FinSHIFT 10.05.2023

Ingen alvorlige hendelser i 2022 - men nye trusler venter

Publisert

Dette er et utdrag fra vårt nyhetsbrev om finansteknologi, FinShift, som sendes ut hver onsdag. Meld deg på brevet under.

Seksjonssjef Olav Johannessen presenterer Finanstilsynets årlige rapport om risiko og sårbarhet i finanssektoren.

Hva er saken?

Finanstilsynets årlige rapport om risiko og sårbarhet i finanssektoren, den såkalte ROS-analysen, ble lagt frem av seksjonssjef Olav Johannessen tirsdag.

Ifølge tilsynets egen oppsummering er situasjonen ikke så verst. I oppsummeringen slår man fast at:

► Den finansielle infrastrukturen i Norge er robust. De sentrale foretakene i den norske finansielle infrastrukturen har gjennomgående gode beredskapsplaner. Aktørene har løpende kontroll med driften og har ved behov iverksatt nødvendige tiltak raskt.

► I 2022 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet.

► Det var færre angrep på den finansielle infrastrukturen i 2022 enn i 2021.

► Foretakene i finanssektoren arbeider kontinuerlig med å styrke forsvarsverket og automatisere håndteringen av uønskede hendelser.

► Tilgjengeligheten for betalingstjenester var bedre i 2022 enn i årene før.

Er det virkelig så rosenrødt?

Det er jo vel og bra at Finanstilsynet kan konstatere at det generelt sett gjøres en god jobb med å avdekke finansiell kriminalitet, stoppe svindel og forsøk på hvitvasking.

Men det ligger i et tilsyns natur å se på glasset som halvtomt. Dermed må det også løftes frem ting som kan gjøres bedre.

I rapporten kommer det frem at tilsynvirksomheten avdekket «svakheter og sårbarheter i foretakenes arbeid med IKT», som kunne ha fått store konsekvenser hvis de hadde blitt utnyttet. Blant eksemplene nevnes svakheter med krisehåndterings- og beredskapsplaner, mangelfulle forretningsmessige konsekvensanalyser og mangler i etterlevelsen av gjeldende regelverk ved utkontraktering av IKT-virksomhet.

Den mest sentrale IKT-risikoen er sårbarheter i foretakenes forsvarsverk mot digital kriminalitet. Det blir ansett for å ha blitt noe større i 2022 enn 2021.

Finanstilsynet konstaterer også at omfanget av ID-tyveri har økt i løpet av 2022, det samme gjelder for phishing-aktivitet både mot kunder og ansatte i foretakene.

Tilsynet med bankenes overvåkningssystemer for antihvitvasking og terrorfinansiering viste en mangel på regler for hvordan kontroller av kunder med høy risiko skulle gjennomføres. Noe som gjorde at det ved flere tilfeller var umulig å avgjøre om transaksjonsovervåkingen var dekkende for foretakets risiko for hvitvasking og terrorfinansiering. Tilsynet noterte seg imidlertid at foretak som har gjort større endringer i regelsettet, opplevede tydelige forbedringer i form av bedre treffsikkerhet og flere alarmer.

Hva er konsekvensen?

Finanstilsynet konstaterer at bankene forhindrer en stadig større andel av svindelforsøkene, noe som bidrar til å begrense tapene.

Tross det økte de samlede tapene fra 508 millioner kroner i 2021 til 614 millioner i 2022. Det er en økning på 17 prosent. Økt phishing-aktivitet angis som den fremste årsaken til det.

Dermed står svindeltransaksjoner ved kontooverføringer for den største delen av tapene, med 395 millioner kroner. Svindeltransaksjoner med betalingskort sto for de resterende 219 millionene.

Sistnevnte sum er faktisk en økning på 35 prosent, men de 156.000 transaksjonene utgjorde likevel ikke mer enn 0,006 prosent av det totale antallet kortbetalinger på 2,6 milliarder.

Svindel via sosial manipulering, altså der betaler er lurt til å iverksette transaksjonen, sto for 290 millioner av de totalt 614 millioner kronene. 269 millioner kom fra kontooverføringer og resten fra betalingskort.

Det overordnede trusselbildet er i stadig endring, ifølge Finanstilsynet. Krigen i Ukraina og spenningene mellom USA og Kina bidrar til det. Organisert cyberkriminalitet, som går etter de mål som gir størst mulig gevinst til lavest mulig kostnad, er et annet eksempel. Angrep på verdikjeder, tjenesteleverandører og datasentre er et tredje som tilsynet mener vil vedvare som trusler.

En ny advarsel er at kriminelle (ikke uventet) vil ta i bruk ChatGPT og andre typer kunstig intelligens. Ifølge Europol kan botene bli brukt for å raskere produsere mer overbevisende tekster, sms-er, og e-poster som kan omgå både antivirusløsninger og spamfiltre. Noe som sannsynligvis vil bidra til enda flere forsøk på phishing fremover. Man ser også for seg at det vil kunne brukes til å skaffe seg kunnskap om hvordan man kan bryte seg inn i systemer eller lage krypteringsverktøy.

Relaterte saker:

Risiko og sårbarhetsanalyse (ROS) 2023 (Finanstilsynet)
Finanstilsynet om digital kriminalitet: – Organiseringen endrer seg (E24)
Kriminell bruk av ChatGPT - en advarende historie om store språkmodeller (Europol)