhet i programvare ble utnyttet.
6.6 Analyse av hendelsene som mål på tilgjengelighet
De rapporterte hendelsene har ulik alvorlighetsgrad. For hendelser som har medført redusert tilgjengelighet til betalingstjenester og kunderettede tjenester, har Finanstilsynet vurdert og vektet hendelsene ut fra tidspunktet for og avbruddets lengde, antall foretak som er berørt, hvor mange kunder som er rammet, og om det eksisterer alternative tjenester som dekker kundens behov. Når det gjelder alternative tjenester for kundens behov, vurderes det for eksempel om kunden kan benytte internettbaserte tjenester dersom app-tjenester på mobiltelefon ikke fungerer. Videre er det forsøkt å hensynta at alternativene ikke nødvendigvis har samme tjenesteomfang, som at mobile betalingsløsninger ofte ikke tilbyr alle tjenestene som de nettbaserte løsningene. Vektingen av hendelsene gir en indeks som framkommer på den vertikale aksen i figur 6.4. Funnene sammenstilles i en tidsserie, slik at utviklingen kan følges over tid.
Det framgår av figur 6.4 at tilgjengeligheten til betalingstjenester og kunderettede løsninger vurderes som om lag uendret fra 2022 til 2023. Tilgjengeligheten til tjenestene i 2023 var i sum noe dårligere enn for 2022 og på linje med 2021. Tilgjengeligheten til tjenestene vurderes samlet sett likevel som tilfredsstillende i 2023.
Figur 6.4 Hendelser med redusert tilgjengelighet for brukere. Vektet etter vurdert konsekvens*
* Skalaen på den vertikale aksen er en indeks som er basert på vektingen av hver enkelt hendelse. Lavere indeksverdi angir lavere forekomst av driftsavbrudd med konsekvenser for brukerne. For nærmere informasjon om tallgrunnlaget, se vedlegg 4. Kilde: Finanstilsynet
Figuren viser en økning i avvik innen kategorien "Avregning og oppgjør", som er avvik som oppstår etter at betaler har registrert betalingen. Blant annet skyldtes det avvik knyttet til doble transaksjoner og reservasjoner som ikke ble effektuert til riktig tid, samt at banker ikke overholdt frister for avregning. Avvikene kan medføre at kundens disponible saldo er feil, og at kundens midler som følge av dette ikke er tilgjengelige.
Kategorien "Betalinger og overføringer i NOK på mobil (app)" viser også redusert tilgjengelighet. Det forklares blant annet ved at omfanget av mobilbetalinger er vesentlig økt i forhold til nettbankbetalinger, slik at avvik for mobil-apper gir større utslag i vurderingen.
Avvik som skyldtes utgåtte sertifikater, forårsaket også manglende tilgang til tjenester.
6.7 Hendelser knyttet til dedikerte PSD2-grensesnitt
Både kontotilbydere og betalingstjenesteytere skal etter regelverket rapportere til Finanstilsynet om eventuelle problemer med dedikerte grensesnitt for tredjepartstilbyderes tilgang til kunders betalingskonto. DNB rapporterte i 2023 ukentlig status på sitt dedikerte grensesnitt, herunder om eventuelle problemer med tilgjengelighet eller funksjonalitet. Andre banker rapporterte dersom de hadde problemer med grensesnittene, enten det gjaldt tilgjengelighet eller funksjonalitet. Også tredjepartstilbydere rapporterte i 2023 hyppig om observert nedetid og manglende funksjonalitet i bankenes dedikerte grensesnitt. Manglende funksjonalitet ble fulgt særskilt opp overfor kontotilbyderne. Finanstilsynet har med bakgrunn i sin oppfølging av rapporterte mangler publisert presiseringer og avklaringer om regelverket .
7. Utkontraktering
Finanstilsynet mottok også i 2023 et betydelig antall meldinger om utkontraktering. Som i de foregående årene viser meldingene økt bruk av skytjenester for både applikasjons- og infrastrukturtjenester. Gjennom utkontraktering øker ofte antall plattformer foretakene må forholde seg til, noe som kan gi økt kompleksitet og et mer sammensatt risikobilde.
