Finanstilsynets risiko- og sårbarhetsanalyse 2009 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Pressebriefing 23. mars 200 Seksjonssjef Frank Robert Berg
Agenda. Innledning 2. Teknologi og utviklingstrekk 3. Finanstilsynets funn og observasjoner 4. Systemer for betalingstjenester 5. Identifiserte risikoområder 6. Finanstilsynets videre oppfølging 2
. Innledning Hensikten med å gjennomføre en årlig ROSanalyse av hele finanssektoren er å sikre oss et helhetlig bilde av risikosituasjonen for finanssektorens bruk av IKT og betalingssystemer. Basert på den kunnskapen dette gir kunne gjøre tiltak i samarbeid med enkeltforetak, fellesinstitusjoner, gjennom regelverk, overvåkings- og tilsynsvirksomhet. Resultatet kan også gi oss et bilde av utviklingen over tid og mellom ulike deler av finanssektoren. 3
2. Teknologi og utviklingstrekk. Cloud Computing 2. Infrastruktur 3. Internettkriminalitet 4. Metoder for tyveri av personinformasjon 4
2. Teknologi og utviklingstrekk - Cloud Computing It's stupidity. It's worse than stupidity. It's a marketing hype campaign. 5 Richard Stallman Founder of the Free Software Foundation and creator of the computer operating system GNU ROS-analysen 5 2009
2. Teknologi og utviklingstrekk - Cloud Computing WHAT ON EARTH IS CLOUD COMPUTING? "The interesting thing about cloud computing is that we've redefined cloud computing to include everything that we already do. I can't think of anything that isn't cloud computing with all of these announcements. The computer industry is the only industry that is more fashion driven than women's fashion. Maybe I'm an idiot, but I have no idea what anyone is talking about. What is it? It's complete gibberish. It's insane. When is this idiocy going to stop? Larry Ellison Oracle CEO & Founder Source: Wall Street Journal 6 ROS-analysen 6 2009
2. Teknologi og utviklingstrekk - Cloud Computing Tjenestene Infrastructure as a Service Platform as a Service Software as a Service 7 ROS-analysen 7 2009
2. Teknologi og utviklingstrekk - Cloud Computing Nøkkelbekymringer vil være knyttet til: CONFIDENTIALITY INTEGRITY AVAILABILITY REGULATORY COMPLIANCE 8 ROS-analysen 8 2009 8
3. Finanstilsynets funn og observasjoner Årlig ROS-analyse Resultater fra IT-tilsyn Gjennomførte Intervju Data fra hendelseslogg Meldeplikten Betalingssystemer Annen relevant informasjon 9 Skaffe oss oversikt Analysere Foreslå tiltak
0 SUM Andre IKT-leverandører Regnskapsførere Revisorer (IT-revisjon) Inkasso Eiendomsmegling Verdipapirforetak Pensjonskasser og -fond Forsikring Bank/finans Foretaksområder 2 2 4 8 6 2003 22 2 8 2 6 2004 3 0 5 0 2 0 0 2005 2 2 4 4 7 2006 2 2 4 5 5 2007 27 22 20 5 2 4 2 2 7 6 9 2 3 2 6 7 5 200 2009 2008 3.. Gjennomførte IT-tilsyn
3.2 Intervju foretakenes egne vurderinger. Hva ser foretaket på som den/de største risiko/ene ved foretakets bruk av IKT? 2. Hva har vært de største problemer på IKT-området i 2009? Hva er grunnlaget for å kunne identifisere disse? 3. Hva ser foretaket på som de største utfordringene i 200 med hensyn til risiko ved bruk av IKT? 4. Hva ser foretaket på som viktige problemstillinger som må adresseres (gjennomføre tiltak) i 200 med hensyn til IKT-sikkerhet? 5. Andre problemstillinger foretaket er opptatt av og som kan ha betydning for virksomhetens bruk av IKT og operasjonell risiko?
3.3. Rapporterte IKT-hendelser Gjennomført forskriftsregulering gjennom IKT-forskriften Prøveprosjekt fra november 2007. Endring av IKT-forskriften til høring, høringsfrist 9. juni 2009. Forskrifteendring skjedde gjennom utvidelse av 9 Avviks- og endringshåndtering med nytt avsnitt iverksatt fra 0.2.2009: Avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og / eller data skal rapporteres til Kredittilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk. Rapporteringen utvides til å gjelde alle de foretaksgruppene som omfattes av IKT-forskriften med unntak av eiendomsmeglerforetak, inkassoforetak og pensjonskasser 2
3.3. Rapporterte IKT-hendelser Fordelt på måned 30 25 20 5 2008 2009 0 5 0 jan feb mar apr mai jun jul aug sep okt nov des 3
Fordelt på forretningsområde 00 90 80 70 60 50 40 30 20 0 0 4 2008 2009 Avregning / Oppgjør Brukere/ansatte Daglig bank, bankens interne systemer Feil bokføring / saldo Handelssystemer børs Kontofon / SMS bank Korttransaksjoner Nettbank Utenlandsbetaling 3.3. Rapporterte IKT-hendelser
3.3. Rapporterte IKT-hendelser Nettbank - antall fordelt på årsak 00 90 80 70 60 50 40 30 20 0 0 2008 2009 SW nettverk ID-tyveri HW applikasjon 5
3. 4. Vurdering av andre aktuelle områder Egne prosjekter som kilder til ROS-analysen:. IKT-infrastruktur 2. Utkontraktering og offshoring 3. 5. Resultater fra gjennomførte spørreundersøkelser. Utkontraktering 2. Test av katastrofeløsningen 6
4. Systemer for betalingstjenester Bruk av betalingskort i minibanker Bruk av betalingskort i bensinautomater Bruk av betalingskort i butikkterminaler Bruk av betalingskort på internett Bruk av internettbank Meldepliktsystemer for betalingstjenester 7
4. Systemer for betalingstjenester Betalingskort Svindeltype betalingskort Kort ikke tilstede (handel på internett) Falske produserte kort basert på stjålet informasjon (i hovedsak skimming av kort i Norge) Kort tapt eller stjålet Kortinformasjon stjålet Ikke mottatt kortforsendelse (posten) TOTAL Splitt på andel tapt i Norge/utenfor Norge Andel svindel i Norge Andel svindel utenfor Norge 8 2009 Internettbank Svindeltype nettbank Angrep ved bruk av ondartet programkode på kundes PC (trojaner) Angrep som utnytter sårbarheter i nettbankapplikasjon (hacking) Phishing Andre former for angrep på nettbank TOTAL 2009
5. Identifiserte risikoområder. Skimming 2. Identitetstyveri 3. Offshoring 4. Stor endringstakt 5. Katastrofe 6. Kompleks infrastruktur 7. Transaksjonskjede 9
5.. Skimming Skimming på ATM er i Norge var økende frem til 2005 Bankene besluttet samlet å iverksette effektive tiltak ved å installere anti-skimming utstyr. Dette er sensorer og programvare som installeres i minibanker for å oppdage om skimmingutstyr monteres. Kommunikasjon mellom kort og terminal virker da ikke. Kun filming av PIN-kode kombinert med tyveri av kort er problem i dag Den gamle skimming teknikken flyttet seg deretter over til besinautomater Type: i6400 fra Ingenico Våren 2009 startet for første gang et opptrappende angrep på EFT/POS terminaler i butikker 20
5.. Skimming Hendelser knyttet til skimming i 2009. 20.000 butikkterminaler i Norge, hvorav 30.000 av type i6400 Ingenico 2. 6 mill BankAxept kort i Norge (ulike tall forekommer), hvorav fortsatt 2 mill kort med kun magnetstripe 3. Hittil i 2009 ca 29.700 kort benyttet i terminaler som har vært skimmet 4. Hvorav magnetstripen er benyttet i 5.936 transaksjoner 5. Mange forsøk på misbruk er stoppet. Samlet tap hittil i Norge er estimert til under 0 mill NOK 6. Misbruket er så langt kun knyttet til bruk av stripe 2 dvs VISA/Mastercard (kredittkort) misbruket (uttak) har utelukkende foregått utenfor Norge. Antagelig +/-.000 kort er berørt? 2
5.2. Identitetstyveri Eksempler på kjente tyveri Kortinnsamlingssentre Million kortinformasjon kompromittert 2009/200 Spania 200 Finland (server knyttet til et shopping senter) 2009 Heartland 2009 RBS Worldpay 2008 RBS Worldpay 2008 Best Western 2008 Hannaford 2007 TJX 2007 Card Systems 2005 BJ Wholesale? 0.50 00.5 2 8 4 46 46 8 Kilde: ITSG - estimater 22
5.3. Offshoring spørreundersøkelse i samarbeid med andre land. Does your country have laws that address the issue of offshoring of IT-functions? 2. Does your country have laws that address the issue of offshoring one smaller banks IT-functions? 3. Does your country have laws that address the issue of offshoring one major banks IT-functions? 4. Does your country have laws that address the issue of offshoring a majority of your countrys banks IT-functions? 5. Does your country have laws that address the issue of offshoring the entire countrys financial environments ITfunctions? 23
Hovedtrekk av IKT-leverandørsituasjonen for banksektoren i Norge Tieto ErgoGroup CSC EDB Business Partner (Telenor) Sparebank Gruppen DnB NOR Mellomstore og mindre banker Nordisk IBM, SDC IBM), Danske Bank IT (IBM) and CSC Offshoring via EDB? via NP Nordea Terra-Gruppen Fokus Bank mer enn 80 sparebanker Etterlevelse av regelverk Risikovurdering Sektorvurdering 24
5.6. Kompleks IKT-infrastruktur Gjennomført eget IKT-infrastrukturprosjekt. Hensikten har vært å: Kartlegge teknisk- og logisk IKT-infrastruktur Analysere for om mulig identifisere Single point of failure og teknisk sårbare områder Mangler i styring og kontroll Dokumentet er bygget opp med:. Konklusjoner (ROS-analysen) 2. Mapping mot OSI-modellen 3. Dokumentasjon av informasjonen vi har samlet inn Application Presentation Sessions Transport Network Data Link Physical 25
5. Finanstilsynets videre oppfølging. Aktuelle tiltak: 2. Økt vektlegging av brukersteder 3. IT-tilsyn 4. Videreutvikling meldeplikt 5. Gjennomføring av ROS-analyser 6. Hendelsesregistrering og -rapportering 7. Informasjon og kommunikasjon 26
Reguleringsmessige Regelverksutvikling Forvaltning Etterlevelse Tilsynsvirksomheten Etterlevelse Risiko Overvåkning/ Operasjonell risiko Risikoforståelse Overvåkning og kontroll Innrapportering basert på krav og triggere Etterlevelse Risiko IKT-forskriften Lov om betalingssystemer Utvikling og vedlikehold av tilsynsmoduler for IKT og betalingstjenester ROS-analysen Hendelsesrapportering Meldeplikten Forenklet IT-tilsyn Best praksis Veiledninger Metoder (CobiT/ITIL) Standarder (ISO) Prosessorientering Risikoorientering Verifisering/bekreftelse Tilsyn Intervju Spørreundersøkelser Utredninger Hendelser Eksterne kilder Oppfølging, analyse og tiltak (Skimming offshoring EDB) 27
IT-tilsynets egenevalueringsmoduler med kontrollspørsmål Inndelt i 34 IT-prosesser (CobiT) med 70 kontrollspørsmål (v 5.0) http://www.kredittilsynet.no/wbch3.exe?ce=5430 IT-driftsprosesser (ITIL) med 32 kontrollspørsmål ANTIVIRUS 36 Brannmur 00 Katastrofebackup 33 + Teknisk 300 Nettbank 46 Betalingstjenester 04 Antihvitvasking 25 Krav til IRB-modeller 28 Mobilbank Passord 34 Versjon for IT-prosjekter med 34 kontrollspørsmål Versjon for IT-leverandører med 94 kontrollspørsmål Forenklet versjon med 77 kontrollspørsmål Meldeplikten ivaretas med svar på 9 kontrollspørsmål Modenhetsmodell og Verifisering?? 28
Deltagelse i EU-prosjekter som eksempler på indirekte tiltak: Pågående prosjekt: CoMiFin (Communication Middleware for Monitoring Financial Infrastructures) Deltagelse i søknad: OMAS (Online Money Laundering Report and Analysis System) 29
Takk for oppmerksomheten! FINANSTILSYNET Revierstredet 3 Postboks 87 Sentrum 007 Oslo www.finanstilsynet.no frank.robert.berg@finanstilsynet.no