ROS - Finanstilsynet

Finanstilsynets 

risiko- og sårbarhetsanalyse 2010 

Finansforetakenes bruk av 

informasjons- og kommunikasjonsteknologi (IKT) 

Pressebriefing 31. mars 2011 

Seksjonssjef Frank Robert Berg

2 

Finanstilsynets ROS-analyse 2010 

Resultater fra 

26 IT-tilsyn 

Leveranse 

Gjennomførte 

14 intervju 

i 2010 

Samarbeid 

Årlig 

ROS-analyse 

Data fra 

Hendelseslogg 

(156 hendelser 

i 2010) 

Skaffe oss oversikt 

Analysere 

Foreslå tiltak 

Meldeplikten 

Betalings- 

systemer 

Ny 

samarbeidsavtale 

med 

Norges Bank 

Annen relevant 

Informasjon 

(spørre- 

undersøkelser) 

31.03.2011 - Pressebrief i Finanstilsynet

Foretaksområder 

3 

Gjennomførte IT-tilsyn 

2003 2004 2005 2006 2007 2008 2009 2010 2011 

Bank/finans 6 6 10 7 5 5 7 6 9 

Forsikring 1 2 1 1 1 2 3 2 3 

Pensjonskasser og -fond – – 0 1 1 0 

Verdipapirforetak 8 8 11 4 5 9 6 *)6 7 

Eiendomsmegling – 1 1 1 1 1 *)1 0 

Inkasso – 1 2 1 1 1 1 *)1 1 

Revisorer (IT-revisjon) – – 0 1 1 1 *)2 1 

Regnskapsførere 4 1 1 1 1 1 1 2 1 

IKT-leverandører 2 2 5 4 4 4 2 4 3 

Andre (2010=Betalingsinfrastruktur/FNO) – 1 0 2 2 1 1 

SUM *) 31 forenklede tilsyn i 2010 

**) Foreløpig estimat for 2011 >20 

21 22 31 21 21 20 22 *)26 **)26 


4 

IT-tilsynets egenevalueringsmoduler med kontrollspørsmål 

ANTIVIRUS 

136 

Inndelt i 34 IT-prosesser (CobiT) med 170 kontrollspørsmål (v 5.0) 

IT-driftsprosesser (ITIL) med 132 kontrollspørsmål (må gjennomgås) 

Brannmur 

100 

Katastrofebackup 

33 + Teknisk 300 

Nettbank 46 

Betalingstjenester 

104 

Antihvitvasking 

25 

Versjon for IT-prosjekter med 34 kontrollspørsmål (revurderes) 

Meldeplikten for betalingstjenester ivaretas med svar på 19 kontrollspørsmål 

Krav til IRB- 

modeller 28 

Versjon for IT-leverandører med 94 kontrollspørsmål 

Forenklet versjon med 77 kontrollspørsmål (i bruk ved ordinære tilsyn) 

Arbeides fortsatt med modenhetsmodell og verifisering (transaksjonstest) 

Mobilbank 

Passord 

34 


ROS-analysen 2010 

5 

Kapittel 2 Utviklingstrekk 

1. IT-Governance (styring og kontroll) 

2. Mangelfull ledelse av store prosjekter 

3. Gjennomføring av krav til kostnadseffektivitet og risiko 

4. Leverandørutvikling på IKT-området 

5. Utkontraktering og Offshoring 

6. IKT-infrastruktur (styring og kontroll, konsentrasjonsrisiko og 

single point of failure) 

7. Cloud Computing (nettskyen) 

8. Algoritmehandel verdipapirer 

9. Bruk av mobile enheter 

10. Tjenesteutvikling betalingssystemer 

11. Internettkriminalitet 

12. Identitetstyveri 



6 

Kapittel 3 Systemer for betalingstjenester 

1. Generelt om betalingssystemer 

Viktighet, rolle i det finansielle system, internasjonal 

påvirkning, EU-påvirkning, volumtall 

2. Risiko og sårbarhet i betalingssystemene 

Sårbarheter, samarbeidsopplegg og volumtall 

3. Styring- og kontroll med betalingssystemene 

Reguleringskrav og bruk av leverandører 

4. Meldeplikten – Systemer for betalingstjenester 

Manglende etterlevelse 

5. Oversikt over årlige tap knyttet til betalingstjenester 

Tapsstatistikk 


7 

Infrastrukturen for å understøtte stadig mer avanserte betalingsløsninger er kompleks 

Betaler Betalers 

bank 

Regulering 

Retningslinjer 

Prosedyrer 

Organisasjon 

Betalingssystemer 

Understøttes av 

felles infrastruktur 

Applikasjoner 

Systemsoftware 

Kommunikasjonsløsninger 

Hardware 

Leverandører 

Mottakers 

bank 

Mottaker 


TAPSSTATISTIKK VED BRUK AV BETALINGSKORT 

(tall i hele tusen kr) 

8 

Svindeltype betalingskort 2010¹ 

Misbruk av kortinformasjon, kort ikke til stede 

9.401 

(internetthandel) 

Stjålet kortinformasjon (inkludert skimming), misbrukt 1.765 

med falske kort i Norge 

Stjålet kortinformasjon (inkludert skimming), misbrukt 31.740 

med falske kort utenfor Norge 

Kort tapt eller stjålet, misbrukt i Norge 14.395 

Kort tapt eller stjålet misbrukt utenfor Norge 5.149 

Borte i posten 4.239 

TOTAL 66.689 

1) Tall innhentet fra Finansnæringens Felleskontor og Bankenes 

Standardiseringskontor i samarbeid med Finanstilsynet. 

2) For totale tap kortområdet er det registrert en nedgang fra 2009 med ca 8% 


TAPSSTATISTIKK VED BRUK AV NETTBANK 

(tall i hele tusen kr). 

9 

Svindeltype nettbank 2010 

Angrep ved bruk av ondartet 

0 

programkode på kundens PC (trojaner) 

Angrep som utnytter sårbarheter i 

0 

nettbankapplikasjon (hacking) 

Phishing (avluring av informasjon) 0 

Andre former for angrep på nettbank 0 

Annet (tyveri av kodekort og annen 

2.398 

informasjon) 

TOTAL 2.398 

Antatte akkumulerte tap frem til 31.12.2010 er NOK ca 500.000 



10 

Kapittel 4 Finanstilsynets funn og observasjoner 

1. IT-tilsyn 

2. Intervjuer 

3. Hendelsesrapportering 

4. Utkontraktering – Offshoring 

5. Spørreundersøkelser 

6. Hendelser internasjonalt – andre kilder 

(samarbeidsopplegg) 


11 

Statistikk fra hendelsesrapportering 

25 

20 

15 

10 

5 

0 

Hendelser fordelt på måned 2009 vs. 2010 

jan feb mar apr mai jun jul aug sep okt nov des 

E-post: hendelse@finanstilsynet.no 

2009 

2010 


Fortsatt flest rapporter fra bankene 

140 

120 

100 

12 

80 

60 

40 

20 

0 

Banker Kortselskap Verdipapir/børs Forsikring 

Serie1 


13 

100 

90 

80 

70 

60 

50 

40 

30 

20 

10 

0 

Avregning / Oppgjør 

Hendelser fordelt på system 2009 vs. 2010 

Bankens interne systemer 

Feil bokføring / saldo 

Hos kunde 

Handelssystemer børs 

Kontofon / SMS bank 

Nettbank 

Korttransaksjoner 

Utenlandsbetaling 

2009 

2010 



14 

Kapittel 5 Identifiserte risikoområder 

1. Skimming mot minibanker 

2. Angrep mot nettbanker 

3. Mangelfull testing og verifisering av 

katastrofeløsninger (i praksis manglende 

etterlevelse av reguleringskrav) 

4. Driftsproblemer knyttet til endringer hos IKTleverandører 

5. Mangler i styring og kontroll ved utkontraktering 


Hendelser knyttet til skimming i 2010 

15 

Februar 2010 startet en ny type skimmingangrep mot minibanker 

Teknikken som benyttes omgår etablert antiskimming løsning 

Angrepene pågikk i store deler av 2010 

Estimert at 57 minibanker er forsøkt påmontert skimming utstyr, 

hvorav det på 35 av disse er kopiert kort (ca 2.200 minibanker 

operative i Norge) 

Potensielt kan 6.244 kort ha blitt kopiert, 

men er sannsynlig vesentlig lavere (registrert ca 10 mill i tap) 

Situasjonen følges nøye av bankene, bankenes organisasjoner 

og myndighetene 

Bla. a. i samarbeid med leverandørene arbeides det 

med å etablere effektive mottiltak 

Gjennomført møte med bankene og bransjeorganisasjoner 

(BSK/FNO) 

Deltatt i møte med leverandørene og politiet 


Hendelser knyttet til nettbank 

2010 2011 

16 

Angrep av trojanerprogrammet ZEUS i desember 2010 – ingen kunder 

ble svindlet 

Angrep av trojanerprogrammet SpyEye i januar/februar/mars 2011 

(Programkoden infisert på PCen, bot-nett (kontrollserver), phishing (dårlig 

tekst) og generering av transaksjoner realtime. 

Massivt Phishingangrep mot Sparebank 1 gruppen i februar 2011. 

Anslagsvis 2.500 norske IP-adresser (PCer) er identifisert som antatt 

infiserte (informasjon fra NorCERT/ISPene). 


Hendelser knyttet til nettbank 

17 

2010 2011 (2) 

Ca 10 transaksjoner er sendt. 2 banker har hatt tap (370.000 NOK 

overføring i EUR). Flere banker er berørt. 

Tiltak 

Utveksling av IP-adresser, utveksling av Mules- informasjon (kontonumre 

og navn), transaksjonsovervåkning, manuell SWIFT-kontroll, 

transaksjonsovervåkning, teknisk avvik identifisert og etablert tett 

operativt samarbeid. 

Møte med alle bankene, Bankenes Standardiseringskontor (BSK) 

og Finansnæringens Fellesorganisasjon (FNO) 15.03.2011 


Utkontraktering (outsoucing/offshoring) 

18 

Hele 

forretningsprosesser 

Applikasjoner med 

forvaltning og drift 

Infrastruktur med 

forvaltning og drift 

RISIKO 

Egen evne til 

styring og kontroll. 

Utfordring å opprettholde 

både kompetanse og 

kapasitet. 


Hvordan overvåke utviklingen? / Virkemidler 

19 

Generelle vurderinger knyttet til offshoring 

Tap av arbeidsplasser på IKTområdet 

Finansforetaket 

Tap av kompetanse på IKTområdet 


Etterlevelse av regelverk 


Vurdering av risiko 


Gir samfunnsmessige konsekvenser 

Kan svekke evnen til forretningsmessig 

utvikling 

Kan gi høyere risiko 

Finanstilsynet har et klart påse ansvar 

Finanstilsynet har et klart ansvar for å 

bidra til finansiell stabilitet og akseptabel 

risiko 


20 

Hva har skjedd i 2010 mht offshoring til Ukraina? 

Finanstilsynet ble informert om prosesser 

knyttet til offshoring, både fra enkelte banker 

og av leverandøren, men ikke når det kom 

til faktisk gjennomføring. 

Finanstilsynet konstaterte manglende, 

mangelfulle og utilstrekkelige risikoanalyser, 

både hos leverandøren og berørte foretak. 

Alvorlig sikkerhetsbrudd ble avdekket. 

Avtalemessig regulering mellom leverandør 

og kunde av endringene ble ikke 

gjennomført, med unntak for enkelte foretak. 

Alle berørte banker har nullstilt endringene. 

Leverandøren har flyttet oppgavene tilbake 

til Norge. Bruk av ansatte i Norge fra foretak 

i Ukraina avsluttet. 

Ble i realiteten varslet fra en 

bank pga en ”hendelse”. 

Ble etablert formell dialog med 

leverandør og med større 

finansforetak. Finanstilsynet 

fikk full informasjon. 

Ble avklart ifm at 

Finanstilsynet åpnet sak. 

Finanstilsynet har blitt 

informert av berørte 

finansforetak og av 

leverandør. Rundskriv 14/2010 

ble utsendt, 31.05.2010. 


21 

Virkemidler/Regelverk 

Rundskriv nr. 14 / 2010 

Datert 31.05.2010. 

Finanstilsynets vurdering er at risikoen ved at 

bankene flytter ut driftsrelatert IKT-virksomhet til 

slike land (høyrisikoområder) er for høy dersom 

dette gjelder funksjoner og operasjoner som er 

nødvendige elementer i, eller har betydning for 

daglig operasjon av følgende funksjonsområder: 

• betalingssystemer (både områdene avregning 

og oppgjør og systemer for 

betalingstjenester) 

• kjernesystemer som kan betegnes som daglig 

bank. 

Disse omfatter: kunde/reskontro, innlån, utlån, 

korttjenester, kundeopplysninger og 

produktadministrasjon inkludert 

distribusjonskanaler. 

Finanstilsynet er av den oppfatning at ovennevnte 

IKT-oppgaver ikke kan utkontrakteres til 

landområder med høy risiko. 



22 

Kapittel 6 Finanstilsynets videre oppfølging 

1. Tiltak rettet mot risikoområdene 

2. IT-tilsyn 

3. Hendelsesrapportering/beredskapshåndtering/sam 

arbeid 

4. Tiltak mot ID-tyveri 

5. Økt fokus på «brukersteder» (kort) 

6. Informasjon og kommunikasjon 

7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt 

CoMiFin) 


Emanuel Desperados 

Ludvig 

23 

Risiko 

5. Vurdering av risiko 

Sannsynlighet 

30. mars 2011 NSM sikkerhetskonferanse 2010 - Offshoring av IKT

Operasjonell risiko 

Hva er risikoen på en skala fra 1 til 10? Er det risikoreduserende tiltaket effektivt? 

24 

12. januar 2011


25 

Kapittel 6 Finanstilsynets videre oppfølging 

1. Tiltak rettet mot risikoområdene 

2. IT-tilsyn 

3. Hendelsesrapportering/beredskapshåndtering/samarbeid 

4. Tiltak mot ID-tyveri 

5. Økt fokus på «brukersteder» (kort) 

6. Informasjon og kommunikasjon 

7. Deltagelse i forskning/utviklingstiltak (EU-prosjekt CoMiFin) 


Hendelsesrapportering / Oppfølging 

• Møter med de største foretakene 

• Oppfølging av enkelthendelser 

• Viktig underlag for ROS-analysen – mer kvantitative data 

• Underlag ved IT-tilsyn 

• Forsøker å se sammenhenger for bedre å forstå den tekniske 

infrastrukturen til de elektroniske finanstjenestene 

• Koordinering av hendelsesinformasjon med andre 

myndighetsinstanser (NorCert/BankCERT - avtale NSM), 

Datatilsynet (drøfting), Post & Teletilsynet (drøfting). Internasjonalt: 

ITSG i aktivitet. 

26 


Takk for oppmerksomheten! 

Frank Robert Berg 

FINANSTILSYNET 

Revierstredet 3 

Postboks 1187 Sentrum 

0107 Oslo 

www.finanstilsynet.no 

frb@finanstilsynet.no

ROS - Finanstilsynet

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?