Computerworlds CIO Forum Bank Finans, Frank Robert Berg Seksjon for tilsyn med IT og betalingstjenester

Transkript

1 Computerworlds CIO Forum Bank Finans, Frank Robert Berg Seksjon for tilsyn med IT og betalingstjenester

2 I dette foredraget vil han snakke om myndighetenes vurdering av risiko knyttet til utkontraktering generelt, Cloud Computing spesielt og etterlevelse av regelverk. Kanskje er det vår jobb å være litt Ludvig? 1. Litt om Finanstilsynets rolle og hensikt 2. Regelverket Finanstilsynet forvalter 3. Problemstillinger knyttet til utkontraktering av IT-virksomhet i finanssektoren 2

3 1. Litt om Finanstilsynets rolle og hensikt Finanstilsynsloven 3. Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. På IT-området er det først og fremst IKT-forskriften og kapitalregelverket som representerer en detaljering av dette formålet. Lov om betalingssystemer mv 3-1. Formål Formålet med bestemmelsene i dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenestene ivaretas. 3-2 Meldeplikt Det skal uten unødig opphold gis melding til Finanstilsynet om etablering og drift av system for betalingstjenester. 3

4 Finanstilsynets organisasjon STYRET Endre Skjørestad Leder FINANSTILSYNSDIREKTØR Morten Baltzersen DIREKTØRENS STAB Eirik Bunæs Direktør Cecilie Ask Juridisk direktør Lisbeth Strand Internasjonal koordinator Anders N. Kvam Forbrukerkoordinator ADMINISTRASJONSAVDELING Gun Margareth Moy Administrasjonsdirektør Stab Ca 280 ansatte Pr KOMMUNIKASJONSSTAB Kjetil Karsrud Kommunikasjonsdirektør HR Tone Lise Bjørvik Risan Seksjonssjef Økonomi og drift Maj Kristin Sæther Seksjonssjef IT Stig Syversen Seksjonssjef Arkiv og dokumentforvaltning Lone Tudborg Lakhan Seksjonssjef AVDELING FOR BANK- OG FORSIKRINGSTILSYN Emil R. Steffensen Direktør Stab AVDELING FOR MARKEDSTILSYN Anne Merethe Bellamy Direktør Stab Forvaltning og kriseberedskap Ole-Jørgen Karlsen Seksjonssjef IT og betalingstjenester Frank Robert Berg Seksjonssjef Prospekt og finansiell rapportering Gaute S. Gravir Seksjonssjef Verdipapirtilsyn Geir Holen Seksjonssjef Soliditetsregulering Bjørn Andersen Seksjonssjef Analyse og rapportering Anne Stine Aakvaag Seksjonssjef Verdipapirforetak og infrastruktur Marte Voie Opland Seksjonssjef Revisjon og regnskapsføring Kjersti Elvestad Seksjonssjef Banktilsyn Per Jostein Brekke Seksjonssjef Makroovervåking Harald Johansen Seksjonssjef Fond og kollektive investeringer Britt Hjellegjerde Seksjonssjef Eiendomsmegling og inkasso Wilhelm Mohn Grøstad Seksjonssjef Forsikringstilsyn Runa K. Sæther Seksjonssjef 4

5 Finanstilsynets virksomhetsplan for det enkelte år har mange kilder. Fra tildelingsbrevet for 2013: 5

6 Risikobildet og trusselutviklingen 2013 Samarbeid Finanstilsynet Norges Bank Skaffe oss oversikt Analysere Foreslå tiltak Leveranse Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester Gjennomførte ROS-intervju Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt - Betalingstjenester Annen relevant informasjon spørreundersøkelser Beredskap - BFI-sekretariatet - Samarbeid andre myndigheter - Infrastruktur betalingssystemer Våre virkemidler Regelverk 6

7 Rapportering om hendelser - Helsetilstanden 7

8 Sentral infrastruktur og følgeskader Hendelser fordelt på årsak pr ukjent SW nettverk HW applikasjon angrep 8

9 IT-supervision s self assessment concept based on control questions Divided into 34 IT-prosesses (CobiT) with 170 control questions (v 4.0) ANTIVIRUS 136 IT-operation based on ITIL with 281 control questions Service delivery 111 and Service Support 170 control questions (v 1.0) FIREWALL 100 Disaster Rec Technical 300 Internetbank 46 Payment Systems 104 Money Laundr protection 25 Basel II IRBmodels 28 Version for IT-projects with 34 control questions Version for IT-supliers with 94 control questions Light version with 77 control questions Outsourcing Maturity Model and Verification Payment report duty with 19 control questions Gjennomfører over 20 IT-tilsyn årlig 9

10 Operational Risk Basic indicator approach (BIA) The standardized approach (TSA) Advanced measurement approach (AMA) Internal Capital Adequacy Assessment Process ICAAPs from Pillar 1 selected banks Supervisory Review Evaluation Process (SREP) Risk Assessment Bank A Op Risk Chapter Pillar 2 Central file system (Sentralfag&Tilsynssak) Other relevant information Reports from IT-inspections RVAInterviews Incident data Notification to Finanstilsynet (payment systems) Electronic Archives (Websak) 10

11 Samarbeidsopplegg Norges Bank Betalingssystemer Post & Teletilsynet PKI (BankID)/Tele FNO/BSK Betalingssystemer Datatilsynet ID-tyveri Personopplysninger Finanstilsynet / ITBET IT-tilsyn Norden Nasjonal Sikkerhetsmyndighet Får og gir informasjon Drøfting av mulige tiltak Andre Information Technology Supervisor Group (IT-tilsyn) 11

12 Eksempel på et felles tiltak Kilde: FinansCERT 12

13 2. Regelverket Finanstilsynet forvalter Finanstilsynsloven 3. Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. Ny finanslovgivning, NOU 2011:8 Kommer antagelig st.prp i 2014? Banklovkommisjonens utredninger (NOUer) om utkontraktering Lov om betalingssystemer Arbeides med nye forskriftskrav til betalingstjenester Finansavtaleloven Forskrift om risikostyring og internkontroll Forskrift om bruk av informasjons- og kommunikasjonsteknologi Arbeides med nye forskriftskrav om utkontraktering av IT Basel 2 og 3 (via EU-direktiv) Forskrift om minstekrav til kapitaldekning i finansinstitusjoner og verdipapirforetak Bestemmelser om operasjonell risiko Del VIII. Beregningsgrunnlag for operasjonell risiko, basis-, sjablong- eller AMA metode 13

14 Etterlevelse av IKT-forskriften - veiledninger 1 Virkeområde 2 Planlegging og organisering (IT-Governance) 3 Risikoanalyse 4 Kvalitet 5 Sikkerhet 6 Utvikling og anskaffelse 7 Systemvedlikehold 8 Drift 9 Avviks- og endringshåndtering (omfatter hendelsesrapporteringen) 10 Krav til kontinuitet 11 Driftsavbrudd og katastrofeberedskap 12 Utkontraktering 13 Dokumentasjon 14 Dispensasjon 15 Ikrafttredelse Lov om betalingssystemer, kapittel 3. Systemer for betalingstjenester 3-1. Formål Formålet med bestemmelsene i dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas. Veiledninger Eiendomsmeglerforetak Mindre sparebanker 3 Risikoanalyse Risiko ISACA etterlevelse IKT-forskriften Side 14

15 Virkemidler/Regelverk Rundskriv 14/2010, datert Finanstilsynets vurdering er at risikoen ved at bankene flytter ut driftsrelatert IKT-virksomhet til slike land (høyrisikoområder) er for høy dersom dette gjelder funksjoner og operasjoner som er nødvendige elementer i, eller har betydning for daglig operasjon av følgende funksjonsområder: betalingssystemer (både områdene avregning og oppgjør og systemer for betalingstjenester) kjernesystemer som kan betegnes som daglig bank. Disse omfatter: kunde/reskontro, innlån, utlån, korttjenester, kundeopplysninger og produktadministrasjon inkludert distribusjonskanaler. Finanstilsynet er av den oppfatning at ovennevnte IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko. 15

16 Blåboka Finansnæringens selvregulering (betalingssystemer/bank) Avtale- og regelverkssamling for innenlands betalingsformidling Blåboka Administrert av FNO / Finansnæringens Fellesorganisasjon I hovedsak forvaltet av Bankenes Standardiseringskontor. Bankenes/finansforetakenes egne vedtatte retningslinjer 16

17 Etterlevelse av regelverk Kvantitativ - Eksempler 3 Risikovurdering skal gjennomføres og dokumenteres 11 Beredskapsplan og -løsning. Beredskapsløsningen skal testes minst årlig og resultatet skal dokumenteres Kvalitativ - Eksempler 3 Risikovurdering Hvordan er kvaliteten? Er den komplett? Risiko knyttet til utkontraktering blir en vurdering foretaket selv må foreta. Likeledes kontrollerer dette mot gjeldende regelverk. Det har vært et mål ikke å fortelle i detalj hva som skal gjøres, men heller peke på det ansvaret foretaket selv har for å vurdere egen risiko. Foretaket må selv sørge for å sikre at alt relevant regelverk etterleves og at dette er dokumentert. Tilsynet kan kontrollere om det er foretatt. Finanstilsynet må ta et ansvar som kan gjelde hele finanssektoren eller en bransje (banker) om risikoen ut fra en nasjonal eller en helhetsmessig vurdering er for høy. 17

18 Utvikling i EU Nye EU organer innenfor finanssektoren EBA European Banking Authority (Initiativ fra Basel Committee vil komme via EBA, pluss det EU vil legge til, gjennom EU-forordninger, EU-direktiv og anbefalinger) ESMA European Securities and Market Authority EIOPA - European Insurance and Occupational Pensions Authority (Solvens 2) European Payment Council Single Euro Payments Area SEPA Council 18

19 3. Problemstillinger knyttet til utkontraktering av IT-virksomhet i finanssektoren.? 19

20 Å ha tilstrekkelig styring og kontroll med IKT og betalingssystemene er avgjørende for å sikre akseptabel håndtering av risiko. Sikre etterlevelse av: Foretakets retningslinjer Formelle regelverk Industri standarder 20 IT Governance Framework Rapportering Kontroll og avvik Krav til styring og kontroll Risk management Resource management Forankring og operasjonalisering Leveranser Hvordan identifisere parametere hvor jeg må ha kontroll? Høy konsekvens? Etablering av rammeverk for styring og kontroll og oppfølging av etterlevelse er avgjørende. Må forankres og støttes fra toppledelsen. Moderat risiko?

21 Utkontraktering Noen stikkord Gjennomgå virksomhetsområdet før utkontraktering Spesifiser alle leveranser nøyaktig Klargjør hvordan kvalitet kan måles Planlegg på forhånd hvordan kontroll av leveransene skal foretas Klargjør hvordan avtalen og leveransene skal forvaltes og kontrolleres i egen organisasjon Vær oppmerksom på mulige språkproblemer Tenk gjennom problemer som kan oppstå pga kulturforskjeller Hvordan er området du utkontrakterer til vurdert mht risiko? Klargjør behovet for sikkerhet og personvern Hvordan er lovgivningen i det landet du flytter virksomhet til? Hvordan kan din omdømmerisiko bli påvirket om noe går feil? Har organisasjonen verken tid og/eller kompetanse til å klargjøre de ovennevnte punktene (eventuelt andre) før inngåelse av avtale bør det vurderes om det i det hele tatt er hensiktsmessig å utkontraktere. 21

22 Vurdering av risiko ved utkontraktering (cloud computing) E"erlevelse av regelverk Risikovurdering Konfidensialitet Integritet Tilgjengelighet Kilde: MAS 22

23 23

24 24

25 Utkontraktering Vurdering av risiko Sikre egen styring og kontroll Transparency International The 2012 corruption perceptions index Indisk IT under lupen, DN,

26 Sky-risiko Flere oppkoplingspunkter («inngangsporter») Drift av skyen (skjer over internet farlig) Flere meter med linje som kan gå ned Flere abstraksjonslag (hypervisoren) Mindre skreddersøm «minste felles sikkerhet» Mer data i bevegelse (beskyttelse, kryptering) Fremmed lovgivning 26

27 Leserinnlegg digi.no 2. september 2013: «Jeg er bekymret over hvordan bedrifter i dag setter seg i en posisjon hvor data lagres i utlandet. Det er svært sannsynlig at vi vil miste våre nettforbindelser om vi skulle bli innblandet i en krig. Jeg vil tro det er få som i 1990 trodde at bedrifter skulle kjøre svært mange tjenester via internett. Svært mange bedrifter som har svært viktige samfunnsfunksjoner er f.eks. avhengige av programvarelisenser som deles via servere som gjerne står i andre land. Skulle vi bli lammet av virusangrep og deretter miste nettforbindelse så blir det svært vanskelig å bli kvitt virus (umulig å laste ned oppdatert antivirus) og en reinstallasjon fra backup blir påkrevd, men hvor backup gjerne ligger i andre land, eller i andre byer. Resultatet blir en total lammelse for svært mange bedrifter i Norge. Et angrep på oss for å oppnå en lammelse er altså en ganske billig affære for en fiende. Langt billigere enn det var i 1990». 27

28 28 Kilde: ITSG

29 29

30 - k - k Kilde: Monetary Authority of Singapore

31 31

32 32 Kilde: Trend Micro Predictions for 2013 and Beyond

33 33

34 Cyber Crime We are building our lives around our wired and wireless networks. The question is, are we ready to work together to defend them? The FBI certainly is. We lead the national effort to investigate high-tech crimes, including cyber-based terrorism, espionage, computer intrusions, and major cyber fraud. To stay in front of current and emerging trends, we gather and share information and intelligence with public and private sector partners worldwide.

35 FINANSTILSYNET Takk for oppmerksomheten! Frank Robert Berg Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo frb@finanstilsynet.no