Trusselbildet slik Finanstilsynet ser det Finans Norges Betalingsformidlingskonferanse 2014 Olav Johannessen 12.11.2014
Finanstilsynets hovedmål Finansiell stabilitet Velfungerende markeder samt Forbrukervern Skal sikre tillit til det finansielle systemet stabil økonomisk utvikling verne brukerne av finansielle tjenester Finansiell stabilitet innebærer at det finansielle systemet er solid nok til å formidle finansiering, utføre betalinger og fordele risiko på en tilfredsstillende måte 2
Nasjonal tilstand IKT-sikkerhet Den digitale helsetilstanden i Norge er generelt god Målrettede dataangrep øker imidlertid kraftig Vanligste angrep skjer fra via e-poster og nettsider Høy fokus fra regjeringen på IKT-sikkerhet Eget IKT-sårbarhetsutvalg nedsatt Levere utredning i form av NOU til Justis- og beredskapsdepartementet september 2015 Også omfatte finansnæringen God IKT-sikkerhet er avgjørende for at samfunnet skal fungere Justis- og beredskapsminister Anders Amundsen 3
European Banking Authority (EBA) Finansinstitusjonene gi økt prioritet til IT-relaterte risikoer og forsterke IT-kontroller og gjennomganger. Dekker alle deler av verdikjeden (f.eks. ITtjenesteleverandører, tredjeparts leverandører og IToutsourcings-leverandører) Nasjonale tilsynsmyndigheter sørge for at banker, forsikringsselskaper, investorer og andre aktører avsetter tilstrekkelig ressurser og viser den nødvendig aktsomhet for en forsvarlig forvaltning av sine digitale miljøer og risikoer 4
Trusselbildet 5
Årlig ROS-analyse speile risikobildet Samarbeid Finanstilsynet Norges Bank Skaffe oss oversikt Analysere Foreslå tiltak Leveranse Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester Gjennomførte ROS-intervju Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt - Betalingstjenester Annen relevant informasjon spørreundersøkelser Beredskap - BFI-sekretariatet - Samarbeid andre myndigheter - Infrastruktur betalingssystemer Våre virkemidler Regelverk, innrapportering og tilsynsopplegg 6
Utviklingstrekk risiko 1. Økende kriminalitetsutvikling nasjonalt og internasjonalt 2. Samordning og endringer i EUs regelverk 3. Endringer i organisering og eierskap i foretakene 4. Endringer i sourcing-landskapet 5. Teknologisk utvikling 6. Virtuelle valutaer 7. Bruk av skytjenester 8. Nye aktører innenfor betalingstjenester 7
Aktører innen betalingsformidlingen Mange vil ha en posisjon og bit av kaka Bitcoin Teleoperatører Kilde: Finans Norge 8
Antall rapporterte hendelser i perioden 2011 2013 Hendelser oktober 2012 Hendelser 4. mars og 18. mars 2013 2011: 221 hendelser 2012: 216 hendelser 2013: 189 hendelser Vi så en fortsatt nedadgående trend 1. halvår 2014 frem til juni. Kilde: Finanstilsynet 9
For dårlig akseptansetest etter endringer i kode, implementering, driftsoppsett «Det er oppdaget at kunder av banken har fått overskrevet personopplysninger med utdaterte data. Kjerne er master datakilde for disse opplysningene, og innledende analyser peker på at de utdaterte dataene stammer fra prosjekt som er under implementering.» «I etterkant av en planlagt og godkjent endring tok ikke jobb for kreditreservasjon høyde for at lønn- og masse-betalinger fra nytt plukk ikke skulle kreditt-reserveres.» «Etter undersøkelser ble det konstatert at det var en programmeringsfeil vedrørende to av kildene som var levert til akseptansetesten. Det ble foretatt kontroller av de andre kilde-uttrekkene. Det ble da oppdaget tre feil til.» «Papirfaktura og pdf filer viser feile verdier; overtrekk viser som disponibelt og disponibelt beløp viser som overtrekk.» «Enkeltavtaler på kundenivå skal være knyttet mot en kunde. Grunnet en svakhet i script for import av kunder fra regneark har det oppstått duplikater, der enkeltavtaler har blitt knyttet mot 2 ulike kunder.» «Ved endring av overføringsløype var det mangler som medførte en feil i fil posisjon på komma. Beløpene ble ti-doblet. ««Implementasjonen inneholdt deler av kode for utgående transer som ikke var klar for produksjonssetting. ««Årsaken til feilen er sannsynligvis en feil parametersetting ifm en oppdatering av systemet.» 10