Risikoen knyttet til den utstrakte bruken av IKT-tjenesteleverandører utgjør en betydelig del av foretakenes IKT-risiko. Mangler i oppfølgingen av utkontraktert IKT-virksomhet ble også i 2023 påpekt i flere tilsynsrapporter. Finanstilsynet vurderer sårbarheter knyttet til leverandørstyring som en av de høyeste risikoene i foretakenes IKT-virksomhet, og risikoen er ansett som høyere i 2023 enn tidligere år.
7.1 Oppfølging av utkontraktert IKT-virksomhet
Finanssektoren har i betydelig grad utkontraktert IKT-drift til tjenesteleverandører, som igjen gjør bruk av en eller flere underleverandører. Det kan bidra til lengre og mer komplekse leverandørkjeder som er sårbare for angrep eller operasjonell svikt. Slike leverandørkjeder stiller økte krav til foretakene ved avtaleinngåelse, men også til foretakenes oppfølging av og kontroll med utkontraktert IKT-virksomhet, herunder bruk av underleverandører.
Større tjenesteleverandører kan sitte på mer ressurser og høyere kompetanse til å utvikle robuste løsninger enn mindre aktører og foretakene selv. Store tjenesteleverandører kan på denne måten bidra til å redusere foretakenes kostnader og eksponering for tekniske feil og angrep, men det gir samtidig større konsentrasjonsrisiko om mange foretak benytter samme tjenesteleverandør for drift av kritiske finansielle tjenester.
Foretakene utkontrakterer til et betydelig antall IKT-tjenesteleverandører og datasentre. At foretakene har en økning i antall tjenesteleverandører, øker kompleksiteten i samhandlingen ved for eksempel hendelser og ved oppfølging av og kontroll med den utkontrakterte virksomheten.
Det grunnleggende prinsippet for oppfølging av og kontroll med utkontraktert IKT-virksomhet er at foretaket (oppdragsgiver) skal følge opp den utkontrakterte virksomheten som om den ble utført av egen organisasjon, jf. blant annet IKT-forskriften § 2 og §12. Foretakets ansvar for oppfølging av utkontraktert IKT-virksomhet gjelder både ved ekstern utkontraktering og der utkontrakteringen skjer til et annet foretak i konsernet eller alliansen og det er konsernets eller alliansens IKT-funksjon som framstår som oppdragstaker (såkalt intern utkontraktering). Spesifikke og detaljerte krav til foretakenes oppfølging av IKT-tjenesteavtaler, herunder utkontraktert IKT-virksomhet, følger også av Kapittel V, "Managing of ICT third-party risk"[24] i forordning om digital operasjonell motstandsdyktighet (DORA) med tilhørende regulatoriske tekniske standarder[25], [26].
Basert på observasjoner fra tilsynsvirksomheten er det Finanstilsynets vurdering at foretakene ikke i tilstrekkelig grad ivaretar ansvaret for oppfølging av og kontroll med den utkontrakterte IKT-virksomheten. Nedenfor omtales Finanstilsynets forventninger til foretakenes egne kontrolltiltak for oppfølging av IKT-utkontraktering.
7.2 Modell for oppfølging av og kontroll med utkontraktert IKT-virksomhet
I IKT-forskriften stilles det krav til at foretaket fastsetter overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten samt beskriver hvordan foretaket skal sikre sine IKT-leveranser. Finanstilsynet forventer at IKT-leverandører og -leveranser systematisk og regelmessig følges opp gjennom møteplasser på operasjonelt (dag-til-dag-oppfølging), taktisk (oppfølging i henhold til avtale) og strategisk nivå (oppfølging på virksomhetsnivå). For å sikre en betryggende styring av og kontroll med den utkontrakterte IKT-virksomheten er det viktig med klar ansvarsfordeling mellom disse tre nivåene, både i foretaket og mellom foretaket og IKT-tjenesteleverandøren. Klare retningslinjer for kommunikasjon og eskalering vil være nødvendig for å sikre en korrekt og effektiv saksgang. Slike rutiner skal gjøres gjeldende for både intern og ekstern IKT-utkontraktering. Hovedintensjonen bak oppfølgingen av IKT-utkontraktering på disse tre nivåene er å sikre helhetlig styring og kontroll.
