Finanstilsynets risiko- og sårbarhetsanalyse 2010

Like dokumenter
Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Pressebriefing 11. april 2013

Finanstilsynets risiko- og sårbarhetsanalyse 2009

Pressebriefing 9. april 2015

Utfordringer innen IKTområdet PwC 20. september 2011

Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Pressebriefing 3. april 2014

Betalingssystemer og IKT i finanssektoren 27. mai 2015

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Seminar om betalingssystemer og IKT i finanssektoren,

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Risiko- og sårbarhetsanalyse (ROS) Tilsynsrådgiver Stig Ulstein Tilsynsrådgiver Atle Dingsør Finanstilsynet

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Aktuelle saker fra Finanstilsynet -regnskaps- og revisjonsområdet

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Seminar 3. mai Identifiserte risikoområder Tilsynsrådgiver Stig Ulstein

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Pressebriefing 28. april 2016

Bankenes. mislighetsstatistikk

Bankenes sikringsfond 9. september 2014

Risiko- og sårbarhetsanalyse (ROS) 2005

RISIKO- OG SÅRBARHETSANALYSE (ROS) 2009

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

Søknadsskjema etter finansforetaksforskriften 3-2

Computerworlds CIO Forum Bank Finans, Frank Robert Berg Seksjon for tilsyn med IT og betalingstjenester

Knut Sandal, Norges Bank. Seminar om betalingssystemer og IKT i finanssektoren arrangert av Finanstilsynet og Norges Bank, 3.

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

RISIKO- OG SÅRBARHETSANALYSE (ROS) 2011

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Finanstilsynets årsmelding Styreleder Endre Skjørestad Pressekonferanse 10. mars 2011

Årsrapport om betalingssystem Knut Sandal, direktør i enhet for finansiell infrastruktur Seminar 23. mai 2013

Mobilbank kontrollspørsmål apper

Seminar 1. juni Risiko- og sårbarhetsanalyse (ROS) 2015 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Egenevalueringsskjema

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

RISIKO- OG SÅRBARHETSANALYSE (ROS) 2010

RISIKO- og SÅRBARHETSANALYSE (ros)

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Aktuelt fra Finanstilsynet

Årsrapport om betalingssystem 2012

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Tilsyn med finansmarkedet FINANSTILSYNET

NORGES BANKS SYN PÅ BETALINGSSYSTEMET KNUT SANDAL, NORGES BANK BETALINGSFORMIDLINGSKONFERANSEN 17. NOVEMBER 2015

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Risiko- og sårbarhetsanalyse (ROS) 2006

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2015

Finanstilsynets prioriteringer. Finanstilsynsdirektør Morten Baltzersen

Tilsynspraksis Bank og Forsikring. Hvitvaskingskonferansen, Sundvolden 8. november 2018 Irene Støback Johansen og Geir David Johannessen

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Trusselbildet slik Finanstilsynet ser det

Felles varslingskrav for aktørene i NICS. (Norwegian Interbank Clearing System)

BankAxept i en ny digital virkelighet. - og hvor er bransjen om 2år? BETALINGSFORMIDLING 2018

Tilsyn med finansmarkedet. Kort om Finanstilsynet

Foretakets navn : Dato: Underskrift :

Utvalgte emner, Fagseminar hvitvasking - forsikring. Anders S. Worren, seksjonssjef Finanstilsynet

Gjenopprettingsplaner - Myndighetenes krav og forventninger

Egenevalueringsskjema

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Risikostyringsfunksjonen

Finansministerens time

RiskNet Open Workshop. Adaptive security mechanism for bank and assurance

Rapport Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

RISIKO- og SÅRBARHETSANALYSE (ros)

Merknader - endelig rapport

Implementering Fra forbedring til effekt

Risiko- og sårbarhetsanalyse (ROS) Rapport om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

HÅNDTERING AV NETTANGREP I FINANS

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

Samarbeid om den felles infrastruktur

Virksomhetsrapport VELG FORETAK. Produksjon/aktivitet Økonomi Kvalitet. Page 1 of 1

Veksten i det glidende tremånedersgjennomsnittet for K2 var 15,2 prosent ved utgangen av oktober, ned fra 15,8 prosent ved utgangen av september.

Merknader - endelig rapport

Forutsetning for nyskaping og vekst

Erfaringer fra tilsynspraksis. Geir Holen Seksjonssjef Seksjon for verdipapirtilsyn Verdipapirseminaret 1/2013

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

Tilsynsperspektiver på OMF. Finans Norges Obligasjonskonferanse 2019 Aud Ebba Lie

Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) RISIKO- OG SÅRBARHETSANALYSE (ROS) 2016

Betydningen av en effektiv betalingsinfrastruktur

God internkontroll i en mindre bank, er det mulig? Problemstillinger og mulige løsninger

Mobilbetalinger og raskere betalingsformidling ambisjoner for felles løsninger og standarder

Ny lov om verdipapirhandel i hva var motivene? erfaringer etter 2 år

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Årsmelding Styreleder Finn Hvistendahl Pressekonferanse 3. mars 2010

NY FINANSFORETAKSLOV. Juridisk fagseminar 15. oktober 2014 Fagdirektør/advokat Carl Flock, Finans Norge

Virksomhetsrapport. Produksjon/aktivitet Økonomi Kvalitet. Page 1 of 8

Høringsuttalelse - vurdering av tiltak i markedet for internasjonale betalingskort i Norge

Standardisering og fellesskap blant konkurrenter

Rapport Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Innføringen av elektronisk faktura

Vedtekter for Bankenes Standardiseringskontor

Nasjonale og internasjonale forhold. Spesialrådgiver Rune Grundekjøn Hvitvaskingskonferansen, Sundvolden november 2012

Transkript:

Finanstilsynets risiko- og sårbarhetsanalyse 2010 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Pressebriefing 31. mars 2011 Seksjonssjef Frank Robert Berg

Finanstilsynets ROS-analyse 2010 Samarbeid Ny samarbeidsavtale med Norges Bank Leveranse Årlig ROS-analyse Resultater fra 26 IT-tilsyn Gjennomførte 14 intervju i 2010 Data fra Hendelseslogg (156 hendelser i 2010) Meldeplikten Betalingssystemer Annen relevant Informasjon (spørreundersøkelser) Skaffe oss oversikt Analysere Foreslå tiltak 2

Gjennomførte IT-tilsyn Foretaksområder 2003 2004 2005 2006 2007 2008 2009 2010 2011 Bank/finans 6 6 10 7 5 5 7 6 9 Forsikring 1 2 1 1 1 2 3 2 3 Pensjonskasser og -fond 0 1 1 0 Verdipapirforetak 8 8 11 4 5 9 6 *)6 7 Eiendomsmegling 1 1 1 1 1 *)1 0 Inkasso 1 2 1 1 1 1 *)1 1 Revisorer (IT-revisjon) 0 1 1 1 *)2 1 Regnskapsførere 4 1 1 1 1 1 1 2 1 IKT-leverandører 2 2 5 4 4 4 2 4 3 Andre (2010=Betalingsinfrastruktur/FNO) 1 0 2 2 1 1 SUM *) 31 forenklede tilsyn i 2010 **) Foreløpig estimat for 2011 >20 21 22 31 21 21 20 22 *)26 **)26 3

ANTIVIRUS 136 Brannmur 100 Katastrofebackup 33 + Teknisk 300 Nettbank 46 Betalingstjenester 104 Antihvitvasking 25 IT-tilsynets egenevalueringsmoduler med kontrollspørsmål Inndelt i 34 IT-prosesser (CobiT) med 170 kontrollspørsmål (v 5.0) IT-driftsprosesser (ITIL) med 132 kontrollspørsmål (må gjennomgås) Krav til IRBmodeller 28 Mobilbank Passord 34 Versjon for IT-prosjekter med 34 kontrollspørsmål (revurderes) Versjon for IT-leverandører med 94 kontrollspørsmål Forenklet versjon med 77 kontrollspørsmål (i bruk ved ordinære tilsyn) Meldeplikten for betalingstjenester ivaretas med svar på 19 kontrollspørsmål Arbeides fortsatt med modenhetsmodell og verifisering (transaksjonstest) 4

ROS-analysen 2010 Kapittel 2 Utviklingstrekk 1. IT-Governance (styring og kontroll) 2. Mangelfull ledelse av store prosjekter 3. Gjennomføring av krav til kostnadseffektivitet og risiko 4. Leverandørutvikling på IKT-området 5. Utkontraktering og Offshoring 6. IKT-infrastruktur (styring og kontroll, konsentrasjonsrisiko og single point of failure) 7. Cloud Computing (nettskyen) 8. Algoritmehandel verdipapirer 9. Bruk av mobile enheter 10. Tjenesteutvikling betalingssystemer 11. Internettkriminalitet 12. Identitetstyveri 5

ROS-analysen 2010 Kapittel 3 Systemer for betalingstjenester 1. Generelt om betalingssystemer Viktighet, rolle i det finansielle system, internasjonal påvirkning, EU-påvirkning, volumtall 2. Risiko og sårbarhet i betalingssystemene Sårbarheter, samarbeidsopplegg og volumtall 3. Styring- og kontroll med betalingssystemene Reguleringskrav og bruk av leverandører 4. Meldeplikten Systemer for betalingstjenester Manglende etterlevelse 5. Oversikt over årlige tap knyttet til betalingstjenester Tapsstatistikk 6

Betalingssystemer Infrastrukturen for å understøtte stadig mer avanserte betalingsløsninger er kompleks Betaler Betalers bank Understøttes av felles infrastruktur Mottakers bank Mottaker Regulering Retningslinjer Prosedyrer Organisasjon Applikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører 7

TAPSSTATISTIKK VED BRUK AV BETALINGSKORT (tall i hele tusen kr) Svindeltype betalingskort 2010¹ Misbruk av kortinformasjon, kort ikke til stede 9.401 (internetthandel) Stjålet kortinformasjon (inkludert skimming), misbrukt 1.765 med falske kort i Norge Stjålet kortinformasjon (inkludert skimming), misbrukt 31.740 med falske kort utenfor Norge Kort tapt eller stjålet, misbrukt i Norge 14.395 Kort tapt eller stjålet misbrukt utenfor Norge 5.149 Borte i posten 4.239 TOTAL 66.689 1) Tall innhentet fra Finansnæringens Felleskontor og Bankenes Standardiseringskontor i samarbeid med Finanstilsynet. 2) For totale tap kortområdet er det registrert en nedgang fra 2009 med ca 8% 8

TAPSSTATISTIKK VED BRUK AV NETTBANK (tall i hele tusen kr). Svindeltype nettbank 2010 Angrep ved bruk av ondartet 0 programkode på kundens PC (trojaner) Angrep som utnytter sårbarheter i 0 nettbankapplikasjon (hacking) Phishing (avluring av informasjon) 0 Andre former for angrep på nettbank 0 Annet (tyveri av kodekort og annen 2.398 informasjon) TOTAL 2.398 Antatte akkumulerte tap frem til 31.12.2010 er NOK ca 500.000 9

ROS-analysen 2010 Kapittel 4 Finanstilsynets funn og observasjoner 1. IT-tilsyn 2. Intervjuer 3. Hendelsesrapportering 4. Utkontraktering Offshoring 5. Spørreundersøkelser 6. Hendelser internasjonalt andre kilder (samarbeidsopplegg) 10

Statistikk fra hendelsesrapportering Hendelser fordelt på måned 2009 vs. 2010 25 20 15 10 2009 2010 5 0 jan feb mar apr mai jun jul aug sep okt nov des E-post: hendelse@finanstilsynet.no 11

Fortsatt flest rapporter fra bankene 140 120 100 80 Serie1 60 40 20 0 Banker Kortselskap Verdipapir/børs Forsikring 12

Hendelser fordelt på system 2009 vs. 2010 100 90 80 70 60 50 40 30 20 10 0 2009 2010 Nettbank Korttransaksjoner Kontofon / SMS bank Hos kunde Handelssystemer børs Feil bokføring / saldo Bankens interne systemer Avregning / Oppgjør Utenlandsbetaling 13

ROS-analysen 2010 Kapittel 5 Identifiserte risikoområder 1. Skimming mot minibanker 2. Angrep mot nettbanker 3. Mangelfull testing og verifisering av katastrofeløsninger (i praksis manglende etterlevelse av reguleringskrav) 4. Driftsproblemer knyttet til endringer hos IKTleverandører 5. Mangler i styring og kontroll ved utkontraktering 14

Hendelser knyttet til skimming i 2010 Februar 2010 startet en ny type skimmingangrep mot minibanker Teknikken som benyttes omgår etablert antiskimming løsning Angrepene pågikk i store deler av 2010 Estimert at 57 minibanker er forsøkt påmontert skimming utstyr, hvorav det på 35 av disse er kopiert kort (ca 2.200 minibanker operative i Norge) Potensielt kan 6.244 kort ha blitt kopiert, men er sannsynlig vesentlig lavere (registrert ca 10 mill i tap) Situasjonen følges nøye av bankene, bankenes organisasjoner og myndighetene Bla. a. i samarbeid med leverandørene arbeides det med å etablere effektive mottiltak Gjennomført møte med bankene og bransjeorganisasjoner (BSK/FNO) Deltatt i møte med leverandørene og politiet 15

Hendelser knyttet til nettbank 2010 2011 Angrep av trojanerprogrammet ZEUS i desember 2010 ingen kunder ble svindlet Angrep av trojanerprogrammet SpyEye i januar/februar/mars 2011 (Programkoden infisert på PCen, bot-nett (kontrollserver), phishing (dårlig tekst) og generering av transaksjoner realtime. Massivt Phishingangrep mot Sparebank 1 gruppen i februar 2011. Anslagsvis 2.500 norske IP-adresser (PCer) er identifisert som antatt infiserte (informasjon fra NorCERT/ISPene). 16

Hendelser knyttet til nettbank 2010 2011 (2) Ca 10 transaksjoner er sendt. 2 banker har hatt tap (370.000 NOK overføring i EUR). Flere banker er berørt. Tiltak Utveksling av IP-adresser, utveksling av Mules- informasjon (kontonumre og navn), transaksjonsovervåkning, manuell SWIFT-kontroll, transaksjonsovervåkning, teknisk avvik identifisert og etablert tett operativt samarbeid. Møte med alle bankene, Bankenes Standardiseringskontor (BSK) og Finansnæringens Fellesorganisasjon (FNO) 15.03.2011 17

Utkontraktering (outsoucing/offshoring) Hele forretningsprosesser Applikasjoner med forvaltning og drift RISIKO Egen evne til styring og kontroll. Utfordring å opprettholde både kompetanse og kapasitet. Infrastruktur med forvaltning og drift 18

Hvordan overvåke utviklingen? / Virkemidler Generelle vurderinger knyttet til offshoring Tap av arbeidsplasser på IKTområdet Finansforetaket Tap av kompetanse på IKTområdet Finansforetaket Etterlevelse av regelverk Finansforetaket Gir samfunnsmessige konsekvenser Kan svekke evnen til forretningsmessig utvikling Kan gi høyere risiko Finanstilsynet har et klart påse ansvar Vurdering av risiko Finansforetaket Finanstilsynet har et klart ansvar for å bidra til finansiell stabilitet og akseptabel risiko 19

Hva har skjedd i 2010 mht offshoring til Ukraina? Finanstilsynet ble informert om prosesser knyttet til offshoring, både fra enkelte banker og av leverandøren, men ikke når det kom til faktisk gjennomføring. Finanstilsynet konstaterte manglende, mangelfulle og utilstrekkelige risikoanalyser, både hos leverandøren og berørte foretak. Alvorlig sikkerhetsbrudd ble avdekket. Avtalemessig regulering mellom leverandør og kunde av endringene ble ikke gjennomført, med unntak for enkelte foretak. Alle berørte banker har nullstilt endringene. Leverandøren har flyttet oppgavene tilbake til Norge. Bruk av ansatte i Norge fra foretak i Ukraina avsluttet. Ble i realiteten varslet fra en bank pga en hendelse. Ble etablert formell dialog med leverandør og med større finansforetak. Finanstilsynet fikk full informasjon. Ble avklart ifm at Finanstilsynet åpnet sak. Finanstilsynet har blitt informert av berørte finansforetak og av leverandør. Rundskriv 14/2010 ble utsendt, 31.05.2010. 20

Virkemidler/Regelverk Rundskriv nr. 14 / 2010 Datert 31.05.2010. Finanstilsynets vurdering er at risikoen ved at bankene flytter ut driftsrelatert IKT-virksomhet til slike land (høyrisikoområder) er for høy dersom dette gjelder funksjoner og operasjoner som er nødvendige elementer i, eller har betydning for daglig operasjon av følgende funksjonsområder: betalingssystemer (både områdene avregning og oppgjør og systemer for betalingstjenester) kjernesystemer som kan betegnes som daglig bank. Disse omfatter: kunde/reskontro, innlån, utlån, korttjenester, kundeopplysninger og produktadministrasjon inkludert distribusjonskanaler. Finanstilsynet er av den oppfatning at ovennevnte IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko. 21

ROS-analysen 2010 Kapittel 6 Finanstilsynets videre oppfølging 1. Tiltak rettet mot risikoområdene 2. IT-tilsyn 3. Hendelsesrapportering/beredskapshåndtering/sam arbeid 4. Tiltak mot ID-tyveri 5. Økt fokus på «brukersteder» (kort) 6. Informasjon og kommunikasjon 7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 22

Risiko Emanuel Desperados 5. Vurdering av risiko Ludvig Sannsynlighet 23 30. mars 2011 NSM sikkerhetskonferanse 2010 - Offshoring av IKT

Operasjonell risiko Hva er risikoen på en skala fra 1 til 10? Er det risikoreduserende tiltaket effektivt? 24 12. januar 2011

ROS-analysen 2010 Kapittel 6 Finanstilsynets videre oppfølging 1. Tiltak rettet mot risikoområdene 2. IT-tilsyn 3. Hendelsesrapportering/beredskapshåndtering/samarbeid 4. Tiltak mot ID-tyveri 5. Økt fokus på «brukersteder» (kort) 6. Informasjon og kommunikasjon 7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 25

Hendelsesrapportering / Oppfølging Møter med de største foretakene Oppfølging av enkelthendelser Viktig underlag for ROS-analysen mer kvantitative data Underlag ved IT-tilsyn Forsøker å se sammenhenger for bedre å forstå den tekniske infrastrukturen til de elektroniske finanstjenestene Koordinering av hendelsesinformasjon med andre myndighetsinstanser (NorCert/BankCERT - avtale NSM), Datatilsynet (drøfting), Post & Teletilsynet (drøfting). Internasjonalt: ITSG i aktivitet. 26

FINANSTILSYNET Takk for oppmerksomheten! Frank Robert Berg Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo www.finanstilsynet.no frb@finanstilsynet.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding