ROS - Finanstilsynet
ROS - Finanstilsynet
ROS - Finanstilsynet
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Finanstilsynet</strong>s<br />
risiko- og sårbarhetsanalyse 2010<br />
Finansforetakenes bruk av<br />
informasjons- og kommunikasjonsteknologi (IKT)<br />
Pressebriefing 31. mars 2011<br />
Seksjonssjef Frank Robert Berg
2<br />
<strong>Finanstilsynet</strong>s <strong>ROS</strong>-analyse 2010<br />
Resultater fra<br />
26 IT-tilsyn<br />
Leveranse<br />
Gjennomførte<br />
14 intervju<br />
i 2010<br />
Samarbeid<br />
Årlig<br />
<strong>ROS</strong>-analyse<br />
Data fra<br />
Hendelseslogg<br />
(156 hendelser<br />
i 2010)<br />
Skaffe oss oversikt<br />
Analysere<br />
Foreslå tiltak<br />
Meldeplikten<br />
Betalings-<br />
systemer<br />
Ny<br />
samarbeidsavtale<br />
med<br />
Norges Bank<br />
Annen relevant<br />
Informasjon<br />
(spørre-<br />
undersøkelser)<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Foretaksområder<br />
3<br />
Gjennomførte IT-tilsyn<br />
2003 2004 2005 2006 2007 2008 2009 2010 2011<br />
Bank/finans 6 6 10 7 5 5 7 6 9<br />
Forsikring 1 2 1 1 1 2 3 2 3<br />
Pensjonskasser og -fond – – 0 1 1 0<br />
Verdipapirforetak 8 8 11 4 5 9 6 *)6 7<br />
Eiendomsmegling – 1 1 1 1 1 *)1 0<br />
Inkasso – 1 2 1 1 1 1 *)1 1<br />
Revisorer (IT-revisjon) – – 0 1 1 1 *)2 1<br />
Regnskapsførere 4 1 1 1 1 1 1 2 1<br />
IKT-leverandører 2 2 5 4 4 4 2 4 3<br />
Andre (2010=Betalingsinfrastruktur/FNO) – 1 0 2 2 1 1<br />
SUM *) 31 forenklede tilsyn i 2010<br />
**) Foreløpig estimat for 2011 >20<br />
21 22 31 21 21 20 22 *)26 **)26<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
4<br />
IT-tilsynets egenevalueringsmoduler med kontrollspørsmål<br />
ANTIVIRUS<br />
136<br />
Inndelt i 34 IT-prosesser (CobiT) med 170 kontrollspørsmål (v 5.0)<br />
IT-driftsprosesser (ITIL) med 132 kontrollspørsmål (må gjennomgås)<br />
Brannmur<br />
100<br />
Katastrofebackup<br />
33 + Teknisk 300<br />
Nettbank 46<br />
Betalingstjenester<br />
104<br />
Antihvitvasking<br />
25<br />
Versjon for IT-prosjekter med 34 kontrollspørsmål (revurderes)<br />
Meldeplikten for betalingstjenester ivaretas med svar på 19 kontrollspørsmål<br />
Krav til IRB-<br />
modeller 28<br />
Versjon for IT-leverandører med 94 kontrollspørsmål<br />
Forenklet versjon med 77 kontrollspørsmål (i bruk ved ordinære tilsyn)<br />
Arbeides fortsatt med modenhetsmodell og verifisering (transaksjonstest)<br />
Mobilbank<br />
Passord<br />
34<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
<strong>ROS</strong>-analysen 2010<br />
5<br />
Kapittel 2 Utviklingstrekk<br />
1. IT-Governance (styring og kontroll)<br />
2. Mangelfull ledelse av store prosjekter<br />
3. Gjennomføring av krav til kostnadseffektivitet og risiko<br />
4. Leverandørutvikling på IKT-området<br />
5. Utkontraktering og Offshoring<br />
6. IKT-infrastruktur (styring og kontroll, konsentrasjonsrisiko og<br />
single point of failure)<br />
7. Cloud Computing (nettskyen)<br />
8. Algoritmehandel verdipapirer<br />
9. Bruk av mobile enheter<br />
10. Tjenesteutvikling betalingssystemer<br />
11. Internettkriminalitet<br />
12. Identitetstyveri<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
<strong>ROS</strong>-analysen 2010<br />
6<br />
Kapittel 3 Systemer for betalingstjenester<br />
1. Generelt om betalingssystemer<br />
Viktighet, rolle i det finansielle system, internasjonal<br />
påvirkning, EU-påvirkning, volumtall<br />
2. Risiko og sårbarhet i betalingssystemene<br />
Sårbarheter, samarbeidsopplegg og volumtall<br />
3. Styring- og kontroll med betalingssystemene<br />
Reguleringskrav og bruk av leverandører<br />
4. Meldeplikten – Systemer for betalingstjenester<br />
Manglende etterlevelse<br />
5. Oversikt over årlige tap knyttet til betalingstjenester<br />
Tapsstatistikk<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
7<br />
Infrastrukturen for å understøtte stadig mer avanserte betalingsløsninger er kompleks<br />
Betaler Betalers<br />
bank<br />
Regulering<br />
Retningslinjer<br />
Prosedyrer<br />
Organisasjon<br />
Betalingssystemer<br />
Understøttes av<br />
felles infrastruktur<br />
Applikasjoner<br />
Systemsoftware<br />
Kommunikasjonsløsninger<br />
Hardware<br />
Leverandører<br />
Mottakers<br />
bank<br />
Mottaker<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
TAPSSTATISTIKK VED BRUK AV BETALINGSKORT<br />
(tall i hele tusen kr)<br />
8<br />
Svindeltype betalingskort 2010¹<br />
Misbruk av kortinformasjon, kort ikke til stede<br />
9.401<br />
(internetthandel)<br />
Stjålet kortinformasjon (inkludert skimming), misbrukt 1.765<br />
med falske kort i Norge<br />
Stjålet kortinformasjon (inkludert skimming), misbrukt 31.740<br />
med falske kort utenfor Norge<br />
Kort tapt eller stjålet, misbrukt i Norge 14.395<br />
Kort tapt eller stjålet misbrukt utenfor Norge 5.149<br />
Borte i posten 4.239<br />
TOTAL 66.689<br />
1) Tall innhentet fra Finansnæringens Felleskontor og Bankenes<br />
Standardiseringskontor i samarbeid med <strong>Finanstilsynet</strong>.<br />
2) For totale tap kortområdet er det registrert en nedgang fra 2009 med ca 8%<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
TAPSSTATISTIKK VED BRUK AV NETTBANK<br />
(tall i hele tusen kr).<br />
9<br />
Svindeltype nettbank 2010<br />
Angrep ved bruk av ondartet<br />
0<br />
programkode på kundens PC (trojaner)<br />
Angrep som utnytter sårbarheter i<br />
0<br />
nettbankapplikasjon (hacking)<br />
Phishing (avluring av informasjon) 0<br />
Andre former for angrep på nettbank 0<br />
Annet (tyveri av kodekort og annen<br />
2.398<br />
informasjon)<br />
TOTAL 2.398<br />
Antatte akkumulerte tap frem til 31.12.2010 er NOK ca 500.000<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
<strong>ROS</strong>-analysen 2010<br />
10<br />
Kapittel 4 <strong>Finanstilsynet</strong>s funn og observasjoner<br />
1. IT-tilsyn<br />
2. Intervjuer<br />
3. Hendelsesrapportering<br />
4. Utkontraktering – Offshoring<br />
5. Spørreundersøkelser<br />
6. Hendelser internasjonalt – andre kilder<br />
(samarbeidsopplegg)<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
11<br />
Statistikk fra hendelsesrapportering<br />
25<br />
20<br />
15<br />
10<br />
5<br />
0<br />
Hendelser fordelt på måned 2009 vs. 2010<br />
jan feb mar apr mai jun jul aug sep okt nov des<br />
E-post: hendelse@finanstilsynet.no<br />
2009<br />
2010<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Fortsatt flest rapporter fra bankene<br />
140<br />
120<br />
100<br />
12<br />
80<br />
60<br />
40<br />
20<br />
0<br />
Banker Kortselskap Verdipapir/børs Forsikring<br />
Serie1<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
13<br />
100<br />
90<br />
80<br />
70<br />
60<br />
50<br />
40<br />
30<br />
20<br />
10<br />
0<br />
Avregning / Oppgjør<br />
Hendelser fordelt på system 2009 vs. 2010<br />
Bankens interne systemer<br />
Feil bokføring / saldo<br />
Hos kunde<br />
Handelssystemer børs<br />
Kontofon / SMS bank<br />
Nettbank<br />
Korttransaksjoner<br />
Utenlandsbetaling<br />
2009<br />
2010<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
<strong>ROS</strong>-analysen 2010<br />
14<br />
Kapittel 5 Identifiserte risikoområder<br />
1. Skimming mot minibanker<br />
2. Angrep mot nettbanker<br />
3. Mangelfull testing og verifisering av<br />
katastrofeløsninger (i praksis manglende<br />
etterlevelse av reguleringskrav)<br />
4. Driftsproblemer knyttet til endringer hos IKTleverandører<br />
5. Mangler i styring og kontroll ved utkontraktering<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Hendelser knyttet til skimming i 2010<br />
15<br />
Februar 2010 startet en ny type skimmingangrep mot minibanker<br />
Teknikken som benyttes omgår etablert antiskimming løsning<br />
Angrepene pågikk i store deler av 2010<br />
Estimert at 57 minibanker er forsøkt påmontert skimming utstyr,<br />
hvorav det på 35 av disse er kopiert kort (ca 2.200 minibanker<br />
operative i Norge)<br />
Potensielt kan 6.244 kort ha blitt kopiert,<br />
men er sannsynlig vesentlig lavere (registrert ca 10 mill i tap)<br />
Situasjonen følges nøye av bankene, bankenes organisasjoner<br />
og myndighetene<br />
Bla. a. i samarbeid med leverandørene arbeides det<br />
med å etablere effektive mottiltak<br />
Gjennomført møte med bankene og bransjeorganisasjoner<br />
(BSK/FNO)<br />
Deltatt i møte med leverandørene og politiet<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Hendelser knyttet til nettbank<br />
2010 2011<br />
16<br />
Angrep av trojanerprogrammet ZEUS i desember 2010 – ingen kunder<br />
ble svindlet<br />
Angrep av trojanerprogrammet SpyEye i januar/februar/mars 2011<br />
(Programkoden infisert på PCen, bot-nett (kontrollserver), phishing (dårlig<br />
tekst) og generering av transaksjoner realtime.<br />
Massivt Phishingangrep mot Sparebank 1 gruppen i februar 2011.<br />
Anslagsvis 2.500 norske IP-adresser (PCer) er identifisert som antatt<br />
infiserte (informasjon fra NorCERT/ISPene).<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Hendelser knyttet til nettbank<br />
17<br />
2010 2011 (2)<br />
Ca 10 transaksjoner er sendt. 2 banker har hatt tap (370.000 NOK<br />
overføring i EUR). Flere banker er berørt.<br />
Tiltak<br />
Utveksling av IP-adresser, utveksling av Mules- informasjon (kontonumre<br />
og navn), transaksjonsovervåkning, manuell SWIFT-kontroll,<br />
transaksjonsovervåkning, teknisk avvik identifisert og etablert tett<br />
operativt samarbeid.<br />
Møte med alle bankene, Bankenes Standardiseringskontor (BSK)<br />
og Finansnæringens Fellesorganisasjon (FNO) 15.03.2011<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Utkontraktering (outsoucing/offshoring)<br />
18<br />
Hele<br />
forretningsprosesser<br />
Applikasjoner med<br />
forvaltning og drift<br />
Infrastruktur med<br />
forvaltning og drift<br />
RISIKO<br />
Egen evne til<br />
styring og kontroll.<br />
Utfordring å opprettholde<br />
både kompetanse og<br />
kapasitet.<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Hvordan overvåke utviklingen? / Virkemidler<br />
19<br />
Generelle vurderinger knyttet til offshoring<br />
Tap av arbeidsplasser på IKTområdet<br />
Finansforetaket<br />
Tap av kompetanse på IKTområdet<br />
Finansforetaket<br />
Etterlevelse av regelverk<br />
Finansforetaket<br />
Vurdering av risiko<br />
Finansforetaket<br />
Gir samfunnsmessige konsekvenser<br />
Kan svekke evnen til forretningsmessig<br />
utvikling<br />
Kan gi høyere risiko<br />
<strong>Finanstilsynet</strong> har et klart påse ansvar<br />
<strong>Finanstilsynet</strong> har et klart ansvar for å<br />
bidra til finansiell stabilitet og akseptabel<br />
risiko<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
20<br />
Hva har skjedd i 2010 mht offshoring til Ukraina?<br />
<strong>Finanstilsynet</strong> ble informert om prosesser<br />
knyttet til offshoring, både fra enkelte banker<br />
og av leverandøren, men ikke når det kom<br />
til faktisk gjennomføring.<br />
<strong>Finanstilsynet</strong> konstaterte manglende,<br />
mangelfulle og utilstrekkelige risikoanalyser,<br />
både hos leverandøren og berørte foretak.<br />
Alvorlig sikkerhetsbrudd ble avdekket.<br />
Avtalemessig regulering mellom leverandør<br />
og kunde av endringene ble ikke<br />
gjennomført, med unntak for enkelte foretak.<br />
Alle berørte banker har nullstilt endringene.<br />
Leverandøren har flyttet oppgavene tilbake<br />
til Norge. Bruk av ansatte i Norge fra foretak<br />
i Ukraina avsluttet.<br />
Ble i realiteten varslet fra en<br />
bank pga en ”hendelse”.<br />
Ble etablert formell dialog med<br />
leverandør og med større<br />
finansforetak. <strong>Finanstilsynet</strong><br />
fikk full informasjon.<br />
Ble avklart ifm at<br />
<strong>Finanstilsynet</strong> åpnet sak.<br />
<strong>Finanstilsynet</strong> har blitt<br />
informert av berørte<br />
finansforetak og av<br />
leverandør. Rundskriv 14/2010<br />
ble utsendt, 31.05.2010.<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
21<br />
Virkemidler/Regelverk<br />
Rundskriv nr. 14 / 2010<br />
Datert 31.05.2010.<br />
<strong>Finanstilsynet</strong>s vurdering er at risikoen ved at<br />
bankene flytter ut driftsrelatert IKT-virksomhet til<br />
slike land (høyrisikoområder) er for høy dersom<br />
dette gjelder funksjoner og operasjoner som er<br />
nødvendige elementer i, eller har betydning for<br />
daglig operasjon av følgende funksjonsområder:<br />
• betalingssystemer (både områdene avregning<br />
og oppgjør og systemer for<br />
betalingstjenester)<br />
• kjernesystemer som kan betegnes som daglig<br />
bank.<br />
Disse omfatter: kunde/reskontro, innlån, utlån,<br />
korttjenester, kundeopplysninger og<br />
produktadministrasjon inkludert<br />
distribusjonskanaler.<br />
<strong>Finanstilsynet</strong> er av den oppfatning at ovennevnte<br />
IKT-oppgaver ikke kan utkontrakteres til<br />
landområder med høy risiko.<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
<strong>ROS</strong>-analysen 2010<br />
22<br />
Kapittel 6 <strong>Finanstilsynet</strong>s videre oppfølging<br />
1. Tiltak rettet mot risikoområdene<br />
2. IT-tilsyn<br />
3. Hendelsesrapportering/beredskapshåndtering/sam<br />
arbeid<br />
4. Tiltak mot ID-tyveri<br />
5. Økt fokus på «brukersteder» (kort)<br />
6. Informasjon og kommunikasjon<br />
7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt<br />
CoMiFin)<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Emanuel Desperados<br />
Ludvig<br />
23<br />
Risiko<br />
5. Vurdering av risiko<br />
Sannsynlighet<br />
30. mars 2011 NSM sikkerhetskonferanse 2010 - Offshoring av IKT
Operasjonell risiko<br />
Hva er risikoen på en skala fra 1 til 10? Er det risikoreduserende tiltaket effektivt?<br />
24<br />
12. januar 2011
<strong>ROS</strong>-analysen 2010<br />
25<br />
Kapittel 6 <strong>Finanstilsynet</strong>s videre oppfølging<br />
1. Tiltak rettet mot risikoområdene<br />
2. IT-tilsyn<br />
3. Hendelsesrapportering/beredskapshåndtering/samarbeid<br />
4. Tiltak mot ID-tyveri<br />
5. Økt fokus på «brukersteder» (kort)<br />
6. Informasjon og kommunikasjon<br />
7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin)<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Hendelsesrapportering / Oppfølging<br />
• Møter med de største foretakene<br />
• Oppfølging av enkelthendelser<br />
• Viktig underlag for <strong>ROS</strong>-analysen – mer kvantitative data<br />
• Underlag ved IT-tilsyn<br />
• Forsøker å se sammenhenger for bedre å forstå den tekniske<br />
infrastrukturen til de elektroniske finanstjenestene<br />
• Koordinering av hendelsesinformasjon med andre<br />
myndighetsinstanser (NorCert/BankCERT - avtale NSM),<br />
Datatilsynet (drøfting), Post & Teletilsynet (drøfting). Internasjonalt:<br />
ITSG i aktivitet.<br />
26<br />
31.03.2011 - Pressebrief i <strong>Finanstilsynet</strong>
Takk for oppmerksomheten!<br />
Frank Robert Berg<br />
FINANSTILSYNET<br />
Revierstredet 3<br />
Postboks 1187 Sentrum<br />
0107 Oslo<br />
www.finanstilsynet.no<br />
frb@finanstilsynet.no