Regelmessige møter på strategisk nivå mellom foretakets ledelse (oppdragsgiver) og ledelsen hos IKT-leverandøren (oppdragstaker) bør avholdes for å sikre at oppdragstaker framover vil støtte opp om foretakets langsiktige mål og strategier og dermed sikre forutsigbarhet for IKT-leveransene. Hensikten med slike møter vil typisk være å presentere foretakets planer og forventinger, oppdragstakers forretningsmodell, endringer i forretningsmodell og eventuelle endringer på eiersiden som kan påvirke de framtidige IKT-leveransene.
Møter på taktisk nivå mellom foretaket og oppdragstaker bør avholdes for å styre og kontrollere at IKT-tjenestene leveres i henhold til avtalte rammer og krav (SLA[27]), samt sikre at avtalene om IKT-utkontraktering løpende kan tilpasses foretakets endrede behov. Eksempler på andre temaer i slike møter er gjennomgang av risikobildet knyttet til IKT-utkontrakteringsforholdet, oppdragstakers etterlevelse av foretakets sikkerhetskrav iht. foretakets sikkerhetspolicy og oppdragstakers ivaretakelse av foretakets krav til kontinuitet ved avbrudd i IKT-tjenesteleveransene.
På operasjonelt nivå er fokuset den daglige oppfølgingen av og kontrollen med at IKT-tjenesteleveransene er i tråd med avtalte forpliktelser. Her må foretaket sikre at det er utnevnt en leveranseansvarlig hos oppdragstaker, og at det er etablert rapporterings- og eskaleringsrutiner som sikrer rask håndtering av avvik i IKT-leveransene. For den daglige oppfølgingen avklares behovet for oppfølgingsmøter løpende.
7.3 Oppfølging av og kontroll med utkontraktert IKT-virksomhet
I det daglige ivaretas oppfølging av IKT-utkontrakteringen av førstelinjen, jf. virksomhetsstyringsmodellen basert på de tre forsvarslinjene[28], der oppfølgingen av IKT-risiko og styring og kontroll med IKT-utkontraktering skal ivaretas basert på dokumenterte operasjonelle rutiner, jf. IKT-forskriftens § 2. Finanstilsynet forventer at oppfølging av og kontroll med IKT-utkontraktering inngår som tema i den årlige internkontrollattesteringen. Dette skal sikre en betryggende oppfølging av og kontroll med foretakets utkontrakterte IKT-virksomhet.
De største IKT-leverandørene utarbeider ofte, enten selv eller ved hjelp av eksterne, rapporter om status på modenheten av IKT-prosesser og -kontroller, eksempelvis ISAE 3402[29]. Gjennom tilsynsvirksomheten har Finanstilsynet avdekket at slike rapporter ikke alltid gir et riktig bilde av tilstanden. Finanstilsynet oppfatter at modenhetsrapporter utarbeidet av IKT-leverandøren kan være et godt utgangspunkt for andre- og tredjelinjens risikobaserte vurdering av behovet for kontroller. Når foretakene gjør bruk av slike rapporter, må det verifiseres at rapportene er tilstrekkelig dekkende for foretakets IKT-tjenestekjøp, eventuelt om det er behov for egne og utvidede kontroller hos IKT-leverandørene. Der påpekte svakheter i slike rapporter går igjen over år, bør foretaket vie disse særskilt oppmerksomhet.
Nedenfor er det satt opp to tabeller med momenter som kan være utgangspunkt for foretakenes oppfølging og kontroll. Første tabell omfatter forhold foretaket bør ha kontroll med i egen virksomhet, mens den andre tabellen omfatter forhold hos leverandører og underleverandører.
Tabell 7.1 Eksempler på forhold som foretaket bør ha kontroll med i egen virksomhet
|
Internt i foretaket (oppdragsgiver) |
Beskrivelse |
|---|---|
|
Risikohåndtering |
Vurdere og håndtere risikoen knyttet til avhengigheten av oppdragstaker og dennes underleverandører, samt ha oversikt over hvilke alternative IKT-leverandører og IKT-systemer som finnes for den utkontrakterte IKT-virksomheten. |
|
IKT-strategi |
Vurdere om de utkontrakterte IKT-tjenestene som leveres av oppdragstaker og dennes underleverandører, er i brudd med foretakets egen forretnings- og IKT-strategi. |
|
Sikkerhetstesting |
Vurdere om førstelinjen har sørget for tilstrekkelige sårbarhets- og penetrasjonstester og andre typer sikkerhetstesting hos IKT-tjenesteleverandører. |
|
Kontinuitetstesting |
Vurdere om virksomhetens beredskaps- og kontinuitetstesting av kritiske og viktige prosesser i tilstrekkelig grad omfatter de utkontrakterte IKT-leverandørene og IKT-tjenestene. |
|
Bransjetjenester |
Sikre at utkontrakterte bransjefelles IKT-tjenester, levert av eksempelvis Bits, Vipps og Finans Norge Forsikringsdrift (FNF), følges opp som utkontraktert IKT-virksomhet. |
|
Avtale |
Sikre at IKT-utkontrakteringsavtalene med IKT-leverandører gir mulighet for å ta stilling til bytte av IKT-underleverandører, og at foretaket er sikret tilgang til ev. dokumentasjon etter en selskapsgjennomgang (Due Diligence) som kan benyttes ved vurderingen av bytte av IKT-underleverandører. |
|
Innsyn/kontroll/tilsyn |
Sikre at det er tilstrekkelig mulighet for innsyn (transparens) hos underleverandører iht. IKT-forskriftens § 12. |
|
Styring og kontroll |
Sikre at det er etablert tilstrekkelige mekanismer for oppfølging av og kontroll med utkontraktert IKT-virksomhet som ivaretar den økte kompleksiteten som bruken av IKT-underleverandører kan medføre. |
|
Krav og retningslinjer |
Sikre at foretakets krav og retningslinjer blir etterlevd i IKT-utkontrakteringsforhold. |
|
Kvalitet |
Sikre at foretaket har kontroll med kvaliteten på IKT-leveransene både hos IKT-leverandører og IKT-underleverandører, da dette vil kunne ha direkte konsekvenser for sluttbrukeropplevelsen og foretakets omdømme. |
|
Vurdere behovet for å utføre egne kontroller hos leverandører og underleverandører (Se neste tabell) |
Andre- og tredjelinjen bør vurdere behovet for å foreta egne IKT-kontroller hos IKT-tjenesteleverandørene og dets IKT-underleverandører for utvalgte temaer, og ikke kun ukritisk legge til grunn oppdragstakers rapportering. |
Kilde: Finanstilsynet
Tabell 7.2 Eksempler på forhold hos leverandører og underleverandører som foretaket må ha kontroll med
|
Hos oppdragstakere |
Beskrivelse |
|---|---|
|
Styring og kontroll |
Sikre at det er etablert tilfredsstillende styring og kontroll. |
|
Risikostyring |
Sikre at det er tilfredsstillende risikostyring. |
|
Hendelse/respons |
Sikre at det er etablert et hensiktsmessig regime for å respondere på ulike typer hendelser hos oppdragstaker og dens underleverandører, slik at oppdragsgiver kan rapportere eventuelle rapporteringspliktige hendelser til Finanstilsynet iht. IKT-forskriften § 9 og Finanstilsynets rundskriv 15/2009. |
|
Kontinuitetstesting |
Sikre at foretakets krav til gjenoppretting (RTO/RPO/ MTPD[30]) er ivaretatt og dokumentert i rapporter fra utført beredskaps- og kontinuitetstesting for de kritiske og viktige prosessene. |
|
Sikkerhetstesting |
Sikre at det gjennomføres tilstrekkelige sårbarhets- og penetrasjonstester og andre typer sikkerhetstesting. |
|
IKT-sikkerhetspolicy |
Sikre at kravene i foretakets IKT-sikkerhetspolicy er ivaretatt. |
|
Endringshåndtering |
Sikre at kvaliteten på endringshåndteringen er ivaretatt. Foretaket blant annet bør ha oversikt over antall feil som følge av endringer. |
|
Risiko- og trusselovervåking |
Sikre at det er etablert betryggende risiko- og trusselovervåking. |
|
Tilgangsstyring |
Sikre at system og rutiner for identitets- og tilgangsstyring (IAM[31]) er etablert. |
|
Logging |
Sikre at den etablerte system- og applikasjonsloggingen har tilstrekkelig omfang og kvalitet. |
Kilde: Finanstilsynet
8. Vurdering av den finansielle infrastrukturen og foretakenes IKT-virksomhet
8.1 Den finansielle infrastrukturen er robust
Finanstilsynet anser den norske finansielle infrastrukturen som robust. Foretakenes tjenester synes å være godt beskyttet mot angrep. Det var i 2023 ingen større IKT-hendelser med konsekvenser for finansiell stabilitet, selv om enkelte hendelser fikk stor oppmerksomhet, se nærmere omtale under punkt 6. Foretakenes driftsstabilitet var tilfredsstillende og vurderes til å være om lag på linje med de to foregående årene.
Det ble rapportert flere hendelser i 2023 enn i 2022. Økningen skyldes hovedsakelig at noen hendelser rammet flere foretak samtidig. Andelen sikkerhetshendelser var lavere enn i 2022, mens det ble rapportert en del flere operasjonelle hendelser. Finanstilsynet har ut fra hendelsenes varighet, tidspunkt og antall berørte brukere vurdert tilgjengeligheten til betalingstjenester og andre kunderettede tjenester til å være om lag på samme nivå som de to foregående årene, se punkt 6.6.
Det var i 2023 i hovedsak god regularitet på avregnings- og oppgjørssystemene, selv med noen enkelthendelser. Det var også god regularitet på kommunikasjonen med det internasjonale meldingsnettverket for betalinger og verdipapiroverføringer SWIFT[32] og det internasjonale oppgjørssystemet CLS[33].
Selv om angrepene på den finansielle infrastrukturen var færre i 2023 enn i 2022, øker omfanget av digital kriminalitet med konsekvens for finanssektoren fortsatt. Særlig var det en betydelig økning i phishing og vishing (telefonsvindel), som "sikker-konto"-svindel. Så langt har digital kriminalitet ikke ført til systemkriser eller alvorlige hendelser hos foretak i den norske finanssektoren.
Det var i 2023 sikkerhetshendelser hos leverandører som fikk konsekvenser for berørte foretak. Sårbarheter og sikkerhetshull innebærer risiko for blant annet informasjonslekkasje eller uautoriserte endringer i foretakenes, eller deres leverandørers, systemer og infrastruktur. Foretakene må samtidig forholde seg til at det digitale trusselbildet er i kontinuerlig endring, blant annet som følge av Russlands invasjonskrig i Ukraina og konflikten mellom Israel og Hamas.
En digital hendelse kan komme brått, medføre sammenbrudd i den finansielle infrastrukturen og få vidtrekkende samfunnsmessige konsekvenser. Foretakenes arbeid på IKT-området, både for å redusere sannsynligheten for avvik og for å styrke IKT-sikkerheten generelt, er med på å sikre stabile driftsløsninger, avverge digital kriminalitet og redusere konsekvensene ved hendelser. Dette omfatter kriseløsninger og -beredskap, gjenopprettingsplaner og IKT-sikkerhetsarbeid, blant annet forsvarsverk mot digital kriminalitet.
8.2 Risiko knyttet til sårbarheter i foretakenes IKT-virksomhet
Figur 8.1 oppsummerer Finanstilsynets vurdering av de mest sentrale sårbarhetene i finanssektoren. De ulike sårbarhetene er klassifisert etter sannsynligheten for at en alvorlig negativ hendelse oppstår, og den tilhørende konsekvensen etter alvorlighetsgrad for det enkelte foretak. Observasjoner og vurderinger som ligger til grunn for klassifiseringen, framgår av tabell 8.1 og er nærmere omtalt i vedlegg 2.
Finanstilsynet anser også i 2023 sårbarheter knyttet til foretaks forsvarsverk mot digital kriminalitet som den mest sentrale risikoen ved foretakenes bruk av IKT, der den samlede risikoen anses å være høy. Eksempler på slike sårbarheter er alvorlige svakheter i forsvarsverket som ikke avdekkes grunnet mangelfull sikkerhetstesting. Det digitale trusselbildet tilsier at slike sårbarheter vil bli utnyttet av aktører med ondsinnede hensikter, og konsekvensene for foretaket kan bli alvorlige.
