Kriser og kontinuitet i SpareBank 1 13.06.2014 Krisekonferansen 2014 Renate Thoreid, Continuity Manager
Innhold Trusselbilde Sentrale regelverk Roller og ansvar Aktiviteter Veien videre..
Definisjon på en krise. Det finnes mange slags kriser og nesten like mange definisjoner på hva en krise er. (Rapport fra 22. juli - kommisjonen NOU 2012: 14) Sårbarhetsutvalget definerte krise som en uønsket hendelse med potensial til å true viktige verdier og svekke en organisasjonsevne til å utføre viktige funksjoner. Direktoratet forsamfunnssikkerhet og beredskap (DSB) opererer med et utvidet krisebegrep som sier at en virksomhet er i krise når det oppstår en situasjon som truer eller kan true virksomhetens kjernevirksomhet og/eller troverdighet Med beredskap forstås tiltak for å forebygge, begrense eller håndtere kriser og andre uønskede hendelser
Rapport fra 22. juli - kommisjonen NOU 2012: 14 Ifølge en ledende internasjonal ekspert, professor R. Arjen Boin, utgjør en krise en alvorlig trussel mot grunnleggende samfunnsstrukturer eller mot sentrale verdier knyttet til sikkerhet, velferd, liv og helse som krever en rask reaksjon under stor grad av usikkerhet. Kriser kjennetegnes ved at de kommer uventet og utvikler seg raskt og uforutsigbart. Enhver krise har sitt eget unike forløp Felles for de fleste er likevel at det er mange aktører involvert, at aktørene opplever at viktige interesser står påspill, og at det haster med å få kontroll over situasjonen, samtidig som den regulære beslutningsprosessen ikke fungerer eller framstår som uhensiktsmessig
NOU 2006:6 Når sikkerhet er viktigst Et effektivt, robust og sikkerhet system for betalingsformidling En velfungerende og stabil finansiell infrastruktur Bankene og deres leverandører av elektronisk kommunikasjon - tjenester er sentrale aktører i betalingssystemet Betalingssystemet og den finansielle infrastrukturen utgjør en kritisk samfunnsfunksjon
Nasjonal strategi for informasjonssikkerhet Angir retning og prioriteringer for myndighetenes krav til informasjonssikkerhetsarbeid Flere regelverk pålegger virksomhetene å ha et styringssystem for informasjonssikkerhet Virksomheten må ivareta informasjonssikkerhet på en mer helhetlig og systematisk måte Hvordan? http://www.regjeringen.no/upload/fad/vedlegg /IKT-politikk/Nasjonal_strategi_infosikkerhet.pdf
Finanstilsynet Finanstilsynet foretar årlig en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT Rapportering av hendelser Årlig hendelsesseminar med relevante temaer knyttet til hendelseshåndtering Stedlige tilsyn
Risikoanalyse i forbindelse med korttrafikk Påsken 2013
Finanstilsynet Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) 2 Planlegging og organisering 3 Risikoanalyse 5 Sikkerhet 10 Krav til kontinuitet 11 Driftsavbrudd og katastrofeberedskap opplæring, øvelse, test og dokumentasjon Tilsyn Etterlevelse av IKT- forskriften
Eier- og selskapsstrukturen i SpareBank 1-alliansen Eiere og alliansepartnere: SamSpar 19,5 % 19,5 % 19,5 % 19,5 % 11 % 9,6 % 1,4 % Bank 1 Oslo Akershus* SpareBank 1 Gruppen AS* Alliansesamarbeidet SpareBank 1 DA* BN Bank* SpareBank 1 Boligkreditt* SpareBank 1 Kredittkort* SpareBank 1 Næringskreditt* SpareBank 1 Markets* * Selskaper som er direkte eiet av de fleste alliansepartnerne - med ulike eierandeler: SpareBank 1 Forsikring SpareBank 1 Skadeforsikring ODIN Forvaltning SpareBank 1 Medlemskort forvaltning av LOfavør SpareBank 1 Gruppen Finans factoring og porteføljekjøp Conecto inkasso * Felleseid konsern med heleide produktselskaper: Selskapet skal utvikle og levere felles IT- og mobilløsninger, merkevare- og markedsføringskonsepter, forretningskonsepter, produkter og tjenester, kompetanse, analyser, prosesser, beste-praksis og innkjøp. Kompetansesentre: Betaling/Trondheim, Kreditt/Stavanger Læring/Tromsø EiendomsMegler 1 Norge SpareBank 1 Kundesenter SpareBank 1 Verdipapirservice * Eiet av regionbankene, SamSpar, Bank 1 OA og SpareBank 1 Gruppen
Styringsstruktur SB1 Alliansen Alliansestyret Kunderåd IT Eivind Gjemdal Adm. direktør Kirsten Idebøen Risikostyring & Compliance Torbjørn Martinsen Virksomhetsstyring Jarle Haug Økonomi og Finans Juridisk HR Fellestjenester Sikkerhet Innkjøp Produktselskaper T. Grotmoll / R. Selmar Forretningsutvikling Iren Rutle Marked Tore Haarberg KM Forsikring KM Org Marked Forsikring ODIN Forvaltning Conecto SB1 Gruppen Finans Markets Sparing Walter Jacobsen KM Sparing SPU SB1 Verdipapirservice Betaling Eldar Skjetne KM Betaling KS Betaling SB1 Kredittkort Finansiering Iren Rutle KM Finansiering KS Kreditt- modeller Kanaler KM Kanaler KS Læring Markedsanalyse SB1 Kundesenter SB1G Kommunikasjon KM Markedskommunikasj on Strategi SB1 Medlemskort EM1 Norge Kunderåd Kunderåd Kunderåd Kunderåd Kunderåd
Samhandlingsmodell for IT-kriser Samhandlingsmodell IT-kriser Strategisk nivå Alliansestyret Allianseledelsen Kriseledelse bank Taktisk nivå IT-kriseledelse IT-rådet Krisestab bank Operasjonelt nivå Systemansvarlig, drift, support, IRT, tekniske team Origo IT-avdeling bank Figur 1: Samhandlingsmodell for håndtering av IT-kriser i SpareBank 1-alliansen
Kontinuitetsleder, Continuity Manager
Finanstilsynet Finanstilsynet rundskriv 20/2011 Økte krav til bankene i lys av driftsproblemene i påsken 2011 3.2 Kartlegging av kritiske komponenter 3.3 Samordnet beredskap økt verdikjedefokus i tillegg til systemfokus
Ernst & Young - Observasjoner vedr. kartlegging av rundskriv 20 fra Finanstilsynet
Ernst & Young - Observasjoner vedr. kartlegging av rundskriv 20 fra Finanstilsynet
Katastrofetester - oversikt
Sluttrapport - katastrofetest Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) 11 Driftsavbrudd og katastrofeberedskap skal det minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Resultatet av testen skal dokumenteres slik at det er mulig å kontrollere.
