Finanstilsynets risiko- og sårbarhetsanalyse 2010

Transkript

1 Finanstilsynets risiko- og sårbarhetsanalyse 2010 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Pressebriefing 31. mars 2011 Seksjonssjef Frank Robert Berg

2 Finanstilsynets ROS-analyse 2010 Samarbeid Ny samarbeidsavtale med Norges Bank Leveranse Årlig ROS-analyse Resultater fra 26 IT-tilsyn Gjennomførte 14 intervju i 2010 Data fra Hendelseslogg (156 hendelser i 2010) Meldeplikten Betalingssystemer Annen relevant Informasjon (spørreundersøkelser) Skaffe oss oversikt Analysere Foreslå tiltak 2

3 Gjennomførte IT-tilsyn Foretaksområder Bank/finans Forsikring Pensjonskasser og -fond Verdipapirforetak *)6 7 Eiendomsmegling *)1 0 Inkasso *)1 1 Revisorer (IT-revisjon) *)2 1 Regnskapsførere IKT-leverandører Andre (2010=Betalingsinfrastruktur/FNO) SUM *) 31 forenklede tilsyn i 2010 **) Foreløpig estimat for 2011 > *)26 **)26 3

4 ANTIVIRUS 136 Brannmur 100 Katastrofebackup 33 + Teknisk 300 Nettbank 46 Betalingstjenester 104 Antihvitvasking 25 IT-tilsynets egenevalueringsmoduler med kontrollspørsmål Inndelt i 34 IT-prosesser (CobiT) med 170 kontrollspørsmål (v 5.0) IT-driftsprosesser (ITIL) med 132 kontrollspørsmål (må gjennomgås) Krav til IRBmodeller 28 Mobilbank Passord 34 Versjon for IT-prosjekter med 34 kontrollspørsmål (revurderes) Versjon for IT-leverandører med 94 kontrollspørsmål Forenklet versjon med 77 kontrollspørsmål (i bruk ved ordinære tilsyn) Meldeplikten for betalingstjenester ivaretas med svar på 19 kontrollspørsmål Arbeides fortsatt med modenhetsmodell og verifisering (transaksjonstest) 4

5 ROS-analysen 2010 Kapittel 2 Utviklingstrekk 1. IT-Governance (styring og kontroll) 2. Mangelfull ledelse av store prosjekter 3. Gjennomføring av krav til kostnadseffektivitet og risiko 4. Leverandørutvikling på IKT-området 5. Utkontraktering og Offshoring 6. IKT-infrastruktur (styring og kontroll, konsentrasjonsrisiko og single point of failure) 7. Cloud Computing (nettskyen) 8. Algoritmehandel verdipapirer 9. Bruk av mobile enheter 10. Tjenesteutvikling betalingssystemer 11. Internettkriminalitet 12. Identitetstyveri 5

6 ROS-analysen 2010 Kapittel 3 Systemer for betalingstjenester 1. Generelt om betalingssystemer Viktighet, rolle i det finansielle system, internasjonal påvirkning, EU-påvirkning, volumtall 2. Risiko og sårbarhet i betalingssystemene Sårbarheter, samarbeidsopplegg og volumtall 3. Styring- og kontroll med betalingssystemene Reguleringskrav og bruk av leverandører 4. Meldeplikten Systemer for betalingstjenester Manglende etterlevelse 5. Oversikt over årlige tap knyttet til betalingstjenester Tapsstatistikk 6

7 Betalingssystemer Infrastrukturen for å understøtte stadig mer avanserte betalingsløsninger er kompleks Betaler Betalers bank Understøttes av felles infrastruktur Mottakers bank Mottaker Regulering Retningslinjer Prosedyrer Organisasjon Applikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører 7

8 TAPSSTATISTIKK VED BRUK AV BETALINGSKORT (tall i hele tusen kr) Svindeltype betalingskort 2010¹ Misbruk av kortinformasjon, kort ikke til stede (internetthandel) Stjålet kortinformasjon (inkludert skimming), misbrukt med falske kort i Norge Stjålet kortinformasjon (inkludert skimming), misbrukt med falske kort utenfor Norge Kort tapt eller stjålet, misbrukt i Norge Kort tapt eller stjålet misbrukt utenfor Norge Borte i posten TOTAL ) Tall innhentet fra Finansnæringens Felleskontor og Bankenes Standardiseringskontor i samarbeid med Finanstilsynet. 2) For totale tap kortområdet er det registrert en nedgang fra 2009 med ca 8% 8