Sårbarheter knyttet til leverandørstyring, styringsmodell og internkontroll og tilgangsstyring er også sentrale risikoer, der den samlede risikoen anses som middels til høy. Slike sårbarheter kan skyldes uklarhet i roller mellom foretakets første- og andrelinjeforsvar og at etterlevelsesfunksjonen ikke avdekker svakhetene. Erfaringen fra tilsyn har vist eksempler på mangelfull oppfølging av IKT-risiko i andre forsvarslinje, og utilstrekkelige kontroller av kvalitet og robusthet i løsninger har vært årsaken til noen av de rapporterte hendelsene. Dette tilsier at risikoen knyttet til mangelfull leverandørstyring, styringsmodell og internkontroll er ansett som noe høyere i 2023 enn året før. Når det gjelder foretaks tilgangsstyring, vurderes risikoen som lavere enn i fjor grunnet økt oppmerksomhet hos foretakene og iverksatte tiltak i næringen.
Risiko knyttet til sårbarheter i foretaks beredskap og krisehåndtering og geopolitiske forhold anses som middels til høy. For sårbarheter knyttet til foretakenes endringsstyring, informasjonslekkasje, IKT-drift, kompetanse og kompetansestyring samt datakvalitet anses risikoen å være middels. Risikoen knyttet til geopolitiske forhold er ansett som høyere i 2023 enn året før. For foretaks oppfølging av kompetanse og kompetansestyring er risikoen ansett som noe lavere i 2023 enn året før, og tilsvarende gjelder risikoen knyttet til oppfølging av informasjonslekkasje.
Figur 8.1 Finanstilsynets vurdering av sårbarheter og risiko for 2023
Kilde: Finanstilsynet
Tabell 8.1 Sårbarheter som kan utgjøre en risiko for uønskede hendelser
|
Område
|
Sårbarheter som kan utgjøre en risiko for uønskede hendelser |
Trend |
|---|---|---|
|
Styringsmodell og internkontroll
|
Manglende oversikt over hvilke kontroller som inngår i foretaks internkontroll, og hvordan kontrollene skal utføres, overvåkes og revideres, kan føre til at forhold som utgjør en operasjonell risiko ikke avdekkes, og at risikoreduserende tiltak i tråd med foretakets risikotoleranse ikke iverksettes. |
Stigende |
|
Kompetanse og kompetansestyring |
Knapphet på ressurser i Norge innen drift, arkitektur, sikkerhet og ny teknologi, samt mangelfull kompetansestyring, kan føre til at foretak ikke får dekket dagens og framtidens kompetansebehov. Problemer og feil som oppstår, kan være utfordrende å løse. Avhengigheten til utlandet kan øke. |
Synkende |
|
Leverandørstyring
|
Komplekse leverandørkjeder, med flere leverandører og underleverandører i verdikjeden, krevende samhandlingsmodeller (strategisk, administrativt og operativt) og mangel på kompetanse kan føre til svakere oppfølging av og kontroll med kritiske og utkontrakterte IKT-tjenester. |
Stigende |
|
Digital kriminalitet |
Manglende sikkerhetstester, sikkerhetsoppdateringer, opplæring og bevisstgjøring av ansatte samt mangelfull overvåking av aktiviteter i egen teknisk infrastruktur, herunder nettverk og systemer, kan føre til at kriminelle påfører foretaket skade gjennom digitale angrep. Også svindel knyttet til bruk av finansielle tjenester kan påføre foretaket tap. |
Likt |
|
Informasjonslekkasje |
Manglende klassifisering av informasjon, herunder dokumentasjon, og kontroller for overvåking av informasjon som sendes ut på e-post, som kopieres til eksterne lagringsenheter eller kopieres til private skytjenester, kan påføre foretaket eller dets kunder skade der uvedkommende får informasjonen i hende. |
Synkende |
|
IKT-drift
|
Kompleks integrasjon mellom systemer fra ulike leverandører, integrasjon mellom nye og gamle systemer, mange integrasjonspunkter mellom systemene, økt funksjonalitet i selvbetjente kanaler og økt bruk av skytjenester kan føre til utfordringer for sikker og stabil drift. |
Likt |
|
Beredskap og krisehåndtering |
Manglende analyser av konsekvenser ved en krise, mangelfull opplæring og øvelse i krisehåndtering, mangler i test av kriseløsninger/reserveløsninger og mangelfulle reserveløsninger kan gi foretak utfordringer med å opprettholde kritiske IKT-tjenester ved alvorlige avbrudd på normalt driftssted. |
