Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Like dokumenter
Avtale mellom Finansnæringens Servicekontor og Sparebankforeningens Servicekontor om etablering av BankID Norge

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

UNIK - Academic Forum on Security. Invitert presentasjon: BankID - noen myter og sannheer August 2008

Høringsuttalelse - vurdering av tiltak i markedet for internasjonale betalingskort i Norge

Vedtekter for Bankenes Standardiseringskontor

Retningslinje for risikostyring for informasjonssikkerhet

Sammendrag Evaluering

HÅNDTERING AV NETTANGREP I FINANS

Bankenes fakturaformidling i lys av nye krav

Samarbeid om den felles infrastruktur

Regler om straksoverføringer Fastsatt av Bransjestyre betalingsformidling og infrastruktur i FNO Servicekontor

Regler om innenlandske kreditoverføringer mellom banker

Standardisering og fellesskap blant konkurrenter

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Pressebriefing 11. april 2013

Sikkerhet i BankID 2.0 (Web-klient) Frode B. Nilsen Drifts- og utviklingssjef, BankID Norge

Utfordringer innen IKTområdet PwC 20. september 2011

Gjelder fra: Godkjent av: Fylkesrådet

Systemer for betalingstjenester Utfordringer innen Styring og Kontroll, Operationell Risiko og Organisatorisk Kompleksitet

Felles varslingskrav for aktørene i NICS. (Norwegian Interbank Clearing System)

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidling

Aktivitet Forberedelse, gjennomføring, rapportering og oppfølging av Risikoanalyse.

Risiko og sårbarhetsanalyser

Risikoanalyser i petroleumsvirksomheten. Behov for å endre/justere kursen? Vidar Kristensen

Risiko og Sårbarhetsanalyse på NTNU. Presentasjons av prosess

Risikoanalysemetodikk

Vedtekter for BankID Norge

R102 Retningslinjer for gjennomføring av risikovurderinger

Noen høyaktuelle temaer knyttet til betalingsformidling. Jan Digranes, direktør prosessområde bank, Finans Norge

Hvordan samarbeider bankene om efaktura B2B- løsningen

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Hvordan sikre seg at man gjør det man skal?

Nettbanksikkerhet. Erfaringer fra SpareBank 1

Kaldvellfjorden Eiendom AS. ROS-Analyse for Tjuholla boligområde

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Innhold. Helseopplysninger, BankID og risiko. Cracker s pub Trondheim, 5. mars Institutt for matematiske fag, NTNU.

Veiledning. Temaveiledning i risikoanalyse. For risikofylte forbrukertjenester

Derfor trenger du BankID på nettstedet ditt

Koordinatorskolen. Risiko og risikoforståelse

PLAN FOR SELSKAPSKONTROLL Stjørdal kommune

Regler om bankenes felles konto- og adresseringsregister

Hva gjør BSK for å modernisere og fornye norsk finansiell infrastruktur?

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Felles varslingskrav for aktørene i NICS (Norwegian Interbank Clearing System) 2018

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

SIKRING i et helhetsperspektiv

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Bankenes. mislighetsstatistikk

DE ER NOEN JEG ALDRI HAR MØTT SOM TAR SEG AV PENGENE JEG ALDRI HAR SETT.

Menneskelige og organisatoriske risikofaktorer i en IO-kontekst

Risikostyring i DNK. Samarbeidsforum for internkontroll, virksomheter. Cecilie Norenberg 9. September 2015

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

RISIKOVURDERING. Jan Fosse Seksjonssjef Avdeling Sikkerhetsstyring NSM NASJONAL SIKKERHETSMYNDIGHET

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

Bankenes bidrag til digitalisering av arbeidsprosesser i næringslivet og det offentlige. v/direktør Eldar Skjetne, SpareBank1

Alminnelig regelverk om interbanktransaksjoner ved innenlands betalingsformidling

Eksempel på risikovurdering

Kontaktløse kort En ny mulighet for bankene?

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Modelldrevet risikoanalyse med CORAS

DET DIGITALE TRUSSEL- OG RISIKOBILDET

«Føre var» Risiko og beredskap

Krav til utførelse av Risikovurdering innen

Risikovurdering av Public 360

Norsk betalingsformidling Hvordan komme i front i 2020?

Kvalitetssikring av arkivene

BankID-seminar 24. april Odd Erling Håberget og Hege Steinsland, BankID Norge

Krav til utførelse av Sikringsrisikovurdering

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Fagdag ISO internasjonal meldingsstandard for betalingsformidling

Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Personvernombudsrollen. Henrik Gullaker, personvernombud.

BSKs fokus. Modernisering, internasjonalisering og videreutvikling. Lars Erik Fjørtoft daglig leder Oslo

Hva har BankID betydd for bankene? Premisser og drivere Utfordringer og konsekvenser Muligheter og effekter

HMS-forum Tirsdag 12 mars Risikovurdering som verktøy i daglige beslutninger

Finanstilsynets risiko- og sårbarhetsanalyse 2010

Pressebriefing 9. april 2015

Helhetlig risikostyring i praksis

Disse regler gjelder mellom banker og kan ikke påberopes av bankenes kunder.

