Pressebriefing 12. april 2012 Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Seksjonssjef Frank Robert Berg
Risikobildet og trusselutviklingen (ROS-analysen 2011) Samarbeid Finanstilsynet - Norges Bank Skaffe oss oversikt Analysere Foreslå tiltak Leveranse Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester 24 Gjennomførte ROS-intervju 16 Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt Betalingstjenester Annen relevant Informasjon spørreundersøkelser Beredskap -BFI-sekretariatet -Samarbeid andre myndigheter -Infrastruktur betalingssystemer Våre virkemidler 2
ROS-analysen 2011 Globale trender finanssektoren som bør ha kunnskap om Telekommunikasjon Tjenesteutvikling betalingstjenester Mobile enheter ny teknologi Bruk av sosiale medier risiko Utkontraktering Internett-kriminalitet 3
ROS-analysen 2011 Risikoområder 2011 Risiko ved utkontraktering Mangler ved styring og kontroll Kriminelle angrep mot betalingssystemene Risiko for driftsavbrudd og systemfeil 4
ROS-analysen 2011 Risikoområder 2011 Risiko ved utkontraktering Kostnadseffektivisering Tilgang på ressurser og kompetanse Du har fortsatt ansvaret Det betyr fortsatt kontroll med (ISO27001) integritet, konfidensialitet og tilgjengelighet Kompetanse og kapasitet til å administrere avtalene Kontrollere leveransene kan være krevende Forstå og håndtere risiko som er involvert Etterleve regelverk 5
ROS-analysen 2011 Risikoområder 2011 Mangler ved styring og kontroll Nødvendig kunnskap om IT-governance og beste praksis i å styre IKT-virksomheten Det betyr i praksis å etablere rammeverk som omfatter: roller og ansvar, prosessbeskrivelser, rutiner/retningslinjer, bruk av verktøy og kontroll 6
Betalingssystemer Infrastrukturen som understøtter stadig mer avanserte betalingsløsninger er kompleks: Betaler Betalers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Mottakers bank Mottaker Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering 7 Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører Nets Norway AS (felles betalingstjenester, infrastruktur og drift) EDB ErgoGroup ASA (totalleverandør) SDC, Danmark (totalleverandør) Danske Bank IT IBM (drift i Sverige og Danmark) Nordic Processor (Nordea/IBM) CSC Strategi Styring og kontroll Operasjonalisering Tele
Verdipapirsektoren Kjøper Kjøpers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Selgers bank Selger Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering Verdipapirforetaket NICS Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører/institusjoner NBO (Norges Bank) VPO Strategi Styring og kontroll Operasjonalisering Oslo Børs Oslo Clearing Verdipapirsentralen EDB ErgoGroup (NBO) LSE FNN BaneTele Telenor Nets Norway AS Tieto (ProBroker) 8
ROS-analysen 2011 Risikoområder 2011 Kriminelle angrep mot betalingssystemene Sikre nødvendig kompetanse Etterleve regelverk Etablere preventive tiltak Sikre nødvendig beredskap Samarbeid med andre 9
Hovedbilde av angrepene i 2011 Det har vært en rekke phishing-angrep parallelt mot både banker og finansieringsforetak. Angrepene kom i bølger med til dels nye versjoner av trojaner programkoden. Spyeye 1 Spyeye 2 Zeus Spyeye 3 Februar April Mai Juni Noen av tiltakene, utover bankenes egne tiltak og samarbeidet mellom bankene, har Finanstilsynet hatt møter med berørte banker om, Bankenes Standardiseringskontor, Finansnæringens Fellesorganisasjon og KRIPOS. 10
Noen ulike roller knyttet til nettbanksvindel Rolle Malware-utvikler Rekrutterer muldyr Muldyr Setter sammen angrepskoden Spredning av angrepskoden Tester Utnytter infiserte PC-er Sikrer mottak av penger Oppgaver De som forestår den grunnleggende programvareutviklingen Sikrer at noen stiller en konto til rådighet i landet som skal angripes Den som stiller konto til rådighet og foretar videre overførsler/uttak Skreddersyr angrepet basert på grunnkoden Sprer koden gjennom ulike opplegg, f.eks. gjennom phishing eller nettsteder Prøver transaksjoner på infiserte PC-er for å sjekke om det virker Gjennomfører angrep mot infiserte PC-er gjennom overvåking og tiltak eller gjennom logikk bygget i koden Den som overfører penger videre, eller tar penger ut og overfører dette via andre kanaler (f.eks. Western Union) 11
Trojanerangrep nettbanker 1) Nærmere gjennomgang med BSK av dokumentet. 2) Forberede mulige ytterligere risikoreduserende tiltak: Mottaker skal alltid være oppdatering i betalingsmottaker register. Dette skal skje gjennom uavhengig kanal? Elektronisk bekreftelse / MAC (media access control), IP-address (195.159.150.5)? SMS melding i definerte situasjoner, alle overførsler til SWIFT? Iverksetting kan skje gjennom rundskriv? 12
ROS-analysen 2011 Risikoområder 2011 Risiko for driftsavbrudd og systemfeil Opplegg for håndtering av hendelser Katastrofeløsning og testing Risikovurdering av alle elementer som inngår Identifisere kritiske komponenter Kontinuitetsløsninger 13
Hendelser 2011 Påskehendelsen feil ved autorisering av kort transaksjoner Trojanerangrep Bank IDavbrudd Avbrudd Oslo Børs 14
Oppgaver til bankene: Kartlegging av kritiske komponenter i IKT-infrastrukturen og rapportere til Finanstilsynet innen 31.12.2011 Samordnet beredskap Endringskontroll Oppfølging: Utarbeidet behandlingsprosedyre. Mottatt dokumentasjon fra 134 banker som er gjennomgått. Brev til ca. 50 banker/bankgrupper. Oppsummeringsnotat (april 2012) Underlag for valg av tilsynsobjekter i 2012 15
ROS-analysen 2011 NBO NICS - VPO Økt konsentrasjonsrisiko større konsekvenser for tilgjengelighet Postering / Reskontro Innlesning / avregning Transaksjonskanaler 16
Logisk og forenklet bilde av transaksjonsflyten fra hvor den oppstår, Innsamling, avregning og oppgjør Norges Banks oppgjørssystem (NBO) Felles avregningssystemer Bankenes avregningsystem NICS (konsesjon fra Norges Bank) VPO Nivå 1-banker DNB Bank NORDEA Bank Bank C Bank D Bank E Nivå 2-banker Terra banker Bank I Bank J Teknisk innsamling av transaksjoner (Banker, Nets (Sofie), EDB, andre leverandører) Eksempler på distribusjonskanaler Minibank Nettbank Brukersteder (EFT/POS) Avtalebaserte betalingstjenester Front- og backoffice i bank Internetthandel Annet 17
Tiltak: tematilsyn i 2012 1. Katastrofe og beredskap 2. Betalingstjenester distribuert digitalt 3. IKT-infrastruktur 4. Styring og kontroll 5. Utkontraktering 18