Likt |
|
Geopolitiske forhold
|
Geopolitiske forhold eller brudd i kommunikasjonen mot utlandet, hvor leverandører blir forhindret fra å opprettholde leveranser av kritiske IKT-tjenester fra utlandet, kan føre til utfordringer med å opprettholde sikker og stabil drift. |
Stigende |
|
Endringsstyring
|
Høy utviklingstakt, hvor tid går på bekostning av kvalitet, kan føre til funksjonelle feil i applikasjoner og systemer og til at sikkerhetshull ikke avdekkes. Manglende kontroll av endringer i driftsoppsettet kan føre til brudd i kritiske forretningsprosesser og til at foretaket eksponeres for digital kriminalitet. |
Likt |
|
Tilgangsstyring
|
Mangelfull kontroll med og overvåking av utvidede tilgangsrettigheter for ansatte og personell hos leverandører kan skade foretaket og dets kunder som følge av informasjonslekkasjer og bevisste eller ubevisste operasjonelle feil. |
Synkende |
|
Datakvalitet
|
Mangler eller feil i data kan føre til at analyser og kontroller utføres på feil eller for svakt grunnlag. Dette kan blant annet omfatte feil i kredittvurderinger, feil i kontroller for å avdekke hvitvasking eller svindel, feil i risikovurderinger og feil i overvåking av driften. |
Likt |
Kilde: Finanstilsynet
9. Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA)
Forordning (EU) 2022/2554 om digital og operasjonell motstandsdyktighet i finanssektoren (DORA[34]) ble vedtatt i Europaparlamentet og Europarådet i november 2022. Regelverket trer i kraft i EU 17. januar 2025. Det foreslåtte regelverket anses å være EØS-relevant. I Norge har Finansdepartementet foreslått å gjennomføre DORA gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren. Forslaget har vært på høring[35]. Lovproposisjon vil senere oversendes til behandling i Stortinget. Parallelt vurderes DORA inntatt i EØS-avtalen. Finanstilsynet vurderer at foretakene bør ta høyde for at DORA trer i kraft i Norge i løpet av 2025, selv om flere uavklarte forhold kan forsinke ikrafttredelsen.
I tillegg til forordningen skal det utarbeides ti regulatoriske og implementeringstekniske standarder (RTS-er og ITS-er) samt noen retningslinjer. Arbeidet pågår i EU og forventes ferdigstilt i løpet av 2024, slik at de også vil gjelde fra 17. januar 2025. I Norge må det her påregnes en forsinkelse grunnet EØS-prosessen. Per mai 2024 er de første RTS-ene oversendt til Kommisjonen for behandling og ligger an til å bli vedtatt med mindre justeringer. I tillegg skal det utvikles tekniske løsninger for rapportering.
Forordningen vil innebære at kravene til foretakene i finanssektoren styrkes, selv om dagens norske regelverk og tilsynsmessige oppfølging bygger på de samme prinsippene som de nye kravene. Foretak som i dag etterlever kravene i gjeldende regelverk og relevante retningslinjer, har et godt utgangspunkt for endringen. Forordningen har vært kjent i lengre tid, og norske foretak har derfor hatt tid til å forberede seg.
Finanssektoren har til nå vurdert utkontraktering av IKT-virksomhet i henhold til IKT-forskriften eller tilsvarende regelverk. DORA gjelder bruk av IKT-tjenester og innebærer en utvidelse av reguleringen for bruk av IKT-leverandører. DORA stiller blant annet strenge og detaljerte krav til hva kontraktene skal inneholde og krever at foretakene skal føre register over alle IKT-tjenesteleverandører. Foretakene omfattet av DORA må gjennomgå alle utkontrakteringsavtaler, og i tillegg øvrige IKT-tjenesteavtaler, for å sikre at de oppfyller kravene i DORA. Omfanget av avtaleregisteret vil øke sammenlignet med dagens utkontrakteringsoversikt, jf. krav i meldepliktforskriften. Arbeidet med å gjennomgå alle avtaler vil være stort og krevende. Som et minimum forventer Finanstilsynet at foretakene har en plan for hvordan man skal gjennomføre arbeidet med å bringe avtalene i samsvar med DORA.
