SIKKERHET OG RISIKO
Finanstilsynet: Svindler utnyttet sikkerhetshull hos én bank - men ingen hendelser gikk ut over finansiell stabilitet
I rapporten om sikkerhet og risiko for 2023 skriver Finanstilsynet at det ikke var en eneste IKT-hendelse som hadde konsekvenser for finansiell stabilitet i fjor. Men antall rapporterte hendelser økte.
Finanstilsynet kom tirsdag ut med rapporten «Risiko- og sårbarhetsanalyse (ROS) 2024». Der konkluderes det med at det i 2023 ikke var noen hendelser med konsekvenser for finansiell stabilitet, og at tilgjengeligheten til betalingstjenester og andre kunderettede tjenester samlet sett var tilfredsstillende, og omtrent på samme nivå som i 2021 og 2022.
Likevel påpeker tilsynet at antall operasjonelle hendelser økte, som i hovedsak skyldes at visse hendelser rammet flere banker samtidig.
– I årets rapport fremhever Finanstilsynet viktigheten av at foretakene har gode trusselvurderinger, konsekvensanalyser og beredskapsplaner for sine systemer. Foretakene bør sikre at det gjennomføres sikkerhetstesting av foretakets systemer og at det er etablert tilstrekkelige tiltak for å kunne håndtere et angrep, herunder angrep mot leverandører, sier seksjonssjef i seksjon for IT og betalingstjenester Olav Johannessen i Finanstilsynet.
Bakgrunnen for analysen og tilsynets vurderinger kommer av at det digitale trusselbildet er i endring, og stadig høyt. Økende digitalisering utvider handlingsrommet, samhandlingen mellom kriminelle miljøer er økende, og den geopolitiske uroen forsterker bildet.
Det har bidratt til økt oppmerksomhet for cybersikkerhet og betydningen av digital robusthet og motstandsdyktighet innen finanssektoren. Lange og uoversiktlige leverandørkjeder utgjør derfor en sårbarhet som trusselaktører utnytter, og Finanstilsynet skriver at «alvorlig svikt i IKT-systemer kan i verste fall true den finansielle stabiliteten og påvirke samfunnssikkerheten».
Flere svakheter
Finanstilsynet skriver selv i rapporten at det ble avdekket svakheter og sårbarheter i foretakenes arbeid med IKT i 2023. Det var blant annet svakheter i overordnede styring og kontroll med IKT-virksomhet og mangelfull oppfølging av IKT-risiko i andre forsvarslinje.
«Manglende styrebehandling av strategi, rammeverk og retningslinjer på IKT-området, herunder sikkerhetskrav, samt manglende rapportering av IKT-risiko til styret.»
I tillegg peker Finanstilsynet på manglende ressursbruk og fagkompetanse, mangler i leverandøroppfølgingen, mangler i kriseberedskapen, mangelfull tilgangsstyring og oppfølging av logger og manglende kvalitet på konfigurasjonsdatabasen.
Dermed påpeker tilsynet at risikoen knyttet til den utstrakte bruken av IKT-tjenesteleverandører og mangler i oppfølging av disse, utgjør en betydelig del av foretakenes risiko.
Aktørene i bransjen har også pekt på risikoen knyttet til stadig lengre og mer komplekse leverandørkjeder og utfordringer med å få aksept fra underleverandører for foretakets egne strategier og retningslinjer. Dermed ser Finanstilsynet sårbarheten knyttet til foretakenes forsvarsverk mot digital kriminalitet som den mest sentrale risikoen knyttet til foretakenes bruk av IKT også i 2023.
Svindel
Tap som følge av svindel endte i 2023 på 928 millioner kroner. En økning på 51 prosent fra 2022.
På den andre siden forhindret bankene svindelforsøk tilsvarende drøyt to milliarder kroner i 2023.
I undersøkelsene til Finanstilsynet fremheves svindel der bedrageren har lurt til seg kundens bankID som den risikoen som ble vurdert høyest.
Økningen i tap for svindel er først og fremst ved kontooverføringer, som står for 64 prosent.
Svindel med bruk av betalingskort øker også med 28 prosent, og kom på 281 millioner kroner i 2023.
Rapporterte hendelser
Det ble rapportert 408 IKT-hendelser til tilsynet i 2023, en økning på omtrent 40 prosent fra året før, da antall henvendelser kom like under 300.
En grunn for økningen var at ti hendelser hos ulike leverandører var grunnlag for 95 rapporter til tilsynet. Dette var saker som gikk på feil med saldo, mangler i AML-systemene, avvik i BankID eller samme logiske applikasjonsfeil.
Av de 408 hendelsene var 15 av dem sikkerhetshendelser, mens resterende var operasjonelle hendelser.
Seks av de 15 var tjenestenektangrep, mens Finanstilsynet skriver i sin rapport at flere av hendelsene gjaldt angrep på utenlandske underleverandører i verdikjeden.
To av sikkerhetshendelsene gjaldt kompromitterte epost-kontoer som ble benyttet som utgangspunkt for svindel eller til å sende spam.
Mens en bank rapporterte om hendelse der banken avdekket et sikkerhetshull i egne systemer som hadde blitt utnyttet. Svindleren brukte en forsinkelse i en oppdatering av saldo til å overføre midler fra kontoer opprettet for svindelformål, og samtidig tok ut kontanter fra de samme kontoene, noe som medførte overtrekk. Saken endte med at svindleren ble arrestert.
Tietoevry
Finanstilsynet påpeker en konsentrasjon av IKT-systemer hos bankene, ettersom at Eika-alliansen flyttet over sine banker til Tietoevry i 2023. Verdipapirsentralen (Euronext) flyttet også sin IKT-drift til Tietoevry i 2023.
«Overgangen til Tietoevry for Verdipapirsentraelen og bankene i Eika-alliansen innebærer isolert sett økt konsentrasjonsrisiko siden flere foretak i finanssektoren allerede benyttet Tietoevry som driftsleverandør», skriver Finanstilsynet.
Vurdering av risikoen
I bildet under kan du se hvordan Finanstilsynet vurderer de ulike sårbarhetene etter sannsynlighet for en alvorlig negativ hendelse oppstår, og tilhørende konsekvens.
Finanstilsynet rangererer disse områdene, der sårbarheter kan utgjøre en risiko, for økende: Styringsmodell og internkontroll, leverandørstyring, og geopolitiske forhold. Mens kompetanse og kompetansestyring, informajsonslekkasje, og tilgangsstyring er synkende.
Videre skriver Finanstilsynet at foretakene må forvente at lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA) trer i kraft i Norge i løpet av 2025, selv om flere uavklarte forhold kan forsinke ikrafttredeslen.
I tillegg til forordningen skal det utarbeides ti regulatoriske og implementeringstekniske standarder samt noen retningslinjer. Arbeidet forventes klart i EU 17. januar, men Finanstilsynet skriver at det må påregnes en forsinkelse i Norge, grunnet EØS-prosessen. I rapporten til Finanstilsynet lister det opp hva foretakene også bør forberede seg på til DORA i rapporten, som du kan finne her.