Bankenes sikringsfond 9. september 2014 Risiko ved norsk finansiell infrastruktur og stabilitet knyttet til bankenes IKT-virksomhet Frank Robert Berg
- Bankenes IKT Finanstilsynets årlige risiko- og sårbarhetsanalyse - Aktuelle tiltak som kan bidra til akseptabel operasjonell risiko og finansiell stabilitet Grunnlaget for å snakke om dette temaet er Finanstilsynets årlige ROS-analyse og de kilder denne bygger på. http://www.finanstilsynet.no/global/venstremeny/rapport/2014/rosanalyse_2013.pdf Disponering: 1. Innledning finansiell infrastruktur og IKT 2. Finanstilsynets kilder til å forstå risiko 3. Angitte risikoområder 4. Aktuelle tiltak 2
Egne løsninger 1. Innledning finansiell infrastruktur og IKT Salg og distribusjon av tjenester Forenklet helhetlig bilde Styring og kontroll Driftsleverandører Ulik plassering Løsningsleverandører Felles løsninger Bruker og kundegrensesnitt Elektroniske kanaler 3
Transaksjonsflyten i det norske betalingssystemet Stabilt Flere hendelser 4
Bank og betalingssystemer Infrastrukturen som understøtter stadig mer avanserte betalingsløsninger er kompleks Betaler Betalers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Mottakers bank Mottaker Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Nets Norge Infrastruktur AS og Nets Norway AS (Nets Holding A/S) (felles betalingstjenester, infrastruktur og drift) Evry ASA (drift og løsninger) SDC, Danmark (drift og løsninger) Danske Bank IT (løsninger) Leverandører IBM (drift i Sverige og Danmark) Nordic Processor (Nordea/IBM) CSC (Forsikring) Strategi Styring og kontroll Operasjonalisering Tele (Kommunikasjon) 5
Verdipapirsektoren Kjøper Kjøpers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Selgers bank Selger Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering Verdipapirforetaket NICS Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører/institusjoner NBO (Norges Bank) VPO Strategi Styring og kontroll Operasjonalisering Oslo Børs Oslo Clearing Verdipapirsentralen ASA Evry ASA (NBO) LSE FNN Telenor Nets Norway AS Tieto (ProBroker) 6
Roller og sammenhenger i verdipapirsektoren Kilde: Finanstilsynet 7
Forenklet applikasjonsarkitektur i bank Hovedbok/regnskap Beslutnings- og støttesystemer (Datavarehus) Kjernesystemer i bank Innlån Utlån Kortområdet Flervaluta Loro og Nostro Konsernkonto Spesialområder Depotsystemer Remburs Låneadministrasjonssystemer Garantisystemer Payment Systems Clean payment SWIFT Giro Direct debit Standing order Innsamling & avregning Til andre banker NICS / Nets Eksempler på distribusjonskanaler ATM BSK stand arder EFT/POS BankAxept BSKstandards PCI DSS standards Nettbank privat Nettbank bedrift Filial- nettet Bank i butikk BankAxept BSK-standards PCI standards Netthandel Bank Axess 8
3-D Secure Arkivering Arkivskanning Autentisering Autogiro AvtaleGiro Brevgiro Card Fraud Management Direkte remittering Dokumentskanning earkiv efaktura B2B efaktura B2C efaktura B2G Egiro Elektronisk ID-tjeneste Engangspassord Fakturaarkiv Fakturahotell Fakturaprint Fakturaskanning Kortimplementering og konsulenttjenester Meldingsdistribusjon for bank Mobil engangspassord Nets Share Nett- og mobilhandel OCR giro Økonomisk avregning Portal Postmottak Printtjenester Reklamasjonsbehandling Sertifikater Signering Sperring og nødtjenester Standard bankarkiv Tilpasset konsernarkiv Transaksjonhåndtering TrustArchive Valideringstjeneste 9
Betalingssystemer Betalingssystem Betalingssystem Nettbank 10 Funksjonsområde System for oppgjør av handel med 17 viktige valutaslag. Avregning skjer gjennom bankenes konti i sentralbankene. Internasjonalt meldingssystem for betalinger mellom land. Posteringer skjer gjennom loro-/nostro og aktuelle kundekonti. NBO - Norges Banks oppgjørssystem hvor oppgjør skjer på bankenes konti i Norges Bank. Bankens felles avregningssystem i NOK. Netto posisjoner avregnes i NBO. Clean payment, viktig betalingssystem for bedriftskunder med direkte interface til kunder og SWIFT Bankens kunderettede systemer for at kunder kan betale regninger og gjøre kontooverførsler. BankAxept ert et nasjonalt betalingskort der kundene kan foreta uttak i norske minibanker og betale i butikker. BankAxess for å handle sikkert på internett (internettbutikker/sikkerhetsmekanisme). Internasjonalt betalingskort der kundene kan foreta uttak i minibanker, betale i butikker eller for å handle på internett (fakturakort, debet- eller kredittkort).