Foretakenes forberedelser til DORA
|
Hva foretakene kan forberede seg på Foretakene bør forberede seg på overgangen fra å etterleve en prinsippbasert IKT-forskrift, eller tilsvarende regelverk, og retningslinjer fra de europeiske tilsynsmyndighetene til DORA med nivå 2-regelverk som er både vesentlig mer omfattende, detaljert og regelbasert. Foretakene bør vurdere følgende tiltak i sitt arbeid med å forberede seg for DORA:
|
Noter
[1] Direktoratet for samfunnssikkerhet og beredskap (DSB): Samfunnets kritiske funksjoner
[2] Finansdepartementet har definert tre GNF-er i egen sektor, herunder "Sikre samfunnets evne til å formidle finansielle tjenester", se Finansmarkedsmeldingen 2023 punkt 4.2.2
[3]Se temaside om BFI
[4] Nasjonal strategi for eID i offentlig sektor
[5] Arbeidsgruppe som skal vurdere beredskapen i betalingssystemet
[6] Bits' nettsted: Digital Samhandling Offentlig Privat
[7] Trefaktormodellen
[8] Mikrosegmentering er en metode og framvoksende beste praksis for å lage soner i datasentre og skymiljøer for å begrense brukertilganger og gir flere fordeler enn mer etablerte tilnærminger som nettverkssegmentering og applikasjonssegmentering.
[9] CERT: Computer Emergency Response Team
[10] NSMs Grunnprinsipper for IKT-sikkerhet
[11] NSMs Råd og anbefalinger innenfor digital sikkerhet
[12] Finanstilsynets nyhetssak 21. oktober 2021: Norges Bank og Finanstilsynet etablerer rammeverk for testing av cybersikkerhet i finansiell sektor (TIBER-NO)
[13] Systemic cyber risk 2020, Mitigating systemic cyber risk 2022, Macroprudential tools for cyber resilience 2023
[14] Veikart for cybersikkerhet i finansnæringen (se side 13)
[15] Finanstilsynets Risiko- og sårbarhetsanalyse 2023, omtale av tre forsvarslinjer i punkt 4.1: ROS 2023
[16] EBA: Guidelines on ICT and security risk management
[17] EIOPA: Guidelines on information and communication technology security and governance
[18] Kategorien er lagt til for at risikokategoriene skal samsvare med kategoriene som benyttes ved vurdering av samlet risikonivå og kapitalbehov (SREP) for de foretakene det er relevant for.
[19] Mangelfull konfigurasjon av e-post-oppsett
[20] Finansnæringens antisvindelarbeid
[21] Nkom, Økokrim og Finans Norge ekspertgruppe mot digital svindel
[22] EBAs uttalelse om tiltak for å motvirke svindel og beskytte forbrukerne mot tap
[23] Sikkerhetshendelser defineres som tilsiktede hendelser, dvs. hendelser der hensikten er å skade/angripe. Operasjonelle hendelser defineres som utilsiktede hendelser forårsaket av feil eller mangler.
[24] DORA, Chapter V, "Managing of ICT third-party risk"
[25] Første samling av standarder på høring: First Batch
[26] Andre samling av standarder på høring: Second Batch
[27] Service Level Agreement (SLA)
[28] Finanstilsynets Risiko og Sårbarhetsanalyse 2023, punkt 4.1: ROS 2023
[29] ISAE 3402 er en uavhengig bekreftelse av prosesser og kontroller hos IKT-leverandøren som skal sikre finansiell informasjon
[30] RPO (Recovery Point Objective): Mål på hvor mye data foretaket kan miste før det blir utfordringer med tap av data.
RTO (Recovery Time Objective): Hvor mye nedetid man kan akseptere før tjenestene må være tilbake i normal drift.
MTPD (Maximum Tolerable Period of Downtime): Hvor mye nedetid foretaket kan akseptere.[31] Identity and Access Management (IAM) er rammeverket bestående av rutiner, retningslinjer og kontroller som skal sikre styring og kontroll med brukere og brukertilganger.
[32] SWIFTs nettsted: About us
[33] CLS' (Continuous Linked Settlement) nettsted: Amerikansk finansinstitusjon som tilbyr oppgjørstjenester til sine medlemmer i valutamarkedet (FX)
[34] Se Finanstilsynets informasjonsside om DORA
[35] Høring – nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA)