Ros til bankene!
Sikkerheten i finansiell infrastruktur får gode skussmål fra Finanstilsynet. I pandemiåret 2020 viser norsk finanssektor en robust driftssikkerhet og motstand mot angrep og lavere svindeltall.
Hvert år lager Finanstilsynet en risiko og sårbarhetsanalyse (ROS) av den finansielle infrastrukturen. Tilsynets hovedkonklusjon for 2020 er at norsk finanssektor er robust. De sentrale foretakene i den norske finansielle infrastrukturen har gjennomgående gode beredskapsplaner. Finanstilsynet påpeker at aktørene har hatt god kontroll på driftssituasjonen og har raskt iverksatt nødvendige tiltak.
Samtidig minner Finanstilsynet om at det digitale trusselbildet stadig endres og at foretakene derfor fortsatt bør styrke arbeidet på IKT-området.
Digital kriminalitet
Omfanget av digital kriminalitet øker fortsatt. E-tjenesten og PST peker på en betydelig trussel fra statlige aktører mot norske interesser, og her er også finanssektoren et mål. Så langt har det ikke ført til større hendelser i norske finansforetak.
Norske foretak arbeider kontinuerlig med å styrke forsvarsverkene og angrep avverges hovedsakelig før de får alvorlige konsekvenser. Men hendelser i 2020 avdekket imidlertid sårbarheter i enkelte foretak, skriver Finanstilsynet.
Nordic Financial CERT trekker i rapporten frem som et viktig forsvarsverk. Samarbeid og erfaringsutveksling om informasjonssikkerhet mellom finansforetakene i Norge gjennom Nordic Financial CERT (NFCERT) bidrar til å heve kunnskapen om det aktuelle trussel- og risikobildet og gjør foretakene bedre rustet til å håndtere digitale trusler og uønskede hendelser. NFCERT utarbeider regelmessig trusselrapporter.
Svindel
Rapporten viser at de samlede tallene for svindel har gått ned fra 2019 til 2020. Tap ved misbruk av betalingskort falt 22 prosent i 2020 til totalt 147,5 millioner kroner. Tallene for svindel der svindleren manipulerer betaler til å gjennomføre en transaksjon, såkalt sosial manipulering, falt kraftig fra 2019 til 2020. Fra 500 millioner kroner til i underkant av 300 millioner kroner.
– Bankenes aktive arbeid mot svindel gir gode resultater og næringen arbeider samlet gjennom Finans Norge med å øke sikkerheten ved bruk av digitale løsninger. Det er nylig utferdiget en bransjenorm knyttet til sikkerheten ved utstedelse og bruk av BankID. Videre arbeides det med forbedringer på teknisk og sikkerhetsmessig nivå fremover, både i regi av Finans Norge/Bits og fra Vipps, sier Gry Nergård, direktør forbrukerpolitikk.
Nye aktører øker risikoen
Bankene har hatt ulike utfordringer knyttet til å definere og utvikle fullverdige API’er i forbindelse med innføring av PSD2 som skal sikre påkoblinger av helt nye aktører i betalingskjeden.
– Finanstilsynet har fulgt opp disse forholdene i 2021 og vi antar at løsningene nå i all hovedsak er på plass. Hensynet til sikre løsninger som forhindrer misbruk og svindel har vært en av utfordringene til banknæringen, sier Tom Høiberg, fagdirektør betaling og infrastruktur.
Dette forholdet understrekes også av Finanstilsynet som i sin pressemelding trekker frem at nye aktører i betalingskjeden, tredjeparter som har kommet til etter innføringen av PSD2, kan føre til økt risiko i betalingskjeden. Det at brukerne rutes fra en tredjepart til banken for autentisering øker prinsipielt ikke risikoen, mener Finanstilsynet, men det kan føre til at bankenes ende-til-ende sikring kan bli svekket.
Finanstilsynet frykter derfor at kriminelle kan gå via tredjeparter, som kan ha svakere kontrollmiljø og lavere sikkerhet i sin portal, for å omgå bankenes sikkerhetsmekanismer.