Egne løsninger Oppsummering punkt 1 om innledning finansiell infrastruktur og IKT Salg og distribusjon av tjenester Hvor er det høy Risiko? Styring og kontroll Driftsleverandører Løsningsleverandører Ulik plassering Kundegrensesnitt Felles løsninger Elektroniske kanaler 11
2. Finanstilsynets kilder til å forstå risiko Samarbeid Finanstilsynet Norges Bank Skaffe oss oversikt Analysere peke på Foreslå tiltak Leveranse Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester Gjennomførte ROS-intervju Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt - Betalingstjenester Annen relevant informasjon spørreundersøkelser Beredskap - BFI-sekretariatet - Samarbeid andre myndigheter - Infrastruktur betalingssystemer Våre virkemidler Regelverk, innrapportering og tilsynsopplegg Finanstilsynslovens 3 Tilsynet skal se til at de institusjoner det har tilsyn med, virker på en hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. 12
Utviklingstrekk risiko 1. Kriminalitetsutviklingen nasjonalt og internasjonalt 2. Samordning og endringer i EUs regelverk 3. Endringer i organisering og eierskap 4. Endringer i sourcing-landskapet 5. Tekniske utviklingstrekk og risikoer/trusler 6. Virtuelle valutaer 7. Nye aktører betalingstjenester 8. Utviklingstrekk for skytjenester 13
14
Payment card fraud estimated world total loss of USD 12 til 15 billions Kilde: ITSG 15
Fraud evolution Belgium During the first 8 months of 2012, 472 cases of fraud were registered, i.e. about 1 case in 1 million out of the total number of 460 million registered sessions. 16
Nederland Økning i 2012 Tap 1. halvår 2012: 27.000.000 Euro 17
Ideologisk motiv Dagens næringsliv 23.9.2013 18
Phishing-angrep mot britiske banker Kilde: Financial Fraud Action UK 19
Minibankrelaterte svindelangrep innenfor EØS-området Figur 9: 20
Noen ulike roller knyttet til nettbanksvindel Rolle Malware utvikler Rekrutterer muldyr Muldyr Setter sammen angrepskoden Spredning av angrepskoden Tester Utnytter infiserte PCer Sikrer mottak av penger Oppgaver De som forestår den grunnleggende programvareutviklingen Sikrer at noen stiller en konto til rådighet i landet som skal angripes Den som stiller konto til rådighet og foretar videre overførsler/uttak Skreddersyr angrepet basert på grunnkoden Sprer koden gjennom ulike opplegg, f. eks. gjennom phishing eller gjennom nettsteder (annonser) Prøver transaksjoner på infiserte PCer for å sjekke om det virker Gjennomfører angrep mot infiserte PCer gjennom overvåkning og tiltak eller gjennom logikk bygget i koden Den som overfører penger videre, eller tar penger ut og overfører dette via andre kanaler (f. eks. Western Union) 21
Virtuelle valutaer (Bitcoin) Finanstilsynet advarer mot virtuelle valutaer Du kan tape pengene dine på vekslingsplattformen. Pengene dine kan stjeles fra den digitale lommeboken din. Du er ikke beskyttet når du bruker Bitcoins som betalingsmiddel. Verdien av dine Bitcoins kan endres raskt, og kan til og med falle ned til null. Finanstilsynet deltar i EBAs vurderinger av om virtuelle valutaer skal reguleres. 22
Kilde: Telenor 23
Mange vil ha en posisjon 24 Kilde: Finans Norge
DDOS (Distributed Denial of Service - attack): Økonomisk og / eller ideologisk motivert Mange finansforetak har vært angrepet Oslo Børs Evry DNB Nordea Andre Reduserer tilgjengeligheten. Opptar oppmerksomheten. 25
Sikkert som banken? DinSide 4.10.2013 http://www.di nside.no/923 295/nettbank -appene-ersaarbare 26
Sikkert som banken? 27
Utvikling i EU EU og nye EU organer innenfor finanssektoren gir økt regelverk EBA European Banking Authority (Initiativ fra Basel Committee vil komme via EBA, pluss det EU vil legge til, gjennom EU-direktiv og anbefalinger) ESMA European Securities and Market Authority EIOPA - European Insurance and Occupational Pensions Authority (Solvency II) European Payment Council Single Euro Payments Area SEPA Council 28
Google, Microsoft, IBM og andre markedsfører cloud services som et kosteffektivt alternativ til dagens tradisjonelle datasentre. Det er mange gode grunnner. Men også problemer som ikke forsvinner. og ansvaret er hos finansforetaket! 29
Eksempel på Google s strategi for skytjenester (Cloud computing) Lagring og prosessering skjer på flere lokasjoner, men kan låses til regioner Kilde: Google 30
Spørreundersøkelse om skytjenester Svarfordeling fra foretak om bruk/planer om bruk av skytjenester Figur 3: Kilde: Finanstilsynet 31
Antall rapporterte hendelser i perioden 2011 2013 Figur 4: 2011: 221 hendelser 2012: 216 hendelser 2013: 189 hendelser Kilde: Finanstilsynet 32
Hendelser vektet med konsekvens Figur 6: Kilde: Finanstilsynet 33
Hendelser vektet med konsekvens Hendelser frem til 10.06.14 Deretter prognose ut 2014 Kilde: Finanstilsynet 34
Hendelsesrapporteringen benyttes i flere sammenhenger Rapportering fra Rapportering om aktuelle hendelser fra siste periode Rapportering fra Rapportering om aktuelle hendelser fra siste periode Rapportering fra det enkelte finansforetak til: Rapportering om et uttrekk av aktuelle hendelser fra siste periode Gjelder for hele finanssektoren Gir et helhetlig bilde 35
Tap ved bruk av betalingskort (tall i hele tusen kroner) Tabell 1: Svindeltype betalingskort 2011 2012 2013 Misbruk av kortinformasjon, kort ikke til stede (internetthandel) Stjålet kortinformasjon (inkludert skimming), misbrukt med falske kort i Norge 24 190 35 701 51 954 468 2 308 762 Stjålet kortinformasjon (inkludert skimming), misbrukt med falske kort utenfor Norge 57 340 55 869 51 534 Originalkort tapt eller stjålet, misbrukt med PIN i Norge 32 224 28 128 21 274 Originalkort tapt eller stjålet, misbrukt med PIN utenfor Norge 7 008 8 544 9 570 Originalkort tapt eller stjålet, misbrukt uten PIN 4 488 4 603 4 949 Totalt 125 718 135 153 140 043 Kilde: Finanstilsynet 36
Antall betalingskort rammet av misbruk Tabell 2: Svindeltype betalingskort 2011 2012 2013 Antall kort rammet av misbruk 16 784 20 332 22 531 Totaltapet på kortsvindel økte noe i 2013. Det var en betydelig økning i svindel av typen «card-not-present» (CNP), mens det var en reduksjon i tapene knyttet til andre typer kortsvindel. Kilde: Finanstilsynet 37
Tap ved bruk av nettbank (tall i hele tusen kroner) Tabell 3: Svindeltype nettbank 2011 2012 2013 Angrep ved bruk av ondartet programkode på kundens PC (trojaner) 664 5 064 1 327 Tapt/stålet sikkerhetsmekanisme 3 321 3 367 1 321 Totalt 3 985 8 431 2 648 Kilde: Finanstilsynet 38
3. Angitte risikoområder 1 Omfattende endringer i IT-virksomheten 2 Samhandling mellom flere aktører 3 Mangelfulle risikovurderinger 4 Angrep mot betalingstjenestene 5 Risiko fra eldre design og gamle komplekse systemer 39
Risikoområder 2013 1. Omfattende endringer i IT-virksomheten IT-driftssiden IT-forvaltning/vedlikehold Endringer i systemporteføljen Nye aktører for utvikling Endringer driftsleverandører 40
Risikoområder 2013 forts. 2. Samhandling mellom flere aktører Nye aktører krever opplegg for samhandling og at flere blir involvert i kjeden. Dette kan gjelde både teknisk og i operasjonen og kan føre til uklare ansvarsforhold. Samlet kan dette øke sårbarheten i driften. 41
Risikoområder 2013 forts. 3. Mangelfulle risikovurderinger Ta stilling til bruk av metodeverk og aktuelle standarder. Sikre at nødvendig kompetanse blir allokert. Ha en klar avgrensning (scope) av hva som skal risikovurderes. Etablere plan for gjennomføring. Klargjøre hvordan sikre nødvendig kvalitet. Mangelfulle eller risikoanalyser kan gi økt risiko. 42
Utkontraktering (Offshoring) Sikre egen styring og kontroll Transparency International The 2013 corruption perceptions index Indisk IT under lupen, DN, 21.05.2013 43
Risikoområder 2013 forts. 4. Angrep mot betalingstjenestene Angrep mot nettbanker Økt phishing-aktivitet Angrep mot minibanker Bruk av falsk informasjon i nettbutikker («card-not-present») Angrep mot EFT-/POS-løsninger Tiltakene i Norge har foreløpig bidratt til at tapene er på et akseptabelt nivå. Det skaper allikevel stor utrygghet for brukere av betalingstjenester som blir utsatt for angrep. 44
Risikoområder 2013 forts. 5. Risiko fra eldre design gamle og komplekse systemer Mange sentrale løsninger er fra 1980- og -90-årene. Modernisering skjer i stor grad på utsiden. Teknologi og kompetanse kan bli vanskelig å opprettholde. Å vente for lenge kan representere en risiko økt kompleks drift. Viktig med statusanalyser og klargjøring av problemstillinger. Flere banker og andre finansforetak har nå prosesser igangsatt for å skifte løsninger. 45
Kjerne til besvær Aktuelle hendelser i nærområdet Februar 2013: X1-bank 12 timer Oktober 2013: X2 > 12 timer Oktober 2013: X3 > 12 timer Tilsynet er informert om flere alvorlige hendelser med kilde i kjerne internasjonalt. 46
4. Aktuelle tiltak finanstilsynet 1. Prioritet til IT-tilsyn og annen kontakt med foretakene og næringen 2. Forbedring av tilsynsverktøy og metoder 3. Særlig fokus på betalingssystemer 4. Sikre hensiktsmessige regelverk 5. Videre utvikling av og bruk av data fra hendelsesrapporteringen 6. Prioritering av beredskapsarbeid 47
Operational Risk Basic indicator approach (BIA) The standardized approach (TSA) Advanced measurement approach (AMA) Internal Capital Adequacy Assessment Process ICAAPs from selected banks Pillar 1 Supervisory Review Evaluation Process (SREP) Risk Assessment Bank A Op Risk Chapter Pillar 2 Central file system (Sentralfag&Tilsynssak) Other relevant information Reports from IT-inspections RVA- Interviews Incident data Notification to Finanstilsynet (payment systems) 48 Electronic Archives (Websak)
Modules for banking supervision Module for internal governance Credit risk Market risk Liquidity risk Insurance Operational risk RM and Control RM and Control RM and Control RM and Control RM and Control Ver. 1 Exposure Exposure Exposure Exposure Exposure 49 Regulations on Risk Management and Internal Control Regulations on use of information and communication technology (ICT)
ANTIVIRUS 136 FIREWALL 100 Disaster Rec. 33 + Technical 300 Internetbank 46 Payment Systems 104 Money Laundr protection 25 Basel II IRBmodels 28 New Models are comming Maturity Model and Verification IT-tilsynsmoduler Divided into 34 IT-prosesses (CobiT) with 170 control questions (v 5.0) http://www.finanstilsynet.no/wbch3.exe?ce=15430 IT-operation based on ITIL with 281 control questions Service delivery 111 and Service Support 170 control questions (v 1.0) Version for IT-projects with 34 control questions Version for IT-supliers with 94 control questions Light version with 77 control questions Payment report duty with 19 control questions http://www.finanstilsynet.no/no/tverrgaende-temasider/it-tilsyn/egenevalueringssporsmal/ 50
Mer fokus på samarbeid Trojanerangrep nettbanker «FinansCERT etablert» Bank 1 NorCERT Leverandør 1 BSK Bank 2 Bank 4 Bank 3 KRIPOS 51
Finanstilsynets samarbeidsopplegg på IT-tilsynsområdet Norges Bank Betalingssystemer Post & Teletilsynet PKI (BankID)/Tele FNO/BSK Betalingssystemer Datatilsynet ID-tyveri Personopplysninger Finanstilsynet / R2 IT-tilsyn Norden Nasjonal Sikkerhetsmyndighet Får og gir informasjon Hjelp til tiltak Andre Information Technology Supervisor Group (IT-tilsyn) 52
4. Aktuelle tiltak finansforetakene 1. Etablere styring og kontroll med basis i best praksis 2. Etabler detaljerte prosedyrer på viktige virksomhetsområder 3. Sørg for relevant risikoforståelse og tiltak 4. Beskriv og øv på beredskap og gjenoppretting 5. Sørg for tilstrekkelig kompetanse og kapasitet på utkontraktert virksomhet 6. Formulere avtalen slik at den gjenspeiler bankens virksomhet mest mulig og at målinger skjer på relevante og kontrollerbare områder 7. Få med alle nødvendige tiltak i avtalen, eksempelvis katastrofetest og myndighetskrav 8. Etabler opplegg for kontroll med etterlevelse av regelverk 53
Takk for oppmerksomheten! Frank Robert Berg FINANSTILSYNET Seksjon for tilsyn med IT og betalingstjenester E-post: frb@finanstilsynet.no