Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll med IKTvirksomheten, herunder blant annet krav til: Overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten Risikoanalyser Prosedyrer som skal sikre beskyttelse mot skader, misbruk, uautorisert tilgang og endring og hærverk Systemvedlikehold Drift og driftsprosedyrer som skal sikre fullstendig, rettidig og korrekt behandling og oppbevaring av data At forskriften etterleves også ved utkontraktering Beredskapsløsninger og kriseplaner Avvikshåndtering og hendelsesrapportering til Finanstilsynet 2
Nytt regelverk Ny sikkerhetslov Generelle krav til forebyggende sikkerhet Nettverks- og informasjonssikkerhetsdirektivet Risikoanalyser Hendelsesrapportering Nytt betalingstjenestedirektiv Risiko- og sårbarhets analyser Hendelsesrapportering er godt tilpasset nytt regelverk 3
IKT-sikkerhet i foretaket inneholder flere bestemmelser som dekker IT-sikkerhetskrav, inklusive alle aspekter ved cybersikkerhet, blant annet 2. Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. 3. Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. 5. Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKT-systemene 8. Drift Drift av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt behandling og oppbevaring av data. 10. Driftsavbrudd og kriseberedskap Foretaket skal ha en dokumentert kriseplan 4
Sikkerhetspolicy Styring og kontroll med sikkerhet innebærer å 1. integrere sikkerhet i foretakets aktiviteter 2. påse at sikkerhetsnivå og sikkerhetstiltak er basert på risikovurderinger 3. påse at foretakets investeringer innenfor sikkerhet er basert på foretakets mål og er i samsvar med sikkerhetskravene 4. sikre samsvar med interne og eksterne krav herunder regulatoriske krav 5. stimulere sikkerhetstenkning i foretaket 6. evaluere sikringstiltakene 5
Utkontraktering - Regelverk Finansforetaksloven Ikke kjerneoppgaver Forsvarlig i omfang og måte Ikke vanskeliggjøre tilsyn Utkontraktering av IKT-virksomhet skal styrebehandles Sikre foretakets rett til å kontrollere og revidere leverandørens aktiviteter knyttet til avtalen Sikre Finanstilsynets tilgang til opplysninger fra og tilsyn hos IKT-leverandøren Finanstilsynsloven Meldeplikt ved ny eller endret avtale, eller bytte av oppdragstaker Minst 60 dager før iverksettelse av avtalen Finanstilsynet kan sette vilkår, gi pålegge om ikke å iverksette eller avslutte oppdraget dersom utkontrakteringen som ikke oppfyller finansforetakslovens bestemmelser 6
Skytjenester Næringen m.fl. har foreslått at bruk av skytjenester må unntas s utkontrakteringsbestemmelser om rett til kontroll, revidering, innsyn og tilsyn både for foretaket og for tilsynet Begrunnelsen var at blant annet Bruk av skytjenester er annerledes enn tradisjonell utkontraktering Vil være umulig å få til avtaler med store skyleverandører, som bl.a. Google, Amazon, Microsoft, i tråd med s bestemmelser. Finanstilsynet har avslått dette stiller tydelige krav til foretakene Avtaler som oppfyller s krav, er kommet på plass hos flere 7
Krav til hendelsesrapportering Rapporteringsbestemmelsen fastsatt i 2009 Avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data, skal rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk. Finanstilsynets oppfølging skjer mot foretakene under tilsyn selv om virksomheten er utkontraktert. Omfatter ikke tjenesteleverandører, men noen av de største / viktigste rapporterer større hendelser frivillig. Det er foretakene selv som må løse problemer ved hendelser, enten det er operasjonelle hendelser eller sikkerhetshendelser 8
Operasjonelle versus sikkerhetshendelser 9
Tilsynsmessig oppfølging Generelle IKT-tilsyn Temabaserte IKT-tilsyn Utkontraktering Drift og beredskap IT-sikkerhet, inkl cybersikkerhet Risikoanalyser Tilgangsstyring Problemhåndtering og hendelsesrapportering Utkontrakteringsmeldinger Hendelsesrapportering Vurdering av IKT-risiko for de største bankene inngår i regelmessig vurdering av bankenes risiko og individuelle kapitalkrav (pilar 2) 10
FINANSTILSYNET Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo www.finanstilsynet.no