Seksjonssjef for IT og betalingstenester Olav Johannessen i Finanstilsynet presenterte tysdag 7. mai ROS-analysen. Risiko- og sårbarheitsanalysen viser ifølgje Johannessen at den store innsatsen som bankane har lagt ned for å auke forsvaret mot verdas finans- og cyberkriminelle gir gode resultat. Bankane vart forsøkt svindla for over tre milliardar kroner i 2023, men brorparten av svindelåtaka vart avverga. 

EIN BRØKDEL 

Sjølv om den “vellukka” svindelen er på heile nær ein milliard kroner, utgjer beløpet ein brøkdel av det totale transaksjonsvolumet i norsk banknæring. Det vil seie at den tapte milliarden utgjer 0,0014 prosent av alle transaksjonar, sjølv om auken i kroner er på betydelege 51 prosent. 

– Føretaka arbeider kontinuerleg med på vidareutvikle sine prosessar, rutinar og system for å handtere operasjonell svikt og digital kriminalitet, summerer Olav Johannessen.  

Finanstilsynet vurderer den finansielle infrastrukturen som robust, samstundes som føretaka erfarer ei stadig meir omfattande og endra trusselbilde og at den aukande digitale kriminalitet spesielt blir meir kompleks. 

– Det er viktig at føretaka har gode trusselvurderingar, konsekvensanalyser og beredskapsplanar for sine system. Det er også viktig at det blir utført sikkerheitstesting av systema og at det blir etablert tilstrekkelege tiltak for å kunne handtere åtak, her under åtak mot føretakets underleverandørar, seier Johannessen. 

TILSYNETS VARMEKART 

På Finanstilsynets “heat map” over truslar, er områda “digital kriminalitet” og “leverandørstyring” der det er størst fare for å bli råka av åtak. 

Sårbarheit hos underleverandørar av IKT er eit av områda der Finanstilsynet uttrykkjer si sedvanlege bekymring.  

– Stadig lengre og meir komplekse leverandørkjeder gjer det utfordrande å tilstrekkeleg god oppfølging av leverandørar, seier Johannessen og viser til at føretaka sjølve rapporterer om utfordringar med å få aksept frå underleverandørar for banken sine eigne strategiar og retningsliner. 

– Risikoen knytt til utkontrakterte tenester frå utanlandske leverandørar, særleg utanfor EØS, har auka dei siste åra. 

NY INNSIDETRUSSEL 

Blant bankane er det og utfordringar med å sikre seg og halde på rett kompetanse og tilgang til og fornying av kompetanse på eldre teknologi. Det er også knytt risiko til nøkkelpersonar i drifta av bankane sin digital infrastruktur, ifølge ROS-analysen. 

Innsidetrussel blir sett på som ein ny og veksande trussel

Olav Johannessen, Finanstilsynet

– Innsidetrussel blir sett på som ein ny og veksande trussel, medan phishing og ransomware blir sett på som den største trusselen, ifølge Johannessen. 

Han referer til dialogen mellom Finanstilsynet og bankane. Dei rapporterer at svindel med bank-id er ein stor trussel, samt at dei geopolitiske tilhøva aukar faren for cyberåtak. 

Endringsrisiko blir også nemt som del av trusselbildet, det vil seie at nye regulatoriske krav der endring i systema med knapp tid til implementering, utgjer ein betydeleg risiko. 

GRENSEKRYSSANDE AUKE 

Ifølgje ROS-analysen auka svindeltapa med 51 prosent i 2023 til 928 millionar kroner samanlikna med året i førevegen. Dette er fordelt med 647 millionar på kontooverføringar og 281 millionar på betalingskort. 

Ifølgje Johannessen er det auke i tap på kortbetaling dei siste åra, og i 2023 var det ein betydeleg auke særleg i andre halvår. 

– Der tapa er størst er i grensekryssande transaksjonar innanfor EØS, der auken frå første til andre halvår er betydeleg. 

FAKTA ROS-ANALYSEN

Finanstilsynet utarbeider kvart år ein risiko- og sårbarheitsanalyse (ROS-analyse) av finanssektoren sin bruk av IKT. Formålet med rapporten er å beskrive aktuell risiko og å trekke fram dei mest sentrale truslane mot og sårbarheitene i IKT-systema til føretaka og den finansielle infrastrukturen som kan ha betydning for føretak, finansiell stabilitet og velfungerande marknader. Analysen bygger på funn frå tilsyn hos finansføretaka, innrapportering frå føretaka, samtalar med føretaka (der risiko har vore eit tema), informasjon frå andre myndigheiter og Finanstilsynet sine analysar, og av innrapporterte hendingar. 

ROS-analysen kan vere nyttig for føretaka i deira eige arbeid med risikoanalysar og risikoreduserande tiltak, jf. IKT-forskrifta § 3. (Kjelde: Finanstilsynet)