Overordnet IT- kriseberedskapsplan for SpareBank 1-alliansen En krise er en kritisk situasjon knyttet til SpareBank 1 som omfatter: Personskade/død/gisselsituasjoner Evakuering/relokalisering Sterk reduksjon eller kontrollsvikt i forretningsprosesser og/eller produksjon Omfattende materielle skader og som ikke kan håndteres i SpareBank 1s ordinære linjeorganisasjon
Standarder NS-ISO/IEC 27000 serien IT-sikkerhet NS-ISO 22301:2012 Societal security - Business continuity management ISO/IEC 27031:2011 Information technology Security techniques. Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27002 Code of practice for information security management En katalog med forslag til sikringstiltak
Øvelse CyberDawn 2013 Bakgrunn SpareBank 1 delta sammen med flere aktører i beredskapsøvelse, CyberDawn 2013, 4. september 2013. Øvelse CyberDawn 2013 arrangeres av Telenor Norge Målet Håndtere kriser i et nasjonalt perspektiv Samøve med eksterne aktører Drille egen organisasjon Kompetansebygging
Øvelse CyberDawn 2013 Hva skal øves? Beslutningsprosessene på ulike nivåer - både sentralt og lokalt Samhandlingen mellom bankene /selskapene og sentrale fagmiljøer i SB1 Ekstern- og internkommunikasjonen - både sentralt og lokalt Den praktiske krisehåndteringen på ulike nivåer både sentralt og lokalt Erfaringer fra IKT08 http://www.youtube.com/watch? v=ow3pmscypj4&feature=youtu.be&desktop_uri=%2fwatch%3f v%3dow3pmscypj4%26feature %3Dyoutu.be&app=desktop
04.09.2013 06:00 04.09.2013 07:00 04.09.2013 08:00 04.09.2013 09:00 Spb1 SMS-tjeneste faller ut 0725 E-post m/ pdf-exploit 0830 DnB APT (DnB) Phishingepost Corp-kunde kundekontakt kompromitter t APT (DnB) VDI ex fil NorCERT Telenor EVRY SMS-utfall Stort (fullt utfall) DDoS Alle IP er EVRY IRT ringer TSOC vedr. DDoS (Adgangskont roll utfall) FIBER utfall Tn delmitigerer DDoS til <10 Gb/s EVRY Arbor for resten av angrepet KRAFT utfall Overspenning pga. feil tilkobl. av aggregat til basest. / site Fra NorCERT: Svar fra malvwareanalyse APT (DnB) Logg + Intell Nye APT søk proxy Utfall basestasjoner (utvalgte områder) NorCERT Malwareanaly se ferdig APT (DnB) VDI data ip til DnB APT (DnB) VDI intell + e Anmodning til NorCERT: Ta ned botnet (DDoS) CYFOR CYFOR: Anmodning om bistand med aggregater
Meldinger og mediespill Meldinger som spilles inn /dialog Spillstab spiller inn til aktørene: ØVELSE ØVELSE ØVELSE Nedetid i nettbank vi har satt teknisk personell til å undersøke årsak IRT- teamet får beskjed fra Telenor om årsaker til nedetiden klokken 08:00 FRA TIL MELDING Telenor SOC (TSOC) IRT-vakt ØVELSE ØVELSE - ØVELSE: vi ser massivt DDoS-angrep mot deres nettverk. Dette omfatter en hoster på 193.212.175.0/28. Vi arbeider med å lage et filter for dette, men ser at mye trafikk kommer fra Norske IP-adresser. Foreløpig ser vi gjentagende nedlastinger av større filer innen adresseområdet, samt massenedlasting av BankID-klient (javakode). Et filter vil muligens skape problemer for legitime brukere også.
Øvelse CyberDawn 2013 Viktig lærdom og forbedringspunkter Øvelsen har vist hvor viktig det er å være forberedt på å håndtere kriser. Det gjør oss bedre rustet til å håndtere uforutsette hendelser på en bedre måte, mener Eivind Gjemdal, leder av virksomhetsområde IT i Alliansesamarbeidet - og ansvarlig for informasjonssikkeret i SpareBank 1 Vi fikk synliggjort hvordan samhandlingen og beslutningsprosessene i alliansen fungerte. Samtidig fikk vi et godt grunnlag for å justere vår samhandlingsmodell for håndtering av felles kriser Samhandling og koordinering med de andre sektorene og sentrale samfunnsinstitusjonene gav oss nyttige erfaringer Viktig å følge opp forbedringsområder
Sentrale aktiviteter Styringssystem for informasjonssikkerhet, ISMS Policy for krise og kontinuitet i SpareBank 1 Øvelser Varslingsøvelser 2014 Øvelse «Hurricane» 2014 Øvelse «Pain» 2014 Felles varslingssystem, CIM for SpareBank 1 alliansen
Sentrale aktiviteter forts. Driftsleverandører Nets, Evry og Basefarm Forum for krise og kontinuitet Nordea, DNB, Terra, SpareBank1, Evry mf.
Takk for oppmerksomheten!