Hva er risikostyring?

Risikovurdering av elektriske anlegg

Konkurranseloven Bankforeningenes samarbeid om felles infrastrukt...ling - Regler om utstedelse, behandling og utforming av "bank axept"-kort

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Helhetlig risikostyring i praksis

Jernbaneverkets erfaringer med implementering av RAMS

(BFI) Årsrapport 2005

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Håndtering av helseopplysninger etter hendelser i helsetjenesten

(BFI) Årsrapport 2004

RISIKOVURDERING Enhet Avdeling/Seksjon. Risikovurdering av * Sammendrag

Regler for beregning og publisering av norske pengemarkedsrenter Nibor

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Transkript:

Erfaringer med bruk av CORAS risikoanalyse Rune Hagen, BSK CORAS risikoanalyse Utført for BankID Samarbeidet SINTEF, fagdag om risikostyring, 27. januar 2011

Bankenes Standardiseringskontor hvem er vi? Opprettet av Sparebankforeningen og Den Norske Bankforening 1994. Skal ivareta forvaltningsoppgaver knyttet til betalings- og informasjonsformidling i bankenes infrastruktur. Stiftelse og «spleiselag» ingen aksjer å få kjøpt! Har både kravsettende og kontrollerende oppgaver. Hovedområder: Kortsystemer (BankAxept) Interbank utveksling Kravstilling til nettbank og bruk av eid i bank Generelt opptatt av områder der én bank kan påføre en annen bank, eller dens kunder, risiko. 8 ½ ansatt.

Hvem er BankID Norge? Enheten BankID Norge ble opprettet av Finansnæringens- og Sparebankforeningens Servicekontorer (nå FNO) i desember 2008 Formål: Ivareta felles forvaltnings- og operasjonelle oppgaver knyttet til utstedelse og bruk av BankID Opptrer på vegne av BankID Samarbeidets fellesskap overfor bl.a. IT-leverandører og teleoperatører Innkjøpskontor for felles infrastruktur. Forvalter spesifikasjoner. Enheten er lokalisert i Oslo, med 4 medarbeidere.

De sentrale aktørene: Hvem er BankID Samarbeidet? Alle banker som har sluttet seg til FNOs regler om BankID BankID Norge Bankenes Standardiseringskontor (BSK) FNO med myndighetskontakt og overordnet forretningspolicy Felles operasjonell infrastruktur, driftet og utviklet på Nets (ex BBS). Opprettet som et frivillig samarbeid i 2003. Ble drevet av en koordinator + «frivillige» ressurser t.o.m. 2008. Profesjonalisert gjennom opprettelsen av BankID Norge. Ved utgangen av 2010: 2.4 mill. personer har BankID 137 banker deltar.

Hvorfor er risikoanalyser viktige for oss? BankID infrastruktur har verdier som er må beskyttes og er utsatt for trusler. Bankenes tjenester er utsatt for trusler. BankID kan forandre risikobildet for sine brukere og brukersteder. Vi er lovpålagt å gjøre risikoanalyser: 3, Risikoanalyse i Forskrift om bruk av IKT (Finanstilsynet): Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKTsystemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKTvirksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKTsikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres.

Hva har vi gjort selv i 2007-2008? Utført av arbeidsgrupper satt sammen av bank, BBS og BSK med prosjektledelse og sekretariat fra BSK. Høsten 2007 Startet som en teknisk risikoanalyse. Tok inn i seg organisatoriske og omdømmemessige aspekter som ble dominerende. Teknisk risiko peker ut trojanere og tjenestenektangrep. Mann-i-midten angrep var demonstrert: Nye tiltak lagt inn senhøstes -> risiko for nedadgående. Høsten 2008 Mer teknisk orientert enn 2007-utgaven. Vurderer formuleringer og punkter fra Kredittilsynets «RoS»-analyse fra året før. Phishing og (spesialtilpasset) malware, gjerne i uskjønn kombinasjon. Hva kan utro tjenere hos bank og tjenesteleverandør utføre?

Status 2009 BankID og norsk banknæringen opplever svært få hendelser og svært lave beløp i tap på nettbaserte tjenester. (fortsatt sant) Det finnes tiltak i systemet for å forebygge og oppdage malware, mann-i-midten og phishing. Enheten BankID Norge er etablert (Q4-2008) for å svare på organisatorisk risiko. Det har vært arbeidet med ekstern kommunikasjonsrådgiver for å organisere beredskapsarbeid og få ned omdømmemessig risiko. Kredittilsynet tilskriver næringens organisasjoner og sier at de setter pris på arbeidet som er utført, men savner en helhetlig risikoanalyse.

Risikoanalyse høsten 2009 / våren 2010 BankID Norge kontakter SINTEF Finner arbeidet i KST-gruppa interessant og vil gå nærmere samarbeid med bruk av CORAS-metodikk. Våre ønskemål for risikoanalysen: 1. Identifisere hull (dvs. åpne sårbarheter) innenfor scope m/ tilhørende forslag til tiltak. Tiltak skal være på forholdsvis overordnet nivå, og videre drilling kan være eksempel på tiltak. 2. Dokumentasjon overfor tilsynsmyndighet.(særlig Kredittilsynet, men også Post- og Teletilsynet) 3. Ekstern review av trusselbildet. Bekreftelse eller korreksjon av våre egne forutsetninger. 4. Etablere første RoS-analyse for produktet BankID på mobil. Dette er første år hvor BankID på mobil er et produkt med eksterne kunder. 5. Gi et startpunkt til Beredskapsutvalget som BankID Norge skal opprette. Kjerneområde: Teknologi / produkt

Begrepsapparatet vakte umiddelbar gjenkjennelse! BankID Samarbeidet 2010

CORAS metodikken anvendt på BankID I Området å gå gjennom er stort og sammensatt behov for en del tid til avgrensning. Vi oppfattet metodikken som systematisk, logisk og lett forståelig. I vår sammenheng var alle de 7 eller 8 stegene og møtene nødvendige ( + litt mer i begynnelse og slutt). Arbeidsfordeling: SINTEF hadde med 2 personer som hhv prosessleder og prosessekretariat. BSK tok mye av den praktiske prosjektledelsen. Banker, BankID Norge og tjenesteleverandør deltok som informanter.

CORAS metodikken anvendt på BankID II Første utfordring definere aktiva (verdier) disse er ikke-materielle for BankID. Direkte aktiva: Autentisitet av BankID bruker (person) Autentisitet av BankID brukersted Ikke-benektbarhet av signerte dokumenter Tilgjengelighet av BankID tjenester for sluttbruker Tilgjengelighet av BankID tjenester for brukerstedene Samsvar (compliance) med krav fra tilsynsmyndigheter Publikums tillit til BankID (indirekte aktivum) Brukerstedenes tillit til BankID (indirekte aktivum)

CORAS metodikken anvendt på BankID III Første utfordring definere aktiva (verdier) disse er ikke-materielle for BankID. Direkte aktiva: Indirekte aktiva: Autentisitet av BankID bruker (person) Autentisitet av BankID brukersted Ikke-benektbarhet av signerte dokumenter Tilgjengelighet av BankID tjenester for sluttbruker Tilgjengelighet av BankID tjenester for brukerstedene Samsvar (compliance) med krav fra tilsynsmyndigheter Publikums tillit til BankID (indirekte aktivum) Brukerstedenes tillit til BankID (indirekte aktivum)

CORAS metodikken anvendt på BankID IV Neste utfordring skalering av uønskede hendelser. Hyppighet: Logaritmisk med 10 gangen (fra <1 pr tiår til >100 pr år). Erfaring: Stor risiko for å gå seg vill og skalere en gang for mye eller for lite! Konsekvens: Skalering fra ubetydelig til katastrofalt (3 eller 5 verdier). Skalering defineres utfra antall forekomster, nedetid eller tap av anseelse Noen hendelser er nesten umiddelbart katastrofale (disse har 3 verdier). Risikotrapp: Rød Grønn Oransje (?)

CORAS metodikken anvendt på BankID V Identifikasjon av trusler, sårbarheter og uønskede hendelser: Arbeidskrevende, avhengig av input med bransjekunnskap, oppfattes ikke som direkte vanskelig. Estimering av frekvenser, konsekvenser og risikonivå: Her dukker «skaleringsdjevelen» opp igjen og kan gi dobbelt utslag. Forstå risikobilde og gruppere risiko Innplassere og evaluere mottiltak Avhengig av bransjekunnskap, kreativitet og vilje. Og så. Ut i verden på egen hånd!

Hva sitter vi igjen med ved avslutningen En rapport på 77 sider inkl vedlegg Et sett av risikotrapper der forskjellige uønskede hendelser er plassert inn med hyppighet og konsekvens for de enkelte aktiva. Lister av mulige tiltak mot de enkelte hendelsene Samme tiltak kan være aktuelt mot flere hendelser. En observasjon fra analytikerne om 3 sårbarheter som er viktige (og som kanskje ikke fikk nok oppmerksomhet under den ordinære risikoanalysen),

Etterarbeid I Prioriterer de hendelsene som scorer «dypt inne i det røde». Dette var ikke akkurat det settet av hendelser vi trodde skulle være der på forhånd. Eksempler på trusler og hendelser som scorer høyt ble identifisert og satt opp for oppfølging.

Etterarbeid II Sette opp prioriterte tabeller over uønskede hendelser og tiltak. Velge ut tiltak mot disse. (Kost, nytte, kompleksitet.) Skal ha minst ett risikoreduserende tiltak (hyppighet eller konsekvens) for hver av de prioriterte uønskede hendelsene. Eksempel på linjene i tabellen vi brukte for å innplassere tiltak. Oppfølging gjennom utviklingsoppgaver.

Etterarbeid III Observasjon: Stort datamateriale Kompleks infrastruktur En årlig risikoanalyse av denne typen gir mye nyttig input, men krever også betydelige ressurser. Du er ikke i mål når du har gjennomført risikoanalysen, men må fortsette arbeidet i egen organisasjon. Risikoreduksjon og oppfølging tar tid i seg selv.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding