Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Like dokumenter
Pressebriefing 11. april 2013

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Seminar 3. mai Identifiserte risikoområder Tilsynsrådgiver Stig Ulstein

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Seminar om betalingssystemer og IKT i finanssektoren,

Pressebriefing 3. april 2014

Finanstilsynets risiko- og sårbarhetsanalyse 2010

Bankenes sikringsfond 9. september 2014

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Utfordringer innen IKTområdet PwC 20. september 2011

Pressebriefing 9. april 2015

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Computerworlds CIO Forum Bank Finans, Frank Robert Berg Seksjon for tilsyn med IT og betalingstjenester

HÅNDTERING AV NETTANGREP I FINANS

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Risiko- og sårbarhetsanalyse (ROS) Tilsynsrådgiver Stig Ulstein Tilsynsrådgiver Atle Dingsør Finanstilsynet

RAPPORT OM FINANSIELL INFRASTRUKTUR 2014 ANNA GRINAKER, ASS. DIREKTØR ENHET FOR FINANSIELL INFRASTRUKTUR OSLO, 22. MAI 2014

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Trusselbildet slik Finanstilsynet ser det

NORGES BANKS SYN PÅ BETALINGSSYSTEMET KNUT SANDAL, NORGES BANK BETALINGSFORMIDLINGSKONFERANSEN 17. NOVEMBER 2015

Knut Sandal, Norges Bank. Seminar om betalingssystemer og IKT i finanssektoren arrangert av Finanstilsynet og Norges Bank, 3.

Betalingssystemer og IKT i finanssektoren 27. mai 2015

Egenevalueringsskjema

Årsrapport om betalingssystem Knut Sandal, direktør i enhet for finansiell infrastruktur Seminar 23. mai 2013

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Pressebriefing 28. april 2016

Digitale sårbarheter - internasjonale utfordringer. Olav Lysne

Søknadsskjema etter finansforetaksforskriften 3-2

Hvitvasking som operasjonell risiko Finans Norge, 10. Januar 2018

Dato: Oktober 20, Informasjonsklasse: Åpen. 1 Johnny Anderson

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Beredskapsutvalget. for finansiell infrastruktur (BFI)

RISIKO- og SÅRBARHETSANALYSE (ros)

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Revisjon av IKT-området i en mindre bank

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Noen høyaktuelle temaer knyttet til betalingsformidling. Jan Digranes, direktør prosessområde bank, Finans Norge

Datasenterstrategi i SpareBank 1 Hvilke valg finnes mellom skyen og egen kjeller?

Mobilbetalinger og raskere betalingsformidling ambisjoner for felles løsninger og standarder

Fintech regulering. Liv Freihow IKT-Norge. Historien om det kompliserte ekteskapet mellom gründere og Finanstilsynet

Foretakets navn : Dato: Underskrift :

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Finanstilsynets risiko- og sårbarhetsanalyse 2009

Høring NOU 2016:19 Samhandling for sikkerhet

BankAxept i en ny digital virkelighet. - og hvor er bransjen om 2år? BETALINGSFORMIDLING 2018

Fremtidens trusler hva gjør vi? PwC sine fokusområder innen CyberSikkerhet og hvordan vi jobber inn mot internasjonale standarder

Risiko- og sårbarhetsanalyse (ROS) 2005

Seminar 1. juni Risiko- og sårbarhetsanalyse (ROS) 2015 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

Informasjonssikkerhet og digitalisering

Agenda. Nordisk finansnæring kan møte cybertrusselen sammen. Morten Tandle, daglig leder Nordic Financial CERT

Finansministerens time

Norsk infrastruktur for betalingsformidling frem mot 2020

(BFI) Årsrapport 2005

Betalingsformidlingskonferansen Finans Norge 2015

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Digital? Ikke digital? Digital nok? Hva sier statistikken?

Risikovurdering av Public 360

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

NSM NorCERT og IKT risikobildet

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

IT-Puls Digital samhandling med dine kunder og partnere. Trondheim 22. november. EVRY, Rune Gjørøy

Derfor trenger du BankID på nettstedet ditt

Beredskapsutvalget. for finansiell infrastruktur (BFI)

Risiko- og sårbarhetsanalyse (ROS) Rapport om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Norsk betalingsinfrastruktur Status og utfordringer for å holde Norge i tet det neste 10-året

Cyberspace og implikasjoner for sikkerhet

IT-PERSPEKTIVET I FINANSNÆRING. FINANCEWORLD 2014 Idar Kreutzer, adm. dir. Finans Norge

Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren

Public 360 KDRS

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Om internrevisjon. Pensjonskassekonferansen. 14. mai 2019

Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder

Tingenes tilstand: Programvaresikkerhet i offentlig sektor

Standardisering og fellesskap blant konkurrenter

Årsrapport om betalingsformidling 2004

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Følger sikkerhet med i digitaliseringen?

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

Kan cyber-risiko forsikres?

Forstudie digitalisering nye Moss kommune

Hvordan skape vekst gjennom eksport av teknologi? #1. Vi lever og ånder for forenkling. Hanne Norstrøm-Ness, Vippsentusiast

Innholdsfortegnelse... 3 Oversikt over tabeller og figurer... 9 Forord... 11

Felles varslingskrav for aktørene i NICS. (Norwegian Interbank Clearing System)

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

Cybersikkerhet hva er det og hva er utfordringene? Karsten Friis

RISIKO- OG SÅRBARHETSANALYSE (ROS) 2011

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Transkript:

Seminar 23. mai 2013 Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi Seksjonssjef Frank Robert Berg

ROS-analysen 2012: Kap. 1) Innledning sammendrag Kap. 2) Utviklingstrekk Trender som kan påvirke risiko Kap. 3) Risiko knyttet til tjenestene og tap Kap. 4) Funn og observasjoner Bruk av kilder og drøfting av funn Kap. 5) Identifiserte risikoområder Spesielle fokus- og tiltaksområder Kap. 6) Finanstilsynets oppfølging Hva kan tilsynet gjøre? 2

Risikobildet og trusselutviklingen 2012 Samarbeid Finanstilsynet Norges Bank Skaffe oss oversikt Analysere Foreslå tiltak Leveranse Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester Gjennomførte ROS-intervju Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt - Betalingstjenester Annen relevant informasjon spørreundersøkelser Beredskap - BFI-sekretariatet - Samarbeid andre myndigheter - Infrastruktur betalingssystemer Våre virkemidler 3

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk Internasjonal utvikling Felles tiltak fra finansnæringen 4

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk Internasjonal utvikling Felles tiltak fra finansnæringen 5

2. Utviklingstrekk - Identitetstyveri Det foreligger mange estimater over omfanget av IDtyveri. Mange av estimatene bygger på spørreundersøkelser. Reelle tapstall fra ID-tyveri innhentet av FNO, i samarbeid med Finanstilsynet, angir tap i finanssektoren i 2012 til 7,5 millioner NOK. Tall fra andre nasjoner (USA) viser at dette er et alvorlig problem. Krenkelsen den enkelte blir utsatt for ved ID-tyveri er svært alvorlig. Finanstilsynet samarbeider med Datatilsynet om kartlegging og tiltak. 6

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk Internasjonal utvikling Felles tiltak fra finansnæringen 7

2. Utviklingstrekk - Utkontraktering Sikre egen styring og kontroll Transparency International The 2012 corruption perceptions index 8 Indisk IT under lupen, DN, 21.05.2013

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk Internasjonal utvikling Felles tiltak fra finansnæringen 9

2. Utviklingstrekk - Tjenesteutvikling i betalingssystemer Nettet gir unike muligheter for «Betalingstjenester utenfor regulering»: Pay Pal, TrustBuddy, Popmoney, Bitcoin, Facebook coins, Microsoft points. Andre tjenester: Overlay payment service. Drivere: Sosiale medier, nettkapasitet, big data, nettskyer, nye devicer 10

11

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk - EU som driver Internasjonal utvikling Felles tiltak fra finansnæringen 12

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk Internasjonal utvikling - Skytjenester Felles tiltak fra finansnæringen 13

2. Utviklingstrekk Privat utstyr Risiko for å åpne en «bakdør» Identitetstyveri Utkontraktering Tjenesteutvikling i betalingssystemer Regulatoriske utviklingstrekk Internasjonal utvikling Felles tiltak fra finansnæringen BSK / egenregulering 14

2. Utviklingstrekk Felles tiltak Kilde: FinansCERT 15

2. Utviklingstrekk Felles tiltak Kilde: FinansCERT 16

3. Systemer for betalingstjenester Generelt om betalingssystemer Styring og kontroll med betalingssystemer Risiko og sårbarhet i betalingssystemene Oversikt over tap knyttet til betalingstjenester Ikke planlagte hendelser Manglende styring og kontroll Planlagte hendelser Analyse beredskap og tiltak 17

Betalingssystemer Infrastrukturen som understøtter stadig mer avanserte betalingsløsninger, er kompleks: Betaler Betalers bank Produkter og IKT-løsninger understøttes av egen og felles infrastruktur Mottakers bank Mottaker Regulering Egenregulering Retningslinjer Prosedyrer Standarder Organisering 18 Forretningsapplikasjoner Systemsoftware Kommunikasjonsløsninger Hardware Leverandører Nets Norway AS (felles betalingstjenester, infrastruktur og drift) EVRY ASA (totalleverandør) Danske Bank IT SDC, Danmark Nordic Processor (Nordea/IBM) JN Data CSC Tele Strategi Styring og kontroll Operasjonalisering

