Pressebriefing 12. april 2012. Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Like dokumenter
Pressebriefing 11. april 2013

Seminar 3. mai Identifiserte risikoområder Tilsynsrådgiver Stig Ulstein

Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Seminar om betalingssystemer og IKT i finanssektoren,

Pressebriefing 3. april 2014

Finanstilsynets risiko- og sårbarhetsanalyse 2010

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Bankenes sikringsfond 9. september 2014

Utfordringer innen IKTområdet PwC 20. september 2011

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Pressebriefing 9. april 2015

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Beredskapsutvalget. for finansiell infrastruktur (BFI)

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Betalingssystemer og IKT i finanssektoren 27. mai 2015

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

HÅNDTERING AV NETTANGREP I FINANS

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge

Egenevalueringsskjema

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

NORGES BANKS SYN PÅ BETALINGSSYSTEMET KNUT SANDAL, NORGES BANK BETALINGSFORMIDLINGSKONFERANSEN 17. NOVEMBER 2015

RAPPORT OM FINANSIELL INFRASTRUKTUR 2014 ANNA GRINAKER, ASS. DIREKTØR ENHET FOR FINANSIELL INFRASTRUKTUR OSLO, 22. MAI 2014

Felles varslingskrav for aktørene i NICS. (Norwegian Interbank Clearing System)

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Søknadsskjema etter finansforetaksforskriften 3-2

Årsrapport om betalingssystem Knut Sandal, direktør i enhet for finansiell infrastruktur Seminar 23. mai 2013

Nettbanksikkerhet. Erfaringer fra SpareBank 1

Trusselbildet slik Finanstilsynet ser det

Felles varslingskrav for aktørene i NICS (Norwegian Interbank Clearing System) 2018

Risiko- og sårbarhetsanalyse (ROS) Tilsynsrådgiver Stig Ulstein Tilsynsrådgiver Atle Dingsør Finanstilsynet

Risiko- og sårbarhetsanalyse (ROS) Rapport om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Knut Sandal, Norges Bank. Seminar om betalingssystemer og IKT i finanssektoren arrangert av Finanstilsynet og Norges Bank, 3.

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Mobilbetalinger og raskere betalingsformidling ambisjoner for felles løsninger og standarder

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

Finanstilsynets risiko- og sårbarhetsanalyse 2009

Noen høyaktuelle temaer knyttet til betalingsformidling. Jan Digranes, direktør prosessområde bank, Finans Norge

(BFI) Årsrapport 2005

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Pressebriefing 28. april 2016

Foretakets navn : Dato: Underskrift :

Oppfølging av informasjonssikkerheten i UH-sektoren

Finanstilsynets årsmelding Styreleder Endre Skjørestad Pressekonferanse 10. mars 2011

Hvitvasking som operasjonell risiko Finans Norge, 10. Januar 2018

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Norsk betalingsformidling Hvordan komme i front i 2020?

Overordnet IT beredskapsplan

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Regnskap- og oppdragssystemer

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Risiko- og sårbarhetsanalyse (ROS) 2005

Seminar 1. juni Risiko- og sårbarhetsanalyse (ROS) 2015 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

NORGES BANKS OPPGJØRSSYSTEM

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Aktuelle saker fra Finanstilsynet -regnskaps- og revisjonsområdet

RISIKO- og SÅRBARHETSANALYSE (ros)

Innholdsfortegnelse... 3 Oversikt over tabeller og figurer... 9 Forord... 11

Egenevalueringsskjema

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Internkontroll i praksis (styringssystem/isms)

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Bankenes fakturaformidling i lys av nye krav

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Regler for forholdet mellom oppgjørsbanker for nivå 2 og NICS

Derfor trenger du BankID på nettstedet ditt

Risiko- og sårbarhetsanalyse (ROS) 2006

Risikovurdering av Public 360

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

RISIKO- OG SÅRBARHETSANALYSE (ROS) 2009

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Datasenterstrategi i SpareBank 1 Hvilke valg finnes mellom skyen og egen kjeller?

