RiskNet Open Workshop. Adaptive security mechanism for bank and assurance

Transkript

1 RiskNet Open Workshop Adaptive security mechanism for bank and assurance Sikkerhetsløsninger som kan tilpasses/spres/gjenbrukes i bank/finanssektoren 02. mars 2009 Frank Robert Berg, Kredittilsynet

2 Agenda 1. Litt om Kredittilsynet 2. Tilnærming til sikkerhet på IKT-området 3. Eksempler på tiltak 2

3 Relasjonskart 3

4 Organisasjonskart IT-tilsyn og tilsyn med betalingssystemer 4

5 Kredittilsynets hjemmelsgrunnlag og ansvar for oppfølging av regelverk: Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. (Kredittilsynsloven 3) Forskrift om bruk av informasjons- og kommunikasjonsteknologi er hjemlet i Kredittilsynsloven (IKT-forskriften) og stiller krav til at finansforetakets bruk av IKT virker på en hensiktsmessig og betryggende måte gjennom å stille krav til ulike IKT-prosesser Basel 2 definisjon på Operasjonell risiko: Med operasjonell risiko menes risiko for tap som følge av utilstrekkelige eller sviktende interne prosesser eller systemer, menneskelige feil, eller eksterne hendelser. Reguleringstiltak som en følge av Basel II. Lov om betalingssystemer, kapittel 3. Systemer for betalingstjenester 3-1. Formål.. å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas. Andre lover og forskrifter gjelder også 5

6 Multilaterale organer for finansiell stabilitet, tilsyn og regulering Finansiell stabilitet/ sentralbank Tilsyn og regulering ICBS IMF BIS IOSCO (Baselkomiteen) IAIS Globalt Samarbeid Verdensbanken Financial Stability Institute Joint Forum FATF Financial Stability Forum G7 OECD EU/EØS ECB BSC European Banking Committee EBC CEBS (bank) Insurance Committee EIOPC CEIOPS (forsikringstilsyn) European Securities Committee ESC CESR ( Verdipapir) Accounting Regulatory Committee ARC Audit Regulatory Committee AuRC 6 Diverse underkomiteer og ekspertgrupper

7 Blåboka Egenregulering FNH: Finansnæringens Hovedorganisasjon Betalingsinfrastruktur i Norge - Beslutningshierarki BBB: Bransjestyret for Bank og Betalingsformidling i FNH Ansvarsregulerende Utvalg Bankklagenemnda Referansegruppe SEPA FU: Bankforeningenes Fellesutvalg for Betalingsformidling Fagutvalg Bank ID FAO: Fagutvalg for Avregning og Oppgjør BSK: Bankenes Standardiseringskontor Kontraktsutvalget Bank ID Koordinator BSKs faggruppe for Interbankutveksling BSKs faggruppe for Elektronisk Regningsbetaling BSKs faggruppe for Kortsystemer BSKs faggruppe for Bank ID BSKs faggruppe for Kontrollutvalget BSKs Nettbankutvalget Bankenes Betalings Sentral (BBS) Bank ID Markedsgruppe SWIFT NNG: Norwegian National Group NICS Operatørkontor BBS prosjekter Bank ID Referansegruppe 7 SWIFT User Group European Swift Alliance Rådgivende Bankgruppe for NICS Norges Bank Konsesjon Tilsyn Kredittilsynet Konsesjon Tilsyn

8 Arbeid med ROS-rapporten går direkte på viktige deler av Kredittilsynets strategi, Solide finansinstitusjoner og foretak med egnet ledelse, god internkontroll og risikostyring. 2. Robust infrastruktur som sørger for betryggende oppgjør og betalinger. 3. God overvåkning av risikoen i husholdninger, foretak og eiendoms- og verdipapirmarkedet. 4. Tilstrekkelig informasjon til investorer og brukere i finansmarkedet, og god kvalitet på finansiell rapportering fra børsnoterte foretak. 5. Å bidra til at aktørene i finansmarkedet overholder atferdsreglene og søke å forhindre atferd som kan medføre redusert tillit til finansmarkedet. 6. At kritiske situasjoner håndteres med minst mulig skadevirkninger. 8

9 Kredittilsynets årlige ROS-analyse Nasjonalt og europeisk nivå 9

10 Kredittilsynets årlige Tilstandsrapport Norges Bank - Samarbeid Bruk av og oppfølging av Relevante myndighetsrapporter 10

11 BAS 5 fra FFI Støtte til og aktiv deltager i BAS 5 og som bl.a. lå til grunn for utarbeidelse av Veiledning for gjennomføring av ROS-analyser. 11

12 Våre virkemidler - hovedopplegg Kredittilsynet IT-tilsyn Betalingstjenester Lover og forskrifter IKT-forskriften IT-tilsyn Årlig ROS-analyse av IKT Meldeplikt: Systemer for betalingstjenester Hendelsesrapportering Regelverksutvikling Forvaltning Etterlevelse Etterlevelse Risiko Risikoforståelse Overvåkning og kontroll Etterlevelse Risiko Reaksjon Informasjon og kommunikasjon Foredrag 12

13 Etterlevelse av IKT-forskriften 1 Virkeområde 2 Planlegging og organisering 3 Risikoanalyse 4 Kvalitet 5 Sikkerhet 6 Utvikling og anskaffelse 7 Systemvedlikehold 8 Drift 9 Avviks- og endringshåndtering 10 Krav til kontinuitet 11 Driftsavbrudd og katastrofeberedskap 12 Utkontraktering 13 Dokumentasjon 14 Dispensasjon 15 Ikrafttredelse Etterlevelse: Tilsynsopplegget Veiledninger Temaopplegg 13

14 IT-tilsynets egenevalueringsmoduler med kontrollspørsmål Inndelt i 34 IT-prosesser (CobiT) med 170 kontrollspørsmål (v 5.0) IT-driftsprosesser (ITIL) med 132 kontrollspørsmål ANTIVIRUS 136 Brannmur 100 Katastrofebackup 33 + Teknisk 300 Nettbank 46 Betalingstjenester 104 Antihvitvasking 25 Versjon for IT-prosjekter med 34 kontrollspørsmål Versjon for IT-leverandører med 94 kontrollspørsmål Krav til IRB-modeller 28 Forenklet versjon med 77 kontrollspørsmål - M1, M2, F3 og F4 Meldeplikten ivaretas med svar på 19 kontrollspørsmål 14

15 Top down approach on the basis of IT processes IT processes Approach: IT processes based on CobiT s 34 IT processes We have developed 170 questions related to individual processes for control check. This is a self declaration scheme with YES/NO answers. Current version: 5th generation control questions, newest related to CobiT 4.0. (PWC did the quality assurance of version 1.) There are additional elements. Processing satisfactorily Trust IT risk Affirmative tests Approach: Selected IT topics based on a risk assessment. We have developed control questions related to selected elements. With support from key companies (Norman, IBM, Accenture.). This is a self declaration scheme with YES/NO answers. There are additional elements.. Can ITIL give a better reference for development on control questions and selection of focus areas? Approach: Transaction tests on selected IT themes based on a risk assessment. Not started because of a combination of complexity, competence and resources. Is under consideration on the basis of risk assessment approach and the development towards a more risk based supervision. Has been a focused area for a long period of time. Some preparatory work, but not in use yet. verification Confirmation 15

16 Årlig ROS-analyse 20 Gjennomførte IT-tilsyn 35 Forenklede IT-tilsyn Resultater fra IT-tilsyn Gjennomførte Intervju Data fra Hendelseslogg Meldeplikten Betalingssystemer Annen relevant informasjon Skaffe oss oversikt Analysere Foreslå tiltak 16

17 Kap. 6 Risikoområder Kredittilsynets vurderinger 1. Gjennomføring av katastrofetest 2. Konfigurasjonsstyring 3. Nettverk 4. Offshoring 5. Endringshåndtering 17

18 Kap. 7 Kredittilsynets videre oppfølging Gjennomføre IT-tilsyn og opprettholde øvrig kontakt med foretakene (hendelsesrapportering, intervjuer) på et nivå som sikrer Kredittilsynet et realistisk bilde av IKT-området i finanssektoren Bidra til å etablere samarbeidsarenaer for deling av informasjon og drøfting av felles IT-problemstillinger i finanssektoren Videreformidle informasjon om IT-sikkerhetsarbeid basert på deltagelse i nasjonale og internasjonale organisasjoner Aktivt forvalte regelverk knyttet til operasjonell risiko på IKTområdet 18

19 Nettbanksystem Kundens PC Åpent nettverk Internet Internet 19 Pålogging/autentisering: -Fødselsnummer/annet -Engangspassord -Rullerende passord Tjenester: -Betalinger innenlands/regningsbetaling -SWIFT betalinger utenlands -e-faktura -Avtalegiro -Kjøp/salg aksjer Internet Banking Server Mottakssystem: -Forfallsregister -Betalingsmottakerregister -Betalingskanaler -Grensesnitt til andre system

20 ROS-analyser Betalingsmidler Kontopenger Bankkonto Kredittkonto Debetkonto e-penger Betalingstjenester Nettbank Betalingsinstrumenter Kort med magnetstripe Kort med chip Kort med chip + RFID Sårbare områder Sikkerhetstjenester Identifisere, registrere og autorisere kontoeiere Autentisere kontoeiere Autorisere betalingstransaksjoner Sikkerhetsteknikker PIN Passord kryptering Håndskreven signatur Digital signatur/ BankID Sikkerhetsteknologi Magnetstripe Chip RFID PC Mobiltelefon Betalingsterminal Kontopenger lagret i bank e-penger lagret i chip e-penger lagret i PC Overføring av penger i nett Identitetsinformasjon Implementerte kryptografiske metoder Nett PC Terminaler Mobiltelefon 20

21 21

22 Basic data and most of conclusions: Based on INTECO surveys ( about information security and trust in Spanish households. Continuous monitoring of more that homes. Two major sources of information: special kit installed in users PCs and continuous questionnaires. Work done since 2007Q4. 3 rd wave: May, June and July st wave ended in January and 2 nd in April. Several platforms covered: Microsoft, linux and Mac 22 22

23 The actual situation Every 8 PCs of 10 are infected (with a 5% variation during the year). It is quite a stable data But more than 90% PCs had antivirus 23 23

24 Actual situation: categories of malware Nothing new: trojans are the most common malware and infects more than 50% of PCs

25 25

26 26

27 Evolution of civil European security research ESRIF ( ) ESRAB ( ) GoP ( ) Various national programmes FP7 Security Theme ( ) 1400 M PASR ( ) 45 M SRC 06 Vienna SRC 07 Berlin SRC 08 Paris SRC 08 Stockholm time European Security Research: The Next Steps (Sept 2004) Fostering Public-Private Dialogue in Security Research and Innovation (Sept 2007) 27 GoP report Research for a secure Europe (March 2004) ESRAB report Meeting the challenge: the European Security Research Agenda (Oct 2006)

28 Communication Middleware for Monitoring Financial CI (CoMiFin) Shared operational picture for financing infrastructures 28

29 29

30 30

31 31

32 32

33 33

34 34

35 The Hard Reality: Organizations cannot secure what they do not manage It s likely that something unlikely will happen Aristoteles, B.C.. The only secure thing is that everything is insecure Francois de Voltaire, Takk for oppmerksomheten! frank.robert.berg@kredittilsynet.no 35