Hendelser vektet med konsekvens Hendelser frem til juni 2014 Deretter prognose ut 2014 Vi så en fortsatt nedadgående trend 1. halvår 2014 frem til juni. Kilde: Finanstilsynet 11
Hovedrisikoområder fra ROS 2013 1. Omfattende endringer i IT-virksomheten 2. Samhandling mellom flere aktører 3. Mangelfulle risikovurderinger 4. Angrep mot betalingstjenestene 5. Risiko fra eldre design gamle og komplekse systemer 12
Risikoområder 1. Omfattende endringer i IT-virksomheten IT-driftssiden IT-forvaltning/vedlikehold Endringer i systemporteføljen Nye aktører for utvikling Endringer driftsleverandører Krever grundige risikoanalyser. Endringer er den største kilden til IKT-feil for finansinstitusjonene. Omfattende avtaleverk må på plass. Tap av lokal teknisk kunnskap og erfaring kan på sikt svekke finansforetakenes bestiller-kompetanse for disse tjenestene. Finanstilsynet har pekt på viktigheten av styring og kontroll med felles operativ infrastruktur, særlig i en beredskapssituasjon og den utfordringen dette kan være dersom deler av virksomheten foregår utenfor Norge. 13
Risikoområder forts. Samhandling mellom flere aktører Nye aktører krever opplegg for samhandling og at flere blir involvert i kjeden. Gjelder både teknisk og operasjonelt og kan føre til uklare ansvarsforhold. Samlet kan dette øke sårbarheten i driften. 14
Risikoområder forts. Mangelfulle risikovurderinger Gjøre bruk av metodeverk og aktuelle standarder. Etablere plan for gjennomføring. Klargjøre hvordan sikre nødvendig kvalitet. Sikre at riktig kompetanse blir allokert - både top-down og buttom-up. Ha en klar avgrensning (scope) av hva som skal risikovurderes. 15
Utkontraktering (Offshoring) Sikre egen styring og kontroll Transparency International The 2013 corruption perceptions index 16
Skytjenester Aktører markedsfører sky tjenester som kosteffektivt alternativ til dagens tradisjonelle datasentre. Det er mange gode grunner..men også mange risikoer og problemer som ikke forsvinner.. og det krever bevisthet på hvilke type data som legges i hvilken type cloud Ansvaret er uansett finansforetakets! Ref IKT-forskriftens 12. Utkontraktering 17
Skytjenester Aktører markedsfører sky tjenester som kosteffektivt alternativ til dagens tradisjonelle datasentre. Det er mange gode grunner..men også mange risikoer og problemer som ikke forsvinner.. og det krever bevisthet på hvilke type data som legges i hvilken type cloud Ansvaret er uansett finansforetakets! Ref IKT-forskriftens 12. Utkontraktering 18
Finanstilsynets risikoanalyse av skytjenester : Tegning fra Finansfokus 6-14 19
Risikoområder forts. Risiko fra eldre design gamle og komplekse systemer Mange sentrale løsninger er fra 1980- og -90-årene. Teknologi og kompetanse kan bli vanskelig å opprettholde. Kompleks integrasjon mellom gamle og nye systemer. Modernisering skjer i stor grad på utsiden. Vanskelig å realisere dagens krav til nye tjenester og nye kundekanaler. Lite fleksible - grunndata ut i kopier Krevende å holde kopiregistre oppdatert. Viktig med statusanalyser og klargjøring av problemstillinger. Flere banker og andre finansforetak har nå prosesser igangsatt for å skifte løsninger. Å vente for lenge kan representere en risiko øke kompleks drift. 20
Risikoområder forts. Angrep mot betalingstjenestene Angrep mot nettbanker (phishing, trojanere, DDOS) Angrep mot betalingskort på nett og i terminal (EFTPOS og minibank) (phishing, tyveri, skimming) Kombinerte scenarier forventer nye varianter ATP (Advanced Persistent Threat) også en trussel mot finansforetak Ransomware Tiltakene i Norge har foreløpig bidratt til at tapene er på et akseptabelt nivå, men stor utrygghet for bruker som blir utsatt for angrep. 21
Nett sikkerhet (cyber security) Ondsinnet programvare (malware) phising og trojanere Ondsinnet programvare distribuert av enkeltpersoner og små hackergrupperinger kan skade dem som berøres, men fører sjelden til vidtrekkende samfunnsmessige problemer. Økning i phishing mot norske finansinstitusjoner i 2013 (riktignok en nedgang i fjerde kvartal). Imidlertid er e-postene fremdeles ikke skrevet på godt nok norsk til å oppfattes helt troverdige (men noen er etter hvert ganske nære) Ofte brukes en kombinasjon av ondsinnet programvare, der en metode kan skjule bruk av annen. F.eks var phishing en av taktikkene som ble brukt i alvorlig hacker angrep på Telenor ledelsen i 2013. Phishing utviklet seg både kvantitativt og kvalitativt (sofistikerte og målrettede / spearfishing) og mål er som oftest betalingskort, men også betalingskontoer. Vi ser også en dramatisk økning i telefon phishing, ofte koblet til en ondsinnet nettside. Nedgang i trojanere aktivitet i 2013, selv om de blir stadig mer sofistikerte og dermed vanskeligere å oppdage ved hjelp av tradisjonell anti-virus programvare. Aktiv beredskap og godt forsvar kombinert med beskjeden avkastning. Denne typen angrep har kommet i bølger. Fortsatt stor aktivitet internasjonalt. Antas at Norge igjen kan bli rammet av målrettede angrep 22
Nett sikkerhet (cyber security) Ondsinnet programvare (malware) DDoS DDoS angrep fortsatte å øke 2012-2013, men med en nedgang mot slutten av 2013. Kan enkelt kjøpes som en tjeneste på "dodgy" markedsplasser DDoS-angrep er ikke nødvendigvis det viktigste når det gjelder sårbarheter som kan påvirke bank- og betalingssystemer. Effektive mottiltak har blitt tatt både av institusjonene selv og av Internett-leverandører, med det resultat at selv om angrepene har økt, har de hatt liten innvirkning på tilgjengelighet. DDoS-angrep blir stadig mer sofistikerte og brukes i kombinasjon med andre angrep. Ett større norsk forsikringsselskap bli i 2013 ble utsatt for et DDoS-angrep der angriperne kom med konkrete trusler. Sommeren 2014 ble, blant andre, finansnæringen truffet av et stort DDoS angrep. Tjenesteleverandøren håndterte situasjonen effektivt slik at skadeeffekten ble på maksimalt 1,5 time. 23
Nett sikkerhet (cyber security) Svindel fra "card-not-present" transaksjoner Kredittkortsvindel er en av de høyeste teknologi risikoene for finansnæringen. Norske kort er brukt fysisk i utlandet, og ikke minst i virtuell online shopping. Markant økning i tap knyttet til bruk av betalingskort i nettbutikker, dvs. "card-notpresent" transaksjoner, hovedsakelig ved bruk på online shopping-nettsteder som ikke krever 3-D Secure godkjenning. Dette er delvis knyttet til storskala hacking av databasene hos internasjonale aktører som inneholder betalingskortnumre, men også phishing-angrep. (Vi antar at dette vil fortsette å vokse) Lagring av store volum av kortdata er spesielt sårbare Finansnæringen i Norge har tatt mange initiativ, for eksempel bruk av chip (EMV) og 3- D Secure, og er godt i forkant globalt i forhold til å redusere sårbarhet. 24
Nett sikkerhet (cyber security) Sårbarhet mobile applikasjoner OWASPs (The Open Web Application Security Project) vurderinger er sammenfallende med Finanstilsynets vurderinger vedr risikoen knyttet til mobile tjenester, som viser at sårbarhets trenden er rundt fem år etter den tradisjonelle nettbanken. Utviklingen er i stor grad knyttet til bruk av ny teknologi. Fare for umoden kompetanse og mangel på kvalitetssikring med hensyn til sikkerhet. Et risiko aspekt er at betaling eller bankforhold bare er ett av mange behov samlet på samme enhet / sted. Frem til i dag er Finanstilsynet ikke kjent med angrep på mobile apps i Norge. 25
Nett sikkerhet (cyber security) Finanstilsynets vurdering av det fremtidige trussel landskapet Mer sofistikerte angrep og bruk av stadig mer avanserte verktøy Verktøy som brukes mot PC-plattformer konverteres til bruk mot mobile enheter Et stort antall nasjonalstater har nå kapasitet til å gjennomføre målrettede angrep, for eksempel Advanced Persistent Threat (APT), mot regjeringer og mot private og offentlige virksomheter Finanstilsynet har grunn til å tro at kriminelle fortsetter arbeidet med å utvikle metoder for å angripe nettbanker, minibanker og EFT / POS-terminaler, og at angrep på systemene i de enkelte land vil komme i bølger og muligens uventet Institusjonene kan ikke beskytte seg mot angrep av ondsinnet programvare, men de må ha på plass "intelligens", "spioner", overvåking og forsvar slik at konsekvensene kan reduseres til et minimum. Nødvendig at foretakene opprettholder det viktige arbeidet med å bygge forsvar og tette sårbare områder, ettersom angrepene antas å komme, avhengig av de kriminelles vurdering av sine sjanser for suksess 26
Nett sikkerhet (cyber security) Finanstilsynets vurdering av det fremtidige trussel landskapet - 2 Finanstilsynets erfaring er at institusjonene selv og tjenesteleverandører er godt forberedt og har iverksatt effektive tiltak som demper tap og minimere konsekvensene, som holde kundene informert raskt nedleggelse falske nettsteder plukke opp svar på henvendelser overvåking av transaksjoner. 27
Nett sikkerhet (cyber security) oppsummert Det norske bildet Myndighetene og IT-brukerne i de nordiske landene er blant de mest IT-sikkerhetsbevisste i verden, og har den laveste raten av infeksjon med virus og malware. Til tross for omfattende angrep i Norge, tyder rapporter på at antallet infiserte PC-er i Norge er relativt liten. Uansett må institusjonene fortsette og prioritere å beskytte seg mot malware. Samordnet involvering av myndigheter, internettleverandører, politiet og de ulike CERT s har resultert i stadig bedre beskyttelse mot uønskede konsekvenser av cyber-angrep. Etableringen av FinansCERT Norge, i regi av Finans Norge, etter påtrykk fra Finanstilsynet, anses som et velegnet skritt i prosessen med å sikre elektroniske betalingssystemer. Finansinstitusjoner er pålagt å rapportere vesentlige hendelser til Finanstilsynet i henhold til IKT forskriftens 9. Hendelsesdatabasen er en verdifull kilde til data for å analysere trender Finanstilsynet publiserer årlig en risiko- og sårbarhetsanalyse (ROS). Ett område som blir dekket er elektronisk kriminalitet, herunder nettkriminalitet. Betalingstjenester er fortsatt under kriminelle angrep, hovedsakelig mot elektroniske kanaler hvor betalingstjenestene distribueres digitalt. Elektronisk kriminalitet vil forbli global, og Norge kan bli gjenstand for angrep som er både uventede og involverer bruk av ukjente metoder. Elektronisk kriminalitet har, så langt, vært godt ivaretatt både av institusjonene og av finanssektoren som helhet. Det er viktig at finansnæringen fortsetter å prioritere forebyggende arbeid og iverksette raske tiltak for hensiktsmessig håndtering av sårbarheter og risiko. Generelt viser finansnæringens direkte tap en markert nedgang i 2013. 28
Takk for oppmerksomheten! Olav Johannessen FINANSTILSYNET Seksjonssjef Seksjon for tilsyn med IT og betalingstjenester E-post: ola@finanstilsynet.no 29