Utfordringer innen IKTområdet PwC 20. september 2011

Transkript

1 Utfordringer innen IKTområdet 20. september 2011

2 Innhold 1. Risiko i betalingsformidling 2. Kontinuitetsplaner 3. Bankenes ansvar ved utkontraktering 4. Oppsummering 2

3 Risiko i betalingsformidling Den som har hodet over vannet ser bare toppen av isfjellet Professor Jon Bing 3

4 Betalingsformidling - kort om bakteppet Et betalingssystem defineres som et system basert på felles regler for avregning, oppgjør og overføring av betalinger mellom to parter som samhandler økonomisk Basert på tall fra Norges Banks Årsrapport om betalingssystem 2010 foregår over 98% av oppgjørene elektronisk! Norge er i verdenstoppen når det gjelder bruk av betalingskort. En stor del av den anvendte elektroniske infrastrukturen er utkontraktert til selvstendige IKT-leverandører, som er regulert gjennom Lov om betalingssystemer. Men, det er foretakene (bankene) selv som må følge opp det driftsmessige forholdet til leverandøren. 4

5 Betalingsformidling - effektivitet og risiko Forretningslivet krever effektive og fleksible betalingstjenester fra sine leverandører. Selve transaksjonskjeden utvides, og betalingssystemene øker i kompleksitet. Dette medfører økt risiko for feil. Det er mange tilbydere av betalingsmåter, ofte registrert utenfor Norge. Risiko for kriminelle angrep er størst i grensesnittene mellom kunde og banken. Som følge av få operatører av kjernesystemer for banker i Norge foreligger det en ikke ubetydelig konsentrasjonsrisiko. 5

6 Skimming og kortsvindel Fra februar 2010 startet en ny type skimmingangrep som omgikk etablerte antiskimmingsløsninger. Fra 1. desember 2011 vil magnetstripen bli borte hos BankAxept da skal alle betalinger i BankAxept-systemet være med chip. Fra slutten av 2010 og videre i 2011 har det skjedd flere angrep av trojanerprogrammer, inkludert et massivt phishingangrep. Økt samhandling og kommunikasjon på tvers mellom de ulike aktørene skal gjøre det hele sikrere. 6

7 Påsken 2011, noen som ikke husker dette? kunder ble rammet transaksjoner ble avvist reservasjoner måtte slettes

8 Hva var årsaken til dette? Hovedårsaken til hendelsen var en gjennomført endring hos EDB i november/desember 2010, basert på resultatene fra en beredskapstest som omfattet kapasiteten på systemet IssuerGatewayServer (IGWS). Resultatet av testen viste behov for kapasitetsoppgradering av IGWSsystemet. IGWS-løsningen var etablert som en redundant løsning fordi den representerte en kritisk komponent i kortsystemløsningen til bankene. Primærserveren ble oppgradert etter planen, mens sekundærserveren ikke ble oppgradert grunnet mangel på deler. Dette medførte at systemet ikke hadde reell redundans. Da det oppsto hardware feil på primærserveren i påsken som medførte behov for å ta i bruk sekundærserveren, klarte ikke sekundærserveren å dekke kapasitetsbehovet. Kilde: Finanstilsynets, rundskriv 20/2011 av

9 Hva skjedde videre? Feilen hos EDB resulterte i en rekke følgefeil for bruk av kort i minibank og på brukersteder (EFT/POS i butikker): Kort ble avvist i minibanker, i hovedsak grunnet manglende svar på forespørsel om aksept fra minibanksystemet på uttak, som igjen skyldes treghet (time-out) på IGWSløsningen. Kort ble avvist på brukersteder, i hovedsak grunnet manglende svar på forespørsel om aksept av betalingen på brukerstedet, som igjen skyldes treghet (time-out) på IGWSløsningen. Kort (samme betalingstransaksjon) ble forsøkt benyttet igjen med den følge at det enten skjedde oppdatering av kapitaltransaksjon 2 ganger, eller det skjedde generering av generering av advice-melding (grunnlag for oppdatering av disponert beløp til pseudosystemet (reservasjon av beløp) 2 ganger). Et stort volum advice-meldinger ble pga problemene hos EDB liggende i kø hos Nets. Når det så ble tilgang på kapasitet for oversendelse av advice-meldinger fra Nets til EDB ble også de reservasjoner som advice-meldingene representerte oppdatert hos EDB på transaksjoner hvor kapitaltransaksjonene (EFT-delen) allerede var oppdatert. For bankenes kunder oppfattes dette som dobbelt postering/reduksjon av tilgjengelig saldo. Kilde: Finanstilsynets, rundskriv 20/2011 av

10 Økt krav til bankene! Finanstilsynets rundskriv 20/2011 Bankene må sette konkrete krav til leverandørene og deres arbeid, og forsikre seg om at arbeidet utføres i henhold til avtale, aktuelle retningslinjer og gjeldende regelverk, gjennom utøvelsen av en aktiv styring og kontroll med leveransene. Tre klar krav til bankene med rapporteringsfrist til Finanstilsynet: 1. Helhetlig kartlegging av kritiske komponenter i IKT-infrastrukturen som representerer kritiske funksjoner slik at betalingssystemer og kundereskontrovirksomheten har tilstrekkelig tilgjengelighet. 2.Sikre samordnet beredskap mellom banken og leverandøren, inkludert gjennomføring av øvelse. 3.En redegjørelse for hvordan den enkelte bank vil sikre seg en mer direkte deltakelse i endringshåndteringen hos leverandøren. Dette gjelder der bankenes løsninger er direkte berørt i endringene, og for kritiske komponenter som direkte kan berøre bankenes betalingssystemer og/eller kunde-/reskontroområdet. IKT-forskriften 3, 10 og 11 IKT-forskriften 11 IKT-forskriften 9 10

11 Kontinuitetsplaner 11

12 Kontinuitetsplaner hvilke krav stilles? 10 i IKT-forskriften stiller krav til en kontinuitetsplan med bakgrunn i risikoanalysen ( 3). Dette innebærer at hvis risikoen endrer seg, må man på nytt vurdere påvirkningen på kontinuitetsplanen. 11 i IKT-forskriften stiller krav til dokumentert katastrofeplan, samt at det minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Men hva anses som tilstrekkelig? 12

13 Kontinuitetsplaner vanskelig i praksis? Utfordringen i praksis er: Manglende helhetlig risikoanalyse - hele IT-verdikjeden skal gjennomgås. Manglende detaljeringsgrad i risikoanalysen gir ikke nok å jobbe videre med. Manglende oppdatering av risikoanalysen fanger dermed ikke opp behovet for endret kontinuitetsplan. Manglende helhetlig involvering av alle berørte parter i IT-verdikjeden man oppnår ingen tilstrekkelig trygghet for at katastrofeløsningen virker siden ikke alle er med og tester. 13

14 Bankenes ansvar ved utkontraktering 14

15 IKT-forskriftens 12 om utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. 15

16 Regelverket omkring utkontraktering Med visse unntak er det ikke regler som direkte begrenser mulighetene til utkontraktering annet enn nærmere definerte krav som skal være oppfylt. Men, det skal utføres en risikovurdering. Det enkelte finansforetak må sikre etterlevelse av lover, forskrifter, annet aktuelt regelverk (f.eks. egenregulering som benyttes mellom bankene) og egne retningslinjer. Det blir derfor viktig at foretaket som skal utkontraktere sikrer at alle nødvendige vurderinger blir gjennomført, dokumentert og legges til grunn for en eventuell beslutning. I Rundskriv 14/2010 om Utflytting av bankenes IKT-oppgaver, legger Finanstilsynet til grunn klare begrensninger i utkontraktering til områder som betegnes som høyrisikoområder. 16

17 Risiko ved utkontraktering Utilstrekkelig kvalitet på IT-tjenestene. Mangelfull kontrakt og uklare ansvarsforhold mellom partene. Mangelfullt samarbeid og samhandling mellom kunde og leverandør, for eksempel vedrørende endringer, teknologistyring, rapportering og kontroll. At kundens virksomhet mister kompetanse, og: o reduserer evnen til å kunne vurdere kvalitet på leveransen o reduserer evnen til styring og kontroll med ITvirksomheten, for eksempel leverandørens sikkerhetsregime og sikkerhetsdokumentasjon. 17

18 Bankene må tydeliggjøre sitt ansvar overfor leverandørene Banken Krav: Mål Risikotoleranse Retningslinjer Tiltak/kontroll Rapportering: Måloppnåelse Risikosystem Risiko/tiltak Etterlevelse/Avvik Leverandøren 18

19 Oppsummering Utfordringer, erfaringer hvordan går man frem 19

20 Sentrale utfordringer Mangelfulle risikovurderinger generelt. Mangel på verdikjedeperspektiv. En ser ikke helheten, men blir bedre. Utilsiktede konsekvenser av endringer medfører nedetid. Kompleksitet medfører behov for beredskapsplaner. Gråsoner i ansvar mellom bank, og IT tjenesteleverandør og underleverandør. Utkontraktering til the lowest bidder medfører risiko for mindre bankforståelse hos IT tjenesteleverandør. Bankene forventer at IT tjenesteleverandør kjenner forretningsprosessen. 20

21 Våre erfaringer Utfordringene er store, banken er nødt til å tenke verdikjeder. Top down tilnærming for å få oversikt. Risikobasert tilnærming for å prioritere det viktigste først. Virksomhetsforståelse er viktig for IT 21

22 Fokusere på håndtering av vesentlige enkeltrisikoer Hensikten med en risikovurdering er å få en oversikt over: 1. Vesentlige risikoeksponeringer 2.Tiltak rettet mot vesentlige risikoeksponeringer: a) Hvilke tiltak er iverksatt? b) Er tiltakene tilstrekkelige? c) Fungerer de? hvordan vet vi dette? 3.Om det er behov for ytterligere tiltak, og hvor mye det eventuelt haster? 22

23 IT risikovurdering

24 Risikovurderingsmetodikken bør være handlingsorientert og ikke unødig komplisert Sannsynlighet 3 Utilstrekkelig kontrollert - tiltak bør iverksettes umiddelbart Utilstrekkelig kontrollert - tiltak bør iverksettes Tilstrekkelig kontrollert Forklaring: Kilde: Jonas Gaudernack () Plassering i matrisen viser risiko dersom kontrolltiltak mangler eller svikter (iboende risiko) Farge viser om tilstrekkelige risikotiltak er på plass (residual risiko) Konsekvens 24

25 Takk for oppmerksomheten!