Risiko knyttet til betalingstjenester v/ Atle Dingsør
Helsetilstanden 2
Risiko Sentral infrastruktur og følgeskader av dette Sentrale funksjoner/tjenester og følgeskader Sentral tillitstjeneste og følgeskader Informasjonslekkasje Korrupte data Avgrenset gruppe tjenester / kunder 3
Sentral infrastruktur og følgeskader Nettverk Fysisk Logisk Programvare Applikasjoner 4
Sentral infrastruktur og følgeskader Hendelser fordelt på årsak pr. 31.12 180 160 140 120 100 80 60 40 20 0 8 6 68 72 37 26 27 32 7 3 11 7 14 16 24 35 2010 2011 2012 ukjent SW nettverk HW applikasjon angrep 5
Kan redundansløsninger testes bedre? «I denne forbindelse ble database switchet til alternativ server for å kjøre videre på denne en periode. Det viste seg at backup oppsettet ifht tømming av logger var feil. Logger ble ikke tømt og et område i databasen gikk fullt.» «Årsak til feilen oppgis å være feil timestamp på en redundant server (sekundærserver).» «Leverandøren har gjennom feilsituasjonen avdekket at kontinuitetsløsningen ikke har vært riktig konfigurert for alle filsystemer.» «Medfører at den switcher til sekundær server uten forstyrrelse for produksjonen. Men sertifikatet som ligger på sekundær server fungerer ikke.» «Ved forsøk på å løse opp problemet oppsto ustabilitet for online trafikk fra kundekanaler og bankkontorkanlaer. Det ble besluttet å switche til sekundær database da dette ville løse opp i lock situasjonene og frigjøring av batch. Dette har blitt gjort flere ganger tidligere med minimal innvirkning på produksjonen. Dessverre ga dette en total lock situasjon man ikke fikk løst opp.» 6
Tiltak for å øke sikkerheten kan øke risikoen for hendelser Nye beskyttelseslag Brannmuroppdateringer Redundans-etablering Redundans-testing Kan redundansløsninger testes bedre? ved etablering som del av endringshåndtering som del av regulære testaktiviteter 7
Risiko Sentral infrastruktur og følgeskader av dette Sentrale funksjoner/tjenester og følgeskader Sentral tillitstjeneste og følgeskader Informasjonslekkasje Korrupte data Avgrenset gruppe tjenester / kunder 8
Sentrale funksjoner og følgeskader Avregning Ulykkene på Nasdaq OMX følgeskader Tillitstjeneste, jf. Diginotar 9
Stopp i en sentral funksjon - følgeskader NICS er skadet Pensjoner og statslån stram likviditet Statslånsemisjon VPO strammere likviditet Betalinger i CLS lån mellom banker Utenlandske aktører mangler dekning reduserte trekkgrenser i VPO Handler forskyves Manglende innbetaling i CLS 10
Stopp i en sentral funksjon - følgeskader Mange handler må skyves Utenlandske aktører - rennomme Negativ pressedekning utenlandske investorer trekker seg. Kursfall. Oslo Clearing må stenge medlemmer ute Oslo Clearing må kreve høyere marginer flere kontrakter må lukkes Deltakerne i OC må fylle på med likviditet 11
Sentrale funksjoner og følgeskader Avregning Ulykkene på Nasdaq OMX følgeskader Tillitstjeneste, jf. Diginotar 12
Tre hendelser i Nasdaq Problemer med oppkobling flash freeze", som en betegnelse på feil i systemer som har blitt (for) komplekse slik at ingen kan handle noen steder og dermed ikke får realisert et omsetningsbehov. En utsettelse på tre timer førte dermed til en storm av klager og påstander om unfair trading. Mange fryktet store tap fordi de ikke var i stand til å handle seg ut av posisjoner når de ønsket. 13
Tre hendelser i Nasdaq Problemer med pålogging systemet skrudde seg ned Andre børser er avhengig av referanseprisen i NOMX Nasdaq Andre børser som benytter samme handelssystem kan stoppe 14
Risiko Sentral infrastruktur og følgeskader av dette Sentrale funksjoner/tjenester og følgeskader Sentral tillitstjeneste og følgeskader Informasjonslekkasje Korrupte data Avgrenset gruppe tjenester / kunder 15
Risiko Sentral infrastruktur og følgeskader av dette Sentrale funksjoner/tjenester og følgeskader Sentral tillitstjeneste og følgeskader Informasjonslekkasje Korrupte data Avgrenset gruppe tjenester / kunder 16
Risiko Sentral infrastruktur og følgeskader av dette Sentrale funksjoner/tjenester og følgeskader Sentral tillitstjeneste og følgeskader Informasjonslekkasje Korrupte data Avgrenset gruppe tjenester / kunder 17
Risiko Sentral infrastruktur og følgeskader av dette Sentrale funksjoner/tjenester og følgeskader Sentral tillitstjeneste og følgeskader Informasjonslekkasje Korrupte data Avgrenset gruppe tjenester / kunder 18
Angrep økonomisk motiv TU 3.10.2013 http://www.tu.no/it/2013/1 0/03/datatyv erier-gir-et- utbytte-pa- 700- milliarderkroner 19
Forholdet de er mest bekymret for er imidlertid såkalte «alvorlige hendelser». Dette er en betegnelse de typisk bruker på målrettede angrep mot kritisk infrastruktur. En fersk rapport fra Pwc viser at antallet dataangrep mot verdens bedrifter har økt med 25 prosent siste året. Dette er bare hendelsene som er oppdaget. Undersøkelsen er basert på svar fra 9.600 toppledere og ITsjefer. Den viser også at 66 prosent av sikkerhetshendelsene omhandler kompromittering av ansatte- og kundedata. http://w ww.digi. no/9232 57/repov else-idatavett 20
Single Euro Payments Area (SEPA), which comprises 33 countries (the European Union Member States, Iceland, Liechtenstein, Monaco, Norway and Switzerland) and 516 million citizens. 21
Fraud evolution Belgium During the first 8 months of 2012, 472 cases of fraud were registered, i.e. about 1 case in 1 million out of the total number of 460 million registered sessions. 22
Nederland Økning i 2012 Tap 1. halvår 2012: 27.000.000 Euro 23
Ideologisk motiv Dagens næringsliv 23.9.2013 24
DDoS: Økonomisk og / eller ideologisk motivert Oslo Børs Evry Nordea Reduserer tilgjengeligheten. Opptar oppmerksomheten. Mest alvorlig konsekvenser i 2012: Oslo Børs / VPS 25
Angrep «Slow and low attacks» (Diginotar, RSA, Luckycat) Multikanal angrep 10 % årlig økning i cyber svindel til 2016, drevet av trusler i mobilkanalen Hull i programvaren Impersonering (oppringt, låne logo mv.) 26
Angrep DDoS Utpressing Hacktivisme mot teleleverandøren Hacktivisme mot finansforetaket Svakheter i internet-protokollen 27
Angrep «Slow and low attacks» (Diginotar, RSA, Luckycat) Multikanal angrep 10 % årlig økning i cyber svindel til 2016, drevet av trusler i mobilkanalen Hulli programvaren Impersonering (oppringt, låne logo mv.) 28
Angrep «Slow and low attacks» (Diginotar, RSA, Luckycat) Multikanal angrep 10 % årlig økning i cyber svindel til 2016, drevet av trusler i mobilkanalen Hulli programvaren Impersonering (oppringt, låne logo mv.) 29
Angrep «Slow and low attacks» (Diginotar, RSA, Luckycat) Multikanal angrep 10 % årlig økning i cyber svindel til 2016, drevet av trusler i mobilkanalen Hulli programvaren Impersonering (oppringt, låne logo mv.) 30
Mobil risiko Datalekkasje mellom applikasjoner Device rooting and jail-breaking Falske apper («lånte fjær») Mobil skadevare (jf. Eurograbber) Mobilene er anonyme Phishing Mangel på kryptering 31
Mobil tiltak Innloggingskoder kryptér Sandboxing Kodesignering Er koden «innbruddssikker» og «tett» - grundig test Grundig test av server 32
Angrep «Slow and low attacks» (Diginotar, RSA, Luckycat) Multikanal angrep 10 % årlig økning i cyber svindel til 2016, drevet av trusler i mobilkanalen Hull i programvaren «Lånte fjær» (oppringt, låne logo mv.) 33
OWASP top 10 Open Web Application Security Project (OWASP) topp ti risikoer. Spørringer mot SQL, LDAP eller OS-et inneholder kode som lurer systemet til å gi fra seg hemmeligheter eller tillater angriper å kjøre kommandoer. (Injeksjon) Svakheter i autentisering og sesjonshåndtering som eksponerer passord, nøkler, sesjons-id. Angriper sender brukeren til banken som svarer brukeren med angripers kode inkludert i svarsiden. ("XSS") Nettbanken eksponerer referanser til interne, "hemmelig" objekter (filer, kataloger, databasenøkler). Angriper misbruker objektene og får ulovlig tilgang til filer, kataloger, databaser osv. (Usikre objektreferanser). Sikker og oppdatert konfigurering av applikasjon, OS, brannmur, applikasjonsservere og plattform. 34
OWASP top 10 Beskytte data som er i ro og data som er i bevegelse. Data ut/inn av browseren. Reautentisering mot serveren. Sesjonsinnbrudd (Cross Site Request Forgery). Systemprogramvare (biblioteker, plattform) kjører oftest med fulle rettigheter. Sårbarheter i disse utnyttes, med stor skade som følge. Brukere omdirigeres og videresendes til sider og web-områder via usikrede lenker og data. Uten sikker validering kan angripere omdirigere brukeren til phishing eller områder med skadevare, eller ri på en omdirigering og få uautorisert tilgang. 35
Angrep «Slow and low attacks» (Diginotar, RSA, Luckycat) Multikanal angrep 10 % årlig økning i cyber svindel til 2016, drevet av trusler i mobilkanalen Hull i programvaren «Lånte fjær» (oppringt, låne logo mv.) 36
Lånte fjær http://ww w.bitcoins norge.no/ 37
Angrep DDoS Utpressing Hacktivisme mot teleleverandøren Hacktivisme mot finansforetaket Svakheter i internet-protokollen 38
Sikkert som banken? DinSide 4.10.2013 http://www.di nside.no/923 295/nettbank -appene-ersaarbare 39
Sikkert som banken? 40
Tiltak «Regionsperre har vært utrolig effektivt som tiltak mot kortsvindel». «Regionsperrer halverer tapa på kredittkort. Brukes også innenfor Europa». «Samarbeidet med driftsleverandør fungerte godt, og leverandøren viste god kompetanse om hvordan slike angrep skal håndteres». 41
Tiltak «Igangsatte tiltak knyttet til utenlandsbetaling, "regionsperre" på nettbank og manuell kontroll av alle mistenkelige betalinger fra Risk-liste. Vår leverandør leverer nå automatisert grov-filtrering av utenlandsbetalinger og det reduserer behovet for manuelle kontroller. Banken hadde i august ca. 2 heltidsengasjert for å kontrollere utenlandsbetalinger. Etter innføring av overvåkningssystemet bruker banken nå ca. 2 timer pr dag til slikt arbeid. Banken har hittil i år hatt tap på 350 tusen på trojanersvindel. Det er stoppet overføringer for 3 mill. i overvåkingen. Banken har ikke hatt tap siden august etter igangsatte tiltak. Vår leverandør utviklet overvåkingssystem (ukjent IP-adresse, ukjent mottaker, kjent muldyrkonto etc.) som banken har implementert» 42
Tiltak Versjon 3.0, november 2013 Kryptert BOLS EUs nye kyberkrimenhet Rettsforfølger angriperne Øvelser FinansCert Anbefalinger fra SecurePay 43
Tiltak «Big Data» Big Data Skybasert sandkasse Rennomme-baserte kontroller Avviksanalyse 44
Tiltak avviksanalyse (eksempel epost) Epost sendt fra et domene som organisasjonen ikke utveksler epost med Epost som er sendt fra en IP-adresse med ukjent rennommé som ble utstedt for mindre enn 24 timer siden og / eller som er koplet til en mistenkelig registrar Epost som er sendt fem ganger på fem minutter til ulike personer i samme avdeling Eposten inneholder en URL som ikke er kjent 45
Forbedringsområder Forvaltning av utkontrakteringsavtaler Test Bevisstgjøring 46
Kan redundansløsninger testes bedre? «I denne forbindelse ble database switchet til alternativ server for å kjøre videre på denne en periode. Det viste seg at backup oppsettet ifht tømming av logger var feil. Logger ble ikke tømt og et område i databasen gikk fullt.» «Årsak til feilen oppgis å være feil timestamp på en redundant server (sekundærserver).» «Leverandøren har gjennom feilsituasjonen avdekket at kontinuitetsløsningen ikke har vært riktig konfigurert for alle filsystemer.» «Medfører at den switcher til sekundær server uten forstyrrelse for produksjonen. Men sertifikatet som ligger på sekundær server fungerer ikke.» «Ved forsøk på å løse opp problemet oppsto ustabilitet for online trafikk fra kundekanaler og bankkontorkanlaer. Det ble besluttet å switche til sekundær database da dette ville løse opp i lock situasjonene og frigjøring av batch. Dette har blitt gjort flere ganger tidligere med minimal innvirkning på produksjonen. Dessverre ga dette en total lock situasjon man ikke fikk løst opp.» 47
Offshoring Flere oppkoplingspunkter Drift av skyen Flere meter med linje som kan gå ned Flere abstraksjonslag (hypervisoren) Mindre skreddersøm «minste felles sikkerhet» Mer data i bevegelse 48
Leserinnlegg digi.no 2. september 2013: «Jeg er bekymret over hvordan bedrifter i dag setter seg i en posisjon hvor data lagres i utlandet. Det er svært sannsynlig at vi vil miste våre nettforbindelser om vi skulle bli innblandet i en krig. Jeg vil tro det er få som i 1990 trodde at bedrifter skulle kjøre svært mange tjenester via internett. Svært mange bedrifter som har svært viktige samfunnsfunksjoner er f.eks. avhengige av programvarelisenser som deles via servere som gjerne står i andre land. Skulle vi bli lammet av virusangrep og deretter miste nettforbindelse så blir det svært vanskelig å bli kvitt virus (umulig å laste ned oppdatert antivirus) og en reinstallasjon fra backup blir påkrevd, men hvor backup gjerne ligger i andre land, eller i andre byer. Resultatet blir en total lammelse for svært mange bedrifter i Norge. Et angrep på oss for å oppnå en lammelse er altså en ganske billig affære for en fiende. Langt billigere enn det var i 1990». 49
Finland s Cyber security Strategy Most of the critical infrastructure in society is in private business ownership. Cyber know-how and expertise as well as services and defences are for the most part provided by companies. National cyber security legislation must provide a favourable environment for the development of business activities. This would, for its part, enable the creation of an internationally recognised, competitive and export-capable cyber security cluster. At the same time Finland would become an appealing and cyber secure environment worthy of business investments and companies operations... A stable cyber security situation, for its part, creates a lucrative business environment. 50
Helsetilstanden 51
Spørsmål? adi@finanstilsynet.no 52