Finanstilsynets risiko- og sårbarhetsanalyse 2010 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT) Pressebriefing 31. mars 2011 Seksjonssjef Frank Robert Berg
Finanstilsynets ROS-analyse 2010 Samarbeid Ny samarbeidsavtale med Norges Bank Leveranse Årlig ROS-analyse Resultater fra 26 IT-tilsyn Gjennomførte 14 intervju i 2010 Data fra Hendelseslogg (156 hendelser i 2010) Meldeplikten Betalingssystemer Annen relevant Informasjon (spørreundersøkelser) Skaffe oss oversikt Analysere Foreslå tiltak 2
Gjennomførte IT-tilsyn Foretaksområder 2003 2004 2005 2006 2007 2008 2009 2010 2011 Bank/finans 6 6 10 7 5 5 7 6 9 Forsikring 1 2 1 1 1 2 3 2 3 Pensjonskasser og -fond 0 1 1 0 Verdipapirforetak 8 8 11 4 5 9 6 *)6 7 Eiendomsmegling 1 1 1 1 1 *)1 0 Inkasso 1 2 1 1 1 1 *)1 1 Revisorer (IT-revisjon) 0 1 1 1 *)2 1 Regnskapsførere 4 1 1 1 1 1 1 2 1 IKT-leverandører 2 2 5 4 4 4 2 4 3 Andre (2010=Betalingsinfrastruktur/FNO) 1 0 2 2 1 1 SUM *) 31 forenklede tilsyn i 2010 **) Foreløpig estimat for 2011 >20 21 22 31 21 21 20 22 *)26 **)26 3
ANTIVIRUS 136 Brannmur 100 Katastrofebackup 33 + Teknisk 300 Nettbank 46 Betalingstjenester 104 Antihvitvasking 25 IT-tilsynets egenevalueringsmoduler med kontrollspørsmål Inndelt i 34 IT-prosesser (CobiT) med 170 kontrollspørsmål (v 5.0) IT-driftsprosesser (ITIL) med 132 kontrollspørsmål (må gjennomgås) Krav til IRBmodeller 28 Mobilbank Passord 34 Versjon for IT-prosjekter med 34 kontrollspørsmål (revurderes) Versjon for IT-leverandører med 94 kontrollspørsmål Forenklet versjon med 77 kontrollspørsmål (i bruk ved ordinære tilsyn) Meldeplikten for betalingstjenester ivaretas med svar på 19 kontrollspørsmål Arbeides fortsatt med modenhetsmodell og verifisering (transaksjonstest) 4
ROS-analysen 2010 Kapittel 2 Utviklingstrekk 1. IT-Governance (styring og kontroll) 2. Mangelfull ledelse av store prosjekter 3. Gjennomføring av krav til kostnadseffektivitet og risiko 4. Leverandørutvikling på IKT-området 5. Utkontraktering og Offshoring 6. IKT-infrastruktur (styring og kontroll, konsentrasjonsrisiko og single point of failure) 7. Cloud Computing (nettskyen) 8. Algoritmehandel verdipapirer 9. Bruk av mobile enheter 10. Tjenesteutvikling betalingssystemer 11. Internettkriminalitet 12. Identitetstyveri 5
ROS-analysen 2010 Kapittel 3 Systemer for betalingstjenester 1. Generelt om betalingssystemer Viktighet, rolle i det finansielle system, internasjonal påvirkning, EU-påvirkning, volumtall 2. Risiko og sårbarhet i betalingssystemene Sårbarheter, samarbeidsopplegg og volumtall 3. Styring- og kontroll med betalingssystemene Reguleringskrav og bruk av leverandører 4. Meldeplikten Systemer for betalingstjenester Manglende etterlevelse 5. Oversikt over årlige tap knyttet til betalingstjenester Tapsstatistikk 6
Betalingssystemer Infrastrukturen for å understøtte stadig mer avanserte betalingsløsninger er kompleks Betaler Betalers bank Understøttes av felles infrastruktur Mottakers bank Mottaker Regulering Retningslinjer Prosedyrer Organisasjon Applikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører 7
TAPSSTATISTIKK VED BRUK AV BETALINGSKORT (tall i hele tusen kr) Svindeltype betalingskort 2010¹ Misbruk av kortinformasjon, kort ikke til stede 9.401 (internetthandel) Stjålet kortinformasjon (inkludert skimming), misbrukt 1.765 med falske kort i Norge Stjålet kortinformasjon (inkludert skimming), misbrukt 31.740 med falske kort utenfor Norge Kort tapt eller stjålet, misbrukt i Norge 14.395 Kort tapt eller stjålet misbrukt utenfor Norge 5.149 Borte i posten 4.239 TOTAL 66.689 1) Tall innhentet fra Finansnæringens Felleskontor og Bankenes Standardiseringskontor i samarbeid med Finanstilsynet. 2) For totale tap kortområdet er det registrert en nedgang fra 2009 med ca 8% 8
TAPSSTATISTIKK VED BRUK AV NETTBANK (tall i hele tusen kr). Svindeltype nettbank 2010 Angrep ved bruk av ondartet 0 programkode på kundens PC (trojaner) Angrep som utnytter sårbarheter i 0 nettbankapplikasjon (hacking) Phishing (avluring av informasjon) 0 Andre former for angrep på nettbank 0 Annet (tyveri av kodekort og annen 2.398 informasjon) TOTAL 2.398 Antatte akkumulerte tap frem til 31.12.2010 er NOK ca 500.000 9
ROS-analysen 2010 Kapittel 4 Finanstilsynets funn og observasjoner 1. IT-tilsyn 2. Intervjuer 3. Hendelsesrapportering 4. Utkontraktering Offshoring 5. Spørreundersøkelser 6. Hendelser internasjonalt andre kilder (samarbeidsopplegg) 10
Statistikk fra hendelsesrapportering Hendelser fordelt på måned 2009 vs. 2010 25 20 15 10 2009 2010 5 0 jan feb mar apr mai jun jul aug sep okt nov des E-post: hendelse@finanstilsynet.no 11
Fortsatt flest rapporter fra bankene 140 120 100 80 Serie1 60 40 20 0 Banker Kortselskap Verdipapir/børs Forsikring 12
Hendelser fordelt på system 2009 vs. 2010 100 90 80 70 60 50 40 30 20 10 0 2009 2010 Nettbank Korttransaksjoner Kontofon / SMS bank Hos kunde Handelssystemer børs Feil bokføring / saldo Bankens interne systemer Avregning / Oppgjør Utenlandsbetaling 13
ROS-analysen 2010 Kapittel 5 Identifiserte risikoområder 1. Skimming mot minibanker 2. Angrep mot nettbanker 3. Mangelfull testing og verifisering av katastrofeløsninger (i praksis manglende etterlevelse av reguleringskrav) 4. Driftsproblemer knyttet til endringer hos IKTleverandører 5. Mangler i styring og kontroll ved utkontraktering 14
Hendelser knyttet til skimming i 2010 Februar 2010 startet en ny type skimmingangrep mot minibanker Teknikken som benyttes omgår etablert antiskimming løsning Angrepene pågikk i store deler av 2010 Estimert at 57 minibanker er forsøkt påmontert skimming utstyr, hvorav det på 35 av disse er kopiert kort (ca 2.200 minibanker operative i Norge) Potensielt kan 6.244 kort ha blitt kopiert, men er sannsynlig vesentlig lavere (registrert ca 10 mill i tap) Situasjonen følges nøye av bankene, bankenes organisasjoner og myndighetene Bla. a. i samarbeid med leverandørene arbeides det med å etablere effektive mottiltak Gjennomført møte med bankene og bransjeorganisasjoner (BSK/FNO) Deltatt i møte med leverandørene og politiet 15
Hendelser knyttet til nettbank 2010 2011 Angrep av trojanerprogrammet ZEUS i desember 2010 ingen kunder ble svindlet Angrep av trojanerprogrammet SpyEye i januar/februar/mars 2011 (Programkoden infisert på PCen, bot-nett (kontrollserver), phishing (dårlig tekst) og generering av transaksjoner realtime. Massivt Phishingangrep mot Sparebank 1 gruppen i februar 2011. Anslagsvis 2.500 norske IP-adresser (PCer) er identifisert som antatt infiserte (informasjon fra NorCERT/ISPene). 16
Hendelser knyttet til nettbank 2010 2011 (2) Ca 10 transaksjoner er sendt. 2 banker har hatt tap (370.000 NOK overføring i EUR). Flere banker er berørt. Tiltak Utveksling av IP-adresser, utveksling av Mules- informasjon (kontonumre og navn), transaksjonsovervåkning, manuell SWIFT-kontroll, transaksjonsovervåkning, teknisk avvik identifisert og etablert tett operativt samarbeid. Møte med alle bankene, Bankenes Standardiseringskontor (BSK) og Finansnæringens Fellesorganisasjon (FNO) 15.03.2011 17
Utkontraktering (outsoucing/offshoring) Hele forretningsprosesser Applikasjoner med forvaltning og drift RISIKO Egen evne til styring og kontroll. Utfordring å opprettholde både kompetanse og kapasitet. Infrastruktur med forvaltning og drift 18
Hvordan overvåke utviklingen? / Virkemidler Generelle vurderinger knyttet til offshoring Tap av arbeidsplasser på IKTområdet Finansforetaket Tap av kompetanse på IKTområdet Finansforetaket Etterlevelse av regelverk Finansforetaket Gir samfunnsmessige konsekvenser Kan svekke evnen til forretningsmessig utvikling Kan gi høyere risiko Finanstilsynet har et klart påse ansvar Vurdering av risiko Finansforetaket Finanstilsynet har et klart ansvar for å bidra til finansiell stabilitet og akseptabel risiko 19
Hva har skjedd i 2010 mht offshoring til Ukraina? Finanstilsynet ble informert om prosesser knyttet til offshoring, både fra enkelte banker og av leverandøren, men ikke når det kom til faktisk gjennomføring. Finanstilsynet konstaterte manglende, mangelfulle og utilstrekkelige risikoanalyser, både hos leverandøren og berørte foretak. Alvorlig sikkerhetsbrudd ble avdekket. Avtalemessig regulering mellom leverandør og kunde av endringene ble ikke gjennomført, med unntak for enkelte foretak. Alle berørte banker har nullstilt endringene. Leverandøren har flyttet oppgavene tilbake til Norge. Bruk av ansatte i Norge fra foretak i Ukraina avsluttet. Ble i realiteten varslet fra en bank pga en hendelse. Ble etablert formell dialog med leverandør og med større finansforetak. Finanstilsynet fikk full informasjon. Ble avklart ifm at Finanstilsynet åpnet sak. Finanstilsynet har blitt informert av berørte finansforetak og av leverandør. Rundskriv 14/2010 ble utsendt, 31.05.2010. 20
Virkemidler/Regelverk Rundskriv nr. 14 / 2010 Datert 31.05.2010. Finanstilsynets vurdering er at risikoen ved at bankene flytter ut driftsrelatert IKT-virksomhet til slike land (høyrisikoområder) er for høy dersom dette gjelder funksjoner og operasjoner som er nødvendige elementer i, eller har betydning for daglig operasjon av følgende funksjonsområder: betalingssystemer (både områdene avregning og oppgjør og systemer for betalingstjenester) kjernesystemer som kan betegnes som daglig bank. Disse omfatter: kunde/reskontro, innlån, utlån, korttjenester, kundeopplysninger og produktadministrasjon inkludert distribusjonskanaler. Finanstilsynet er av den oppfatning at ovennevnte IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko. 21
ROS-analysen 2010 Kapittel 6 Finanstilsynets videre oppfølging 1. Tiltak rettet mot risikoområdene 2. IT-tilsyn 3. Hendelsesrapportering/beredskapshåndtering/sam arbeid 4. Tiltak mot ID-tyveri 5. Økt fokus på «brukersteder» (kort) 6. Informasjon og kommunikasjon 7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 22
Risiko Emanuel Desperados 5. Vurdering av risiko Ludvig Sannsynlighet 23 30. mars 2011 NSM sikkerhetskonferanse 2010 - Offshoring av IKT
Operasjonell risiko Hva er risikoen på en skala fra 1 til 10? Er det risikoreduserende tiltaket effektivt? 24 12. januar 2011
ROS-analysen 2010 Kapittel 6 Finanstilsynets videre oppfølging 1. Tiltak rettet mot risikoområdene 2. IT-tilsyn 3. Hendelsesrapportering/beredskapshåndtering/samarbeid 4. Tiltak mot ID-tyveri 5. Økt fokus på «brukersteder» (kort) 6. Informasjon og kommunikasjon 7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 25
Hendelsesrapportering / Oppfølging Møter med de største foretakene Oppfølging av enkelthendelser Viktig underlag for ROS-analysen mer kvantitative data Underlag ved IT-tilsyn Forsøker å se sammenhenger for bedre å forstå den tekniske infrastrukturen til de elektroniske finanstjenestene Koordinering av hendelsesinformasjon med andre myndighetsinstanser (NorCert/BankCERT - avtale NSM), Datatilsynet (drøfting), Post & Teletilsynet (drøfting). Internasjonalt: ITSG i aktivitet. 26
FINANSTILSYNET Takk for oppmerksomheten! Frank Robert Berg Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo www.finanstilsynet.no frb@finanstilsynet.no