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Samarbeid om den felles infrastruktur

(BFI) Årsrapport 2004

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC

Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Årsrapport om betalingssystem 2012

EN FINANSNÆRING I ENDRING. NSR, Direktørmøte 7.oktober 2015 Idar Kreutzer, adm. dir. Finans Norge

OPPGJØR AV VERDIPAPIR- HANDLER I VPS

Regler for forholdet mellom oppgjørsbanker for nivå 2 og NICS

Visma.net AutoPay. Tonje Fineide, produktsjef Visma.net AutoPay

Betydningen av en effektiv betalingsinfrastruktur

Tilsyn med finansmarkedet FINANSTILSYNET

Norsk infrastruktur for betalingsformidling frem mot 2020

Betalingssystemet en kilde til risiko. Behovet for overvåking og tilsyn

Revisjon av IKT-området i en mindre bank

BankAxess; Regler for brukerdialoger

Tap2Pay - Erfaring fra praktisk arbeid med NFC Betalingsformidling 2012

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Enklere bank. snn.no/bruk

AVTALE OM OPPGJØR AV AVREGNINGER FRA VERDIPAPIRSENTRALEN ASA (VPS) MELLOM XXXXXX BANK ASA (banken) OG NORGES BANK

Transkript:

Pressebriefing 12. april 2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Seksjonssjef Frank Robert Berg

Risikobildet og trusselutviklingen (ROS-analysen 2011) Samarbeid Finanstilsynet - Norges Bank Skaffe oss oversikt Analysere Foreslå tiltak Leveranse Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester 24 Gjennomførte ROS-intervju 16 Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt Betalingstjenester Annen relevant Informasjon spørreundersøkelser Beredskap -BFI-sekretariatet -Samarbeid andre myndigheter -Infrastruktur betalingssystemer Våre virkemidler 2

ROS-analysen 2011 Globale trender finanssektoren som bør ha kunnskap om Telekommunikasjon Tjenesteutvikling betalingstjenester Mobile enheter ny teknologi Bruk av sosiale medier risiko Utkontraktering Internett-kriminalitet 3

ROS-analysen 2011 Risikoområder 2011 Risiko ved utkontraktering Mangler ved styring og kontroll Kriminelle angrep mot betalingssystemene Risiko for driftsavbrudd og systemfeil 4

ROS-analysen 2011 Risikoområder 2011 Risiko ved utkontraktering Kostnadseffektivisering Tilgang på ressurser og kompetanse Du har fortsatt ansvaret Det betyr fortsatt kontroll med (ISO27001) integritet, konfidensialitet og tilgjengelighet Kompetanse og kapasitet til å administrere avtalene Kontrollere leveransene kan være krevende Forstå og håndtere risiko som er involvert Etterleve regelverk 5

ROS-analysen 2011 Risikoområder 2011 Mangler ved styring og kontroll Nødvendig kunnskap om IT-governance og beste praksis i å styre IKT-virksomheten Det betyr i praksis å etablere rammeverk som omfatter: roller og ansvar, prosessbeskrivelser, rutiner/retningslinjer, bruk av verktøy og kontroll 6

Betalingssystemer Infrastrukturen som understøtter stadig mer avanserte betalingsløsninger er kompleks: Betaler Betalers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Mottakers bank Mottaker Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering 7 Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører Nets Norway AS (felles betalingstjenester, infrastruktur og drift) EDB ErgoGroup ASA (totalleverandør) SDC, Danmark (totalleverandør) Danske Bank IT IBM (drift i Sverige og Danmark) Nordic Processor (Nordea/IBM) CSC Strategi Styring og kontroll Operasjonalisering Tele

Verdipapirsektoren Kjøper Kjøpers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Selgers bank Selger Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering Verdipapirforetaket NICS Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører/institusjoner NBO (Norges Bank) VPO Strategi Styring og kontroll Operasjonalisering Oslo Børs Oslo Clearing Verdipapirsentralen EDB ErgoGroup (NBO) LSE FNN BaneTele Telenor Nets Norway AS Tieto (ProBroker) 8

ROS-analysen 2011 Risikoområder 2011 Kriminelle angrep mot betalingssystemene Sikre nødvendig kompetanse Etterleve regelverk Etablere preventive tiltak Sikre nødvendig beredskap Samarbeid med andre 9

Hovedbilde av angrepene i 2011 Det har vært en rekke phishing-angrep parallelt mot både banker og finansieringsforetak. Angrepene kom i bølger med til dels nye versjoner av trojaner programkoden. Spyeye 1 Spyeye 2 Zeus Spyeye 3 Februar April Mai Juni Noen av tiltakene, utover bankenes egne tiltak og samarbeidet mellom bankene, har Finanstilsynet hatt møter med berørte banker om, Bankenes Standardiseringskontor, Finansnæringens Fellesorganisasjon og KRIPOS. 10

Noen ulike roller knyttet til nettbanksvindel Rolle Malware-utvikler Rekrutterer muldyr Muldyr Setter sammen angrepskoden Spredning av angrepskoden Tester Utnytter infiserte PC-er Sikrer mottak av penger Oppgaver De som forestår den grunnleggende programvareutviklingen Sikrer at noen stiller en konto til rådighet i landet som skal angripes Den som stiller konto til rådighet og foretar videre overførsler/uttak Skreddersyr angrepet basert på grunnkoden Sprer koden gjennom ulike opplegg, f.eks. gjennom phishing eller nettsteder Prøver transaksjoner på infiserte PC-er for å sjekke om det virker Gjennomfører angrep mot infiserte PC-er gjennom overvåking og tiltak eller gjennom logikk bygget i koden Den som overfører penger videre, eller tar penger ut og overfører dette via andre kanaler (f.eks. Western Union) 11

Trojanerangrep nettbanker 1) Nærmere gjennomgang med BSK av dokumentet. 2) Forberede mulige ytterligere risikoreduserende tiltak: Mottaker skal alltid være oppdatering i betalingsmottaker register. Dette skal skje gjennom uavhengig kanal? Elektronisk bekreftelse / MAC (media access control), IP-address (195.159.150.5)? SMS melding i definerte situasjoner, alle overførsler til SWIFT? Iverksetting kan skje gjennom rundskriv? 12

ROS-analysen 2011 Risikoområder 2011 Risiko for driftsavbrudd og systemfeil Opplegg for håndtering av hendelser Katastrofeløsning og testing Risikovurdering av alle elementer som inngår Identifisere kritiske komponenter Kontinuitetsløsninger 13

Hendelser 2011 Påskehendelsen feil ved autorisering av kort transaksjoner Trojanerangrep Bank IDavbrudd Avbrudd Oslo Børs 14

Oppgaver til bankene: Kartlegging av kritiske komponenter i IKT-infrastrukturen og rapportere til Finanstilsynet innen 31.12.2011 Samordnet beredskap Endringskontroll Oppfølging: Utarbeidet behandlingsprosedyre. Mottatt dokumentasjon fra 134 banker som er gjennomgått. Brev til ca. 50 banker/bankgrupper. Oppsummeringsnotat (april 2012) Underlag for valg av tilsynsobjekter i 2012 15

ROS-analysen 2011 NBO NICS - VPO Økt konsentrasjonsrisiko større konsekvenser for tilgjengelighet Postering / Reskontro Innlesning / avregning Transaksjonskanaler 16

Logisk og forenklet bilde av transaksjonsflyten fra hvor den oppstår, Innsamling, avregning og oppgjør Norges Banks oppgjørssystem (NBO) Felles avregningssystemer Bankenes avregningsystem NICS (konsesjon fra Norges Bank) VPO Nivå 1-banker DNB Bank NORDEA Bank Bank C Bank D Bank E Nivå 2-banker Terra banker Bank I Bank J Teknisk innsamling av transaksjoner (Banker, Nets (Sofie), EDB, andre leverandører) Eksempler på distribusjonskanaler Minibank Nettbank Brukersteder (EFT/POS) Avtalebaserte betalingstjenester Front- og backoffice i bank Internetthandel Annet 17

Tiltak: tematilsyn i 2012 1. Katastrofe og beredskap 2. Betalingstjenester distribuert digitalt 3. IKT-infrastruktur 4. Styring og kontroll 5. Utkontraktering 18

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding