Tidligere sjef i Økokrim og PST advarer bankene mot å lene seg på regulering: – Må jobbe mer risikobasert

På Finansnæringens dag sto partner Hedvig Moe i Thommessen advokatfirma på scenen og snakket om finansbransjens utfordring med risikobildet slik det er i dag. Til BankShift sier hun at aktørene i bransjen blir nødt til å stå mer på egne ben i tiden fremover.

– Finanstilsynet og næringen holder seg til et veldig godt utviklet og strukturert regelverk. Det er mye skjemaer og strukturer når en bank skal oppfylle lovverket, også på trusselarbeid. Men med dagens trusselbilde kan man ikke gjøre jobben kun ved å lese av regelverket. Man må jobbe mer risikobasert, og ikke alene basere seg på Finanstilsynets oppfølging, sier Moe.

– Verden har endret seg og endringene ligger i at man må tenke litt annerledes på egen risiko. Man kan ikke legge til grunn at alt man må gjøre ligger i de finansregulatoriske føringene. Det kommer noe i tillegg. Mange aktører i finansbransjen ser dette, og forholder seg til det, men andre har fortsatt et stykke å gå, legger Moe til.

«Overlatt til seg selv»

Hun leder nå satsingen i Thommessen på næringsliv og nasjonal sikkerhet, og har erfaring fra blant annet å ha vært assisterende sjef i PST, og konstituert sjef i Økokrim. Hennes ekspertise omfatter blant annet sikkerhetsloven, personellsikkerhet, etterlevelse og sanksjoner.

– Det vil bli mer risikotankegang, man må finne ut av mer selv. Det gjelder egentlig alle bransjer, siden nasjonal sikkerhet i begrenset grad er lovregulert utenfor sikkerhetsloven. En bank må tenke; hvor er vi i dagens trusselbilde og hvilke verdier har vi som er viktige for nasjonal sikkerhet?

– Man må arbeide risikobasert i bank når det gjelder nasjonal sikkerhet fremover. Både i bank og i andre bransjer kjenner man nok ofte på at man til en viss grad er overlatt til seg selv uten tydelige føringer fra regelverket, sier Moe om arbeidsoppgavene på området.

Vil ha mer tydelighet fra myndighetene

Og det er flere ting som kunne vært på plass for å forenkle sikkerhetsarbeidet, forteller Moe. Overordnet mener hun at de hemmelige tjenestene kunne vært tydeligere på hvilke deler av trusselbildet som er viktigst for de enkelte bransjene.

– Myndighetene må bli tydeligere på hvilke forventninger man har, men jeg tror også bankene har litt å gå på, på den regulatoriske tilnærmingen. Det å tenke mer på egne verdier, sårbarhet og risiko, sier hun.

Moe ser også på bankene som noen av de viktigste aktørene i samfunnet i dagens trusselbilde, og påpeker at om det skulle skje noe, så finnes det konsekvenser som ville påvirke enkeltmenneskene i samfunnet fra dag til dag.

– Trusselbilde som er i dag, som blir kommunisert fra PST og politiet, treffer bankene på mange måter. Bankene er en slags grunnmur for samfunnet. Skulle det skje noe og folk ikke får ut pengene sine, påvirker det alle. Bankene har også mye interessant informasjon som gjør den interessante for private kriminelle aktører og utenlandske etterretningstjenester, sier Moe.

– Hva er det som da blir viktig for bankene å tenke på i tiden fremover?

– Jeg tror det blir ekstremt viktig å ha god kontroll på personellsikkerhet. Ifølge politiet så vi nå i den siste rapporten at innsider-risiko er blitt viktigere, og det betyr at god kontroll i banken blir viktig. Det er jo ikke et regulatorisk brudd om man ansetter noen som for eksempel har sterk tilknytning til Russland, men det er en forventing om at du klarer å hindre at russiske etterretningstjenester får tak i informajson som har betydning for nasjonal sikkerhet. Så ser vi, her som i andre bransjer, at det er noen virksomheter som er gode, og andre som er mindre gode, sier Moe.

Mer usikkerhet

I Thommessen forteller hun om klienter som kommer med spørsmål om innleide konsulenter fra for eksempel Kina, og at det ofte kan være problemer knyttet til det. Hun peker på at bedrifter er nødt til å ha kontroll på rutiner også på de innleide, noe som gjelder både for fysisk ansatte og på cybersikkerhet.

Og selve trusselbilde tror hun bare vil fortsette å forbli alvorlig fremover, med tanke på alt som skjer i verden. Det vil også bety noe for bankene.

– Jeg tror bankene må forholde seg til større usikkerhet, som alle andre. Jeg oppfatter bankene som gode til å oppfatte og håndtere risiko, men risikoen blir kanskje litt annerledes og vanskeligere å ta fatt i fremover. Da gjelder det å klare å agere på det som kommer, og ikke nødvendigvis klare å forutse hva som kommer til å skje, sier Moe.