IKT-sikkerhet største bekymring i Finanstilsynets sårbarhetsrapport
Ingen IKT-hendelser hadde konsekvenser for finansiell stabilitet i fjor, men antall rapporterte IKT-hendelser generelt økte med 40 prosent.
Hvert år utarbeider Finanstilsynet en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT. Den oppsummerer hendelser, trusler og risiko for foretakenes IKT-systemer og stabilitet i finanssektoren.
Stabil utvikling
Hovedtrekket i rapporten er at det i 2021 ikke var noen IKT-hendelser med konsekvenser for finansiell stabilitet. Antall sikkerhetshendelser var omtrent som i 2020 og lavere enn i 2019, mens det var vesentlig flere operasjonelle hendelser.
Derimot økte det samlede antall rapporterte IKT-hendelser med over 40 prosent, til 292.
Ut fra hendelsenes varighet, tidspunkt på døgnet og antall berørte brukere anser Finanstilsynet at tilgjengeligheten til betalingstjenester og andre kunderettede tjenester i 2021 samlet sett var bedre enn i de foregående årene.
Omfanget av digital kriminalitet synes å ha vært på samme nivå i 2021 som i 2020.
Omfanget av digital kriminalitet synes å ha vært på samme nivå i 2021 som i 2020. Hendelser i 2021 avdekket imidlertid alvorlige sårbarheter hos enkelte foretak. Det ble observert forsøk på å utnytte sårbarhetene, men uten at angriperne lyktes med å få tilgang til foretakets IT-systemer, heter det i oppsummeringen av rapporten.
Så langt har ikke digital kriminalitet rettet mot foretak i den norske finanssektoren ført til alvorlige hendelser.
Kriminalitet og autentisering
Bekymringen for foretaks forsvarsverk mot digital kriminalitet og tilgangsstyring er ansett som noe høyere for 2021, mens risikoen knyttet til IKT-drift ansett å være noe lavere. Rapporten peker på at trusselen fra digital kriminalitet har økt, angrepsflatene har blitt flere, og flere foretak har registrert økt antall angrep.
I rapporten heter det at: digitaliseringen gir kundene nye, og ofte bedre, tjenester til lavere kostnad. Samtidig skapes det nye risikoer, både for tjenesteytere og for deres kunder. Manglende bruk av sterk kundeautentisering (SKA) ved handel på internett på enkelte brukersteder utsetter kortholdere for risiko for svindel.
At BankID benyttes i stort omfang til både private og offentlige tjenester, og med variasjoner i innloggingskonteksten, medfører en fare for at brukerne ikke er tilstrekkelig årvåkne og kan bli lurt til falske innlogginger. Brukerne kan heller ikke reservere seg mot bruksområder og redusere mulighetsrommet for misbruk. For å redusere risikoen for svindel, utfører tjenesteyter såkalte back-end-kontroller (etterkontroller) i form av transaksjonsanalyser og kundeanalyser som ledd i godkjenningsprosessen ved innlogging og ved igangsetting av transaksjoner.
Økt kompleksitet
Mange ser på skyen som en sikker havn der all sikkerhetsprogramvare er oppgradert til siste nivå, og data sikret etter alle kunstens regler. Tilsynet peker i rapporten på at skyen ofte fører med seg økt risiko.
Som i de foregående årene viser meldingene om utkontraktering økt bruk av skytjenester for både applikasjons- og infrastrukturtjenester. Foretakene får ofte et høyere antall plattformer de må forholde seg til. Flere plattformer gir økt kompleksitet og et mer sammensatt risikobilde, heter det i rapporten.
Utdrag fra rapporten:
I 2021 var det 147.000 svindeltransaksjoner med kort, mot 205.000 i 2020. Til tross for nedgangen i antall svindeltransaksjoner økte tapene på kortsvindel med 9,9 prosent, til 162 millioner kroner i 2021. Andelen svindeltransaksjoner var størst for grensekryssende transaksjoner. For alle transaksjoner under ett var andelen 0,006 prosent, mens den var 0,2 prosent for transaksjoner utført i land utenfor EØS. For kortbetalinger som er initiert ikke-elektronisk, utgjorde andelen svindeltransaksjoner 0,24 prosent i 2021.
Tap som følge av svindel ved sosial manipulering, dvs. der betaler er lurt til å iverksette svindeltransaksjonen, utgjorde 240,6 mill. kroner i 2021. Av dette var 224 mill. kroner knyttet til kontooverføringer og 16,6 mill. kroner knyttet til bruk av betalingskort. Selv om antall svindelforsøk stadig øker, var svindlet beløp i 2021 lavere enn i 2020, da svindel ved sosial manipulering samlet utgjorde 295 mill. kroner. En viktig årsak til nedgangen er trolig at bankene forhindrer en stadig større andel av svindelforsøkene. Svindel gjennom sosial manipulering ser fortsatt ut til å være den mest lønnsomme metoden for kriminelle.