9 TAPSSTATISTIKK VED BRUK AV NETTBANK (tall i hele tusen kr). Svindeltype nettbank 2010 Angrep ved bruk av ondartet 0 programkode på kundens PC (trojaner) Angrep som utnytter sårbarheter i 0 nettbankapplikasjon (hacking) Phishing (avluring av informasjon) 0 Andre former for angrep på nettbank 0 Annet (tyveri av kodekort og annen informasjon) TOTAL Antatte akkumulerte tap frem til er NOK ca

10 ROS-analysen 2010 Kapittel 4 Finanstilsynets funn og observasjoner 1. IT-tilsyn 2. Intervjuer 3. Hendelsesrapportering 4. Utkontraktering Offshoring 5. Spørreundersøkelser 6. Hendelser internasjonalt andre kilder (samarbeidsopplegg) 10

11 Statistikk fra hendelsesrapportering Hendelser fordelt på måned 2009 vs jan feb mar apr mai jun jul aug sep okt nov des E-post: hendelse@finanstilsynet.no 11

12 Fortsatt flest rapporter fra bankene Serie Banker Kortselskap Verdipapir/børs Forsikring 12

13 Hendelser fordelt på system 2009 vs Nettbank Korttransaksjoner Kontofon / SMS bank Hos kunde Handelssystemer børs Feil bokføring / saldo Bankens interne systemer Avregning / Oppgjør Utenlandsbetaling 13

14 ROS-analysen 2010 Kapittel 5 Identifiserte risikoområder 1. Skimming mot minibanker 2. Angrep mot nettbanker 3. Mangelfull testing og verifisering av katastrofeløsninger (i praksis manglende etterlevelse av reguleringskrav) 4. Driftsproblemer knyttet til endringer hos IKTleverandører 5. Mangler i styring og kontroll ved utkontraktering 14

15 Hendelser knyttet til skimming i 2010 Februar 2010 startet en ny type skimmingangrep mot minibanker Teknikken som benyttes omgår etablert antiskimming løsning Angrepene pågikk i store deler av 2010 Estimert at 57 minibanker er forsøkt påmontert skimming utstyr, hvorav det på 35 av disse er kopiert kort (ca minibanker operative i Norge) Potensielt kan kort ha blitt kopiert, men er sannsynlig vesentlig lavere (registrert ca 10 mill i tap) Situasjonen følges nøye av bankene, bankenes organisasjoner og myndighetene Bla. a. i samarbeid med leverandørene arbeides det med å etablere effektive mottiltak Gjennomført møte med bankene og bransjeorganisasjoner (BSK/FNO) Deltatt i møte med leverandørene og politiet 15

16 Hendelser knyttet til nettbank Angrep av trojanerprogrammet ZEUS i desember 2010 ingen kunder ble svindlet Angrep av trojanerprogrammet SpyEye i januar/februar/mars 2011 (Programkoden infisert på PCen, bot-nett (kontrollserver), phishing (dårlig tekst) og generering av transaksjoner realtime. Massivt Phishingangrep mot Sparebank 1 gruppen i februar Anslagsvis norske IP-adresser (PCer) er identifisert som antatt infiserte (informasjon fra NorCERT/ISPene). 16

17 Hendelser knyttet til nettbank (2) Ca 10 transaksjoner er sendt. 2 banker har hatt tap ( NOK overføring i EUR). Flere banker er berørt. Tiltak Utveksling av IP-adresser, utveksling av Mules- informasjon (kontonumre og navn), transaksjonsovervåkning, manuell SWIFT-kontroll, transaksjonsovervåkning, teknisk avvik identifisert og etablert tett operativt samarbeid. Møte med alle bankene, Bankenes Standardiseringskontor (BSK) og Finansnæringens Fellesorganisasjon (FNO)

18 Utkontraktering (outsoucing/offshoring) Hele forretningsprosesser Applikasjoner med forvaltning og drift RISIKO Egen evne til styring og kontroll. Utfordring å opprettholde både kompetanse og kapasitet. Infrastruktur med forvaltning og drift 18