Logisk og forenklet bilde av transaksjonsflyten fra der den oppstår, innsamling, avregning og oppgjør Norges Banks oppgjørssystem (NBO) Felles avregningssystemer Bankenes avregningssystem NICS (konsesjon fra Norges Bank) VPO Nivå 1-banker DNB Bank NORDEA Bank Bank C Bank D Bank E Nivå 2-banker Terra-banker Bank I Bank J Teknisk innsamling av transaksjoner (Banker, Nets (Sofie), EDB, andre leverandører) Eksempler på distribusjonskanaler Minibank Nettbank Brukersteder (EFT/POS) Avtalebaserte betalingstjenester Front- og backoffice i bank Internetthandel Annet 19

Tap i 2012 ved bruk av betalingskort 20

Tap i 2012 ved bruk av nettbank 21

4. Funn og observasjoner Årlig ROS-analyse Risiko Sikkerhet Resultater fra tilsyn IT og betalingstjenester Gjennomførte ROS-intervju Hendelseshåndtering Data fra hendelsesdatabase Betalingstjenester Meldeplikt - Betalingstjenester Annen relevant informasjon spørreundersøkelser Beredskap - BFI-sekretariatet -Samarbeid andre myndigheter - Infrastruktur betalingssystemer Våre virkemidler 22

Identifiserte risikoområder Styring og kontroll Angrep på nettbaserte løsninger Kontinuitets- og katastrofeløsninger Risiko ved gamle og komplekse systemer Tilgang til betalingstjenestene 23

Styring og kontroll Nødvendig kunnskap om IT-governance og beste praksis i å styre IKT-virksomheten. Det betyr i praksis å etablere rammeverk som omfatter: roller og ansvar, prosessbeskrivelser, rutiner/retningslinjer, bruk av verktøy og kontroll. Detaljerte avtaler ved utkontraktering, tydelig forankring av ansvar og system for kontroll av leveransene. 24

Angrep på nettbaserte løsninger Noen ulike roller knyttet til nettbanksvindel Rolle Oppgaver Malware-utvikler De som forestår den grunnleggende programvareutviklingen. Rekrutterer muldyr Sikrer at noen stiller en konto til rådighet i landet som skal angripes. Muldyr Setter sammen angrepskoden Spredning av angrepskoden Utnytter infiserte PC-er Sikrer mottak av penger Den som stiller konto til rådighet og foretar videre overførsler/uttak. Skreddersyr angrepet basert på grunnkoden. Sprer koden gjennom ulike opplegg, f.eks. gjennom reklameannonser eller svakheter i programvare som f.eks. operativsystem eller nettleser. Gjennomfører angrep mot infiserte PC-er gjennom overvåkning og tiltak eller gjennom logikk bygget i koden. Foretak som utfører pengeoverføringstjenester. 25

Kilde: UK Payment Administration Ltd / Financial Fraud Action UK 26

27 Kilde: UK Payment Administration Ltd / Financial Fraud Action UK

Kontinuitets- og katastrofeløsninger Kontinuitetsløsninger Opplegg for håndtering av hendelser Etablering av katastrofeløsning, vedlikehold og testing verifisering av testresultat Risikovurdering av alle elementer som inngår Identifisere og sikre kritiske komponenter 28

Risiko ved gamle og komplekse systemer Mange sentrale løsninger er fra 1980- og 90-årene. Modernisering skjer på utsiden. Teknologi og kompetanse kan bli vanskelig å opprettholde. Å vente for lenge kan representere en risiko økt kompleks drift. Viktig med statusanalyser og klargjøring av problemstillinger. 29

Tilgang til betalingstjenester Årlig risikovurdering identifisere tiltak Effektiv håndtering av hendelser hendelser må benyttes til forbedring Identifisere kritiske komponenter Sikre nødvendige kontinuitetsløsninger Katastrofeløsning og testing ende-til-ende Etablere nødvendig styring og kontroll Forstå behovet for monitorering 30

31

Finanstilsynets videre oppfølging 1. IT-tilsyn og tett kontakt 2. Hendelsesrapportering 3. Arbeid med betalingstjenester 4. Meldeplikt ved endringer og etablering av nye betalingstjenester 5. Beredskapsarbeid 32

Cyber Crime We are building our lives around our wired and wireless networks. The question is, are we ready to work together to defend them? The FBI certainly is. We lead the national effort to investigate high-tech crimes, including cyber-based terrorism, espionage, computer intrusions, and major cyber fraud. To stay in front of current and emerging trends, we gather and share information and intelligence with public and private sector partners worldwide.

Takk for oppmerksomheten! Frank Robert Berg frb@finanstilsynet.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding