Frank Robert Berg - NSM

nsm.stat.no

Frank Robert Berg - NSM

Utfordringer knyttet til offshoring av IKT-oppgaverNSM sikkerhetskonferanse 201010.11.2010Frank Robert Berg


Innhold1. Kort om Finanstilsynet2. Offshoring som problemstilling ifinanssektoren3. Utviklingstrekk4. Hvordan overvåkeutviklingen?/Virkemidler5. Vurdering av risiko6. Videre oppfølging212. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


1. Kort om FinanstilsynetFinanstilsynetCa 250 ansatteStabVerdipapirmarkedetBank, finans ogforsikringRegnskap, revisjon,IT og betalingstjenesterAdministrasjonEgen lov + en lang rekke særlover regulerer feltetFinanstilsynsloven § 3 – Tilsynet skal se til at de institusjoner det har tilsyn med, virkerpå hensiktsmessig og betryggende måte I samsvar med lov og bestemmelser gitt Imedhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse,dens formål og vedtekter.Betalingssystemloven, kapittel 3, § 3-1 Formålet med bestemmelsen i dette kapittel er åbidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker ogeffektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas(Meldeplikten I rundskriv 17/2004).312. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


1. Kort om Finanstilsynet•Bank og finans•Forsikring•Forsikringsformidlingsforetak•Pensjonskasser og -fond•Verdipapirforetak og andre verdipapirinstitusjoner, inkl.forvaltningsselskap for verdipapirfond•Revisorer og regnskapsførere•Eiendomsmeklere•Inkassoforetak•Datasentraler•Oppgjørssentraler•Verdipapirsentral•Regulerte markeder inkl. børser•Prospektkontroll•Regnskapskontroll•Kontroll med systemer for betalingstjenester412. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


2. Offshoring som problemstilling i finanssektorenUtkontraktering, offshoring og vurdering av risiko er ingen ny problemstilling!Aktuelle interne og eksterne utredninger som berører dette:1. NOU 2006:6 Når sikkerhet er – Beskyttelse av landets kritiskeinfrastrukturer og kritiske samfunnsfunksjoner2. Banklovkommisjonens utredninger NOU 2001:23 om bortsetting avvirksomhet med en rekke forslag om tiltak3. Vurdering av risiko og behovet for direkte tilsyn med IT-leverandører,16.01.2006 – fortsatt bygge på eksisterende regelverk og IKTforskriftens§ 124. Utredning om Utkontraktering, 17.02. 2009 – regelverk ikke tilstrekkelig5. Infrastrukturprosjektet 31.12.2009 – viser kompleksiteten og risiko512. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


2. Offshoring som problemstilling i finanssektoren6. Metode for identifisering og rangering av kritiske samfunnsfunksjoner,23.03.2007 (BAS 5)7. Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 (bl. a. om samfunnskritisk IKT-infrastruktur, klassifisering,varsling og risiko)8. Årsrapport om betalingssystem 2009 – Norges Bank, kap. 1.4 omtrygghet og risiko knyttet til utkontraktering9. Finanstilsynets ROS-analyse for bruk av IKT 2009, kapittel 5.3 omoffshoring (også i tidligere rapporter)10. Spørreundersøkelse 2009 om utkontraktering og katastrofeløsninger11. Dialog med banker og EDB om utkontraktering/offshoring612. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


3. UtviklingstrekkBilde av situasjonen i Norge – historikk og trend:Høy kostnads- og kompetanseterskel ved å etablere infrastruktur ogå ta i bruk avanserte bank- og finansløsninger - løsning er samarbeidSmå volumer – krever samarbeid for å oppnå skalafordelerNorske finansforetak har valgt å samarbeide på en rekke strategiske ITområderVant til at IT i stor grad foregikk utenfor banken – hatt høy grad avoutsourcing, senere også offshoringIT-kostnader kanskje over 20% av totale kostnader (15 til 25%)?Generelt høyt kostnadsnivå (lønnskostnader VS effektivitet?)Utvikling, bruk og avhengighet av felles infrastrukturForhold mellom kunde og leverandør har i økende grad blitt basert påforretningsmessige prinsipperIT-leverandørsiden konsolidert – få nasjonale alternativerStore endringer på finansforetakssiden – Grunnlaget for samarbeid ikkelenger den samme?Finanssektoren har fungert som lokomotiv innenfor IT-området i Norge?712. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


3. UtviklingstrekkHøy grad av flytting ut av Norge‣Nordea Bank Norge til Stockholm (konsern)‣Fokus Bank til København (konsern)‣Terra Gruppen til København (valg av leverandør)‣Forsikringsforetak benytter CSC i København‣EDB Business Partner ASAs planer for offshoring tilUkraina og India – Berørte / kan berøre mange banker812. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


3. UtviklingstrekkHeleforretningsprosesserApplikasjoner medforvaltning og driftInfrastruktur medforvaltning og driftRISIKOEgen evne tilstyring og kontroll.Utfordring åopprettholdebåde kompetanse ogkapasitet.912. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


4. Hvordan overvåke utviklingen?/VirkemidlerGenerelle vurderinger knyttet til offshoringTap av arbeidsplasser på IKTområdetFinansforetaketTap av kompetanse på IKTområdetFinansforetaketEtterlevelse av regelverkFinansforetaketGir samfunnsmessige konsekvenserKan svekke evnen til forretningsmessigutviklingKan gi høyere risikoFinanstilsynet har et klart påse ansvarVurdering av risikoFinansforetaketFinanstilsynet har et klart ansvar for åbidra til finansiell stabilitet og akseptabelrisiko1012. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


4. Hvordan overvåke utviklingen?/VirkemidlerHva har skjedd i 2009/2010 mht offshoring til Ukraina?Finanstilsynet ble informert om prosesserknyttet til offshoring, både fra enkelte bankerog av leverandøren, men ikke når det komtil faktisk gjennomføring.Finanstilsynet konstaterte manglende,mangelfulle og utilstrekkelige risikoanalyser,både hos leverandøren og berørte foretak.Alvorlig sikkerhetsbrudd ble avdekket.Avtalemessig regulering mellom leverandørog kunde av endringene ble ikkegjennomført, med unntak for enkelte foretak.Alle berørte banker har nullstilt endringene.Leverandøren har flyttet oppgavene tilbaketil Norge. Bruk av ansatte i Norge fra foretaki Ukraina avsluttet.Ble i realiteten varslet fra enbank pga en ”hendelse”.Ble etablert formell dialog medleverandør og med størrefinansforetak. Finanstilsynetfikk full informasjon.Ble avklart ifm atFinanstilsynet åpnet sak.Finanstilsynet har blittinformert av berørtefinansforetak og avleverandør. Rundskriv 14/2010ble utsendt, 31.05.2010.1112. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


4. Hvordan overvåke utviklingen?/VirkemidlerReguleringsmessigeRegelverksutviklingForvaltningEtterlevelseTilsynsvirksomhetenEtterlevelseRisikoOvervåkning/Operasjonell risikoRisikoforståelseOvervåkning og kontrollInnrapporteringbasert på krav og”triggere”EtterlevelseRisiko• Finanstilsynsloven• Internkontrollforskriften• IKT-forskriften• Lov ombetalingssystemerUtvikling og vedlikeholdav tilsynsmoduler for IKTog betalingstjenester• ROS-analysen• Hendelsesrapportering• Hendelsesrapportering• Meldeplikten• Forenklet IT-tilsynBest praksis• Veiledninger• Metoder (CobiT/ITIL)• Standarder (ISO)• Prosessorientering• Risikoorientering• Verifisering/bekreftelse• Tilsyn• Intervju• Spørreundersøkelser• Utredninger• Hendelser• Eksterne kilderOppfølging, analyse ogtiltak(Skimming – offshoringEDB)1212. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


4. Virkemidler/RegelverkFinanstilsynsloven § 3 – Tilsynet skal se til at de institusjoner det har tilsyn med,virker på hensiktsmessig og betryggende måte I samsvar med lov og bestemmelsergitt I medhold av lov samt med den hensikt som ligger til grunn for institusjonensopprettelse, dens formål og vedtekter.Betalingssystemloven, kapittel 3, § 3-1 Formålet med bestemmelsen I dettekapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik athensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse avbetalingstjenester ivaretas (Meldeplikten I rundskriv 17/2004).Forskrift om risikostyring og intern kontroll.Basel II/EU direktiv - lov og forskrifter i Norge.CEBS guidelines for outsourcing + Basel II’s Principles for outsourcing.Bokføringsloven, spesielt gjeldende historisk informasjon(Skattedirektoratet).Personopplysningsloven / -forskriften - (avtale EØS-området + Safe Harbour)(Datatilsynet).Sikkerhetsloven og objektforskriften (Nasjonal Sikkerhetsmyndighet).1312. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


4. Virkemidler/RegelverkIKT-forskriften§ 1 Virkeområde§ 2 Planlegging og organisering(IT-Governance)§ 3 Risikoanalyse§ 4 Kvalitet§ 5 Sikkerhet§ 6 Utvikling og anskaffelse§ 7 Systemvedlikehold§ 8 Drift§ 9 Avviks- og endringshåndtering(nytt ledd, hendelsesrapportering)§ 10 Krav til kontinuitet§ 11 Driftsavbrudd og katastrofeberedskap§ 12 Utkontraktering§ 13 Dokumentasjon§ 14 Dispensasjon§ 15 IkrafttredelseVeiledninger:ISACA – etterlevelse IKT-forskriftenEiendomsmeglerforetakMindre sparebanker§ 3 Risikoanalyse1412. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


4. Virkemidler/RegelverkRundskriv 14/2010, datert 31.05.2010Finanstilsynets vurdering er at risikoen ved atbankene flytter ut driftsrelatert IKT-virksomhet tilslike land (høyrisikoområder) er for høy dersomdette gjelder funksjoner og operasjoner som ernødvendige elementer i, eller har betydning fordaglig operasjon av følgende funksjonsområder:• betalingssystemer (både områdene avregningog oppgjør og systemer forbetalingstjenester)• kjernesystemer som kan betegnes som dagligbank.Disse omfatter: kunde/reskontro, innlån, utlån,korttjenester, kundeopplysninger ogproduktadministrasjon inkludertdistribusjonskanaler.Finanstilsynet er av den oppfatning at ovennevnteIKT-oppgaver ikke kan utkontrakteres tillandområder med høy risiko.1512. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


5. Vurdering av risikoForetakenesrisikovurderingerÅrligROS-analyseResultater fraIT-tilsynGjennomførteIntervjuData frahendelsesloggMeldepliktenBetalingssystemerAnnen relevantinformasjon16Skaffe oss oversiktAnalysereForeslå tiltak12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


Resultater fra gjennomførtespørreundersøkelser -UtkontrakteringSvarene fordelte seg slik:1712. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


Resultater fra gjennomførtespørreundersøkelser1812. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


Rapporterte IKT-hendelserFordelt på måned30252015200820091050jan feb mar apr mai jun jul aug sep okt nov des1912. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


5. Risiko/Utkontraktering – Noen stikkord Gjennomgå virksomhetsområdet før utkontraktering Spesifiser alle leveranser nøyaktig Klargjør hvordan kvalitet kan måles Planlegg på forhånd hvordan kontroll av leveransene skal foretas Klargjør hvordan avtalen og leveransene skal forvaltes og kontrolleres i egenorganisasjon Sikre etterlevelse av aktuelt lovverk og retningslinjer Vær oppmerksom på hvordan beredskapsplaner skal innordnes Vær oppmerksom på mulige språkproblemer Tenk gjennom problemer som kan oppstå pga kulturforskjeller Hvordan er området du utkontrakterer til vurdert? Klargjør behovet for sikkerhet og personvern Hvordan er lovgivningen i det landet du flytter virksomhet til? Hvordan kan din omdømmerisiko bli påvirket om noe går feil?Har organisasjonen verken tid og/eller kompetanse til å klargjøre de ovennevnte punktene(eventuelt andre) før inngåelse av avtale bør det vurderes i det hele tatt åutkontraktere.2012. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


5. Risikovurdering ved utkontrakteringUtkontraktering betyr å gjøre seg avhengig av eksterne leverandører i dendaglige driften, det kan bidra til “loss of control”, og det kan øke denoperasjonelle risikoen på flere måter:•Påvirkningsmulighetene (makten) blir redusert i forhold til å beholdeansvaret internt, leverandørene har egne målsetninger som kan stå ikonflikt med kundens•Eksterne leverandører kan svekkes, evt gå konkurs hvis de ikke klarer åstyre sin økonomi, blir overambisiøse eller får problemer hvismarkedsutviklingen tar en uplanlagt retning•I alvorlige tilfeller kan dette skape meget store problemer forkundene.I det minste kan det medføre radikale prisøkninger som kundene blirnødt til å akseptere (fordi alternativet er enda verre)21•Ved en feil eller avbrudd kan leverandørene peke på hverandre ogbegynne å tolke kontrakten istedenfor å gå i gang med å løseproblemet12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


RisikoEmanuel Desperados5. Vurdering av risikoLudvigSannsynlighet2212. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


236. Videre oppfølging1. Avsluttet dialogen med EDB Business Partner ASA2. Avsluttet dialogen med noen av de større kundene(bankene) av EDB3. Rundskriv 14/2010 trekker opp noen ”gjerdestolper”4. Utarbeide veiledning til IKT-forskriftensenkeltparagrafer (bla §§ 2, 5 og 12)5. Videre samarbeid med tilsynsmyndigheter i andreland6. Videre samarbeid med andre myndighetsinstanser iNorge7. Oppdrag fra Finansdepartementet – avlevert30.09.20108. Generell oppfølging gjennom tilsyn og risikofokus12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


6. Videre oppfølgingForslaget til Finansdepartementet i brev om:Gjennomgang av hjemler for utkontraktering ogvurdering av behov for nye hjemler, fraFinanstilsynet, datert 30.09.2010Det foreslås 2 tiltak:1) Ny bestemmelse i Finanstilsynsloven med hjemmeltil å regulere utkontraktering2) Ny bestemmelse om meldeplikt ved utkontraktering2412. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


6. Noen tanker om mulige tiltak?Generell meldeplikt til Finanstilsynet ved utkontraktering av IKT-virksomheten(dette er innført i Sverige og Danmark)Krav til at utkontraktering av IKT skal behandles og godkjennes i styret (innført iDanmark)All videre utkontraktering fra primær leverandør skal godkjennes, reguleres avtalemessigog godkjennes av finansforetaketReserveplan skal etableres og være en formell del av alle avtaler om utkontraktering (deter et krav om katastrofeplan og minimum årlig testing i IKT-forskriften, men ikke krav tilat dette inngår i avtalen med leverandøren.)Krav til at foretaket kan demonstrere/dokumentere etterlevelse av regelverkKrav til at stresstester foretas når systemviktige oppgaver utkontrakteres (CEBSguidelines for stresstesting), men kravene settes slik at det skal dokumenteres worstcase scenarios når det ikke er relevant å foreta stresstestForetaket må beskrive hvordan leveransene skal styres og kontrolleres (monitoring)Krav til at utkontrakteringsavtalen skal inneholde krav til at leverandøren har en plikt tilaktivt å bidra til at de utkontrakterte deler kan flyttes tilbake til foretaket eller til en annenleverandørKrav til at foretaket (f. eks. en bank) skal opplyse til sine kunder om kundens data flyttestil et annet land. Kunden må da selv velge om dette er grunnlag for å bytte bank2512. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT


FINANSTILSYNETTakk for oppmerksomheten!Revierstredet 3Postboks 1187 Sentrum0107 Oslowww.finanstilsynet.nofrb@finanstilsynet.no

More magazines by this user
Similar magazines