19 Hvordan overvåke utviklingen? / Virkemidler Generelle vurderinger knyttet til offshoring Tap av arbeidsplasser på IKTområdet Finansforetaket Tap av kompetanse på IKTområdet Finansforetaket Etterlevelse av regelverk Finansforetaket Gir samfunnsmessige konsekvenser Kan svekke evnen til forretningsmessig utvikling Kan gi høyere risiko Finanstilsynet har et klart påse ansvar Vurdering av risiko Finansforetaket Finanstilsynet har et klart ansvar for å bidra til finansiell stabilitet og akseptabel risiko 19

20 Hva har skjedd i 2010 mht offshoring til Ukraina? Finanstilsynet ble informert om prosesser knyttet til offshoring, både fra enkelte banker og av leverandøren, men ikke når det kom til faktisk gjennomføring. Finanstilsynet konstaterte manglende, mangelfulle og utilstrekkelige risikoanalyser, både hos leverandøren og berørte foretak. Alvorlig sikkerhetsbrudd ble avdekket. Avtalemessig regulering mellom leverandør og kunde av endringene ble ikke gjennomført, med unntak for enkelte foretak. Alle berørte banker har nullstilt endringene. Leverandøren har flyttet oppgavene tilbake til Norge. Bruk av ansatte i Norge fra foretak i Ukraina avsluttet. Ble i realiteten varslet fra en bank pga en hendelse. Ble etablert formell dialog med leverandør og med større finansforetak. Finanstilsynet fikk full informasjon. Ble avklart ifm at Finanstilsynet åpnet sak. Finanstilsynet har blitt informert av berørte finansforetak og av leverandør. Rundskriv 14/2010 ble utsendt,

21 Virkemidler/Regelverk Rundskriv nr. 14 / 2010 Datert Finanstilsynets vurdering er at risikoen ved at bankene flytter ut driftsrelatert IKT-virksomhet til slike land (høyrisikoområder) er for høy dersom dette gjelder funksjoner og operasjoner som er nødvendige elementer i, eller har betydning for daglig operasjon av følgende funksjonsområder: betalingssystemer (både områdene avregning og oppgjør og systemer for betalingstjenester) kjernesystemer som kan betegnes som daglig bank. Disse omfatter: kunde/reskontro, innlån, utlån, korttjenester, kundeopplysninger og produktadministrasjon inkludert distribusjonskanaler. Finanstilsynet er av den oppfatning at ovennevnte IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko. 21

22 ROS-analysen 2010 Kapittel 6 Finanstilsynets videre oppfølging 1. Tiltak rettet mot risikoområdene 2. IT-tilsyn 3. Hendelsesrapportering/beredskapshåndtering/sam arbeid 4. Tiltak mot ID-tyveri 5. Økt fokus på «brukersteder» (kort) 6. Informasjon og kommunikasjon 7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 22

23 Risiko Emanuel Desperados 5. Vurdering av risiko Ludvig Sannsynlighet mars 2011 NSM sikkerhetskonferanse Offshoring av IKT

24 Operasjonell risiko Hva er risikoen på en skala fra 1 til 10? Er det risikoreduserende tiltaket effektivt? januar 2011

25 ROS-analysen 2010 Kapittel 6 Finanstilsynets videre oppfølging 1. Tiltak rettet mot risikoområdene 2. IT-tilsyn 3. Hendelsesrapportering/beredskapshåndtering/samarbeid 4. Tiltak mot ID-tyveri 5. Økt fokus på «brukersteder» (kort) 6. Informasjon og kommunikasjon 7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 25

26 Hendelsesrapportering / Oppfølging Møter med de største foretakene Oppfølging av enkelthendelser Viktig underlag for ROS-analysen mer kvantitative data Underlag ved IT-tilsyn Forsøker å se sammenhenger for bedre å forstå den tekniske infrastrukturen til de elektroniske finanstjenestene Koordinering av hendelsesinformasjon med andre myndighetsinstanser (NorCert/BankCERT - avtale NSM), Datatilsynet (drøfting), Post & Teletilsynet (drøfting). Internasjonalt: ITSG i aktivitet. 26

27 FINANSTILSYNET Takk for oppmerksomheten! Frank Robert Berg Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo frb@finanstilsynet.no