I «Risiko og sårbarhetsanalysen» oppsummerer Finanstilsynet årlig sine funn knyttet til finanssektorens arbeid med digital sikkerhet. Analysen baserer seg på funn tilsynet gjør hos finansforetak, samtaler med foretakene knyttet til risiko, informasjon fra sentral plasserte kontaktpersonen innen finans, analyser fra andre tilsyn og analyser av konkrete hendelser som har inntruffet i løpet av året.
Analysen for 2023 innledes med: «Den finansielle infrastrukturen i Norge er robust.» Samtidig påpeker Finanstilsynet at endringer i det digitale trusselbildet er en utfordring. Særlig er svindel et tiltagende problem.
Svindel et økende problem
Oppsummert skriver tilsynet i sin rapport at det i 2022 var økt phishing-aktivitet, både mot kunder og mot ansatte i foretakene, der kriminelle forsøkte å få tilgang til brukernes innloggingsdetaljer (engangskode, passord, e.l.). Det påpekes en fare for at brukerne ikke er tilstrekkelig årvåkne mot falske innlogginger og blant annet kan bli fralurt sikkerhetsinformasjon knyttet til BankID. Det store omfanget denne eIDen gir kriminelle mulighet for å benytte seg av et bredt spekter av moduser i svindelvirksomheten.
Når det gjelder korttransaksjoner, var det i 2022 156 000 svindeltransaksjoner med kort, mot 147 000 i 2021. Til tross for en liten økning i antall svindeltransaksjoner, økte tapene på kortsvindel med 35 prosent, til 219 mill. kroner i 2022. Andelen svindeltransaksjoner var størst for grensekryssende transaksjoner, særlig for transaksjoner utført i land utenfor EØS.
For kontooverføringer, hovedsakelig nettbank, utgjorde tapene 395 mill. kroner i 2022, en økning fra 346 mill. kroner i 2021. I prosent av samlede kontooverføringer var imidlertid tapene noe lavere i 2022 enn i 2021. Tapene er knyttet både til transaksjoner der svindleren utsteder eller modifiserer betalingen og transaksjoner der svindleren manipulerer betaleren til selv å gjennomføre betalingen.
Samtidig påpeker Finanstilsynet det gode arbeidet bankene gjør med å forhindre en stadig større andel av svindelforsøkene, noe som bidrar til å begrense tapene.
Geopolitisk trusselbilde
Blant annet som en følge av Russlands angrep på Ukraina, er oppmerksomheten knyttet til systemiske cyberhendelser økt. Finanstilsynet er særlig opptatt av virksomheter som støtter kritiske samfunnsfunksjoner. Og tilsynet påpeker at de sentrale foretakene i den norske finansielle infrastrukturen har gjennomgående gode beredskapsplaner. Aktørene har løpende kontroll med driften og har ved behov iverksatt nødvendige tiltak raskt.
I 2022 var det ingen IKT-hendelser med konsekvenser for finansiell stabilitet. Både antall sikkerhetshendelser og antall operasjonelle hendelser var omtrent som i 2021. Negative følger av hendelser er redusert de siste årene, og Finanstilsynet anser at tilgjengeligheten til betalingstjenester og andre kunderettede tjenester samlet sett var om lag uendret fra 2021 til 2022 og noe bedre enn i de foregående årene.
Selv om digital kriminalitet rettet mot foretak i den norske finanssektoren ikke har ført til systemkriser eller alvorlige hendelser, har Finanstilsynet avdekket alvorlige sårbarheter som kunne fått store konsekvenser dersom de hadde blitt utnyttet.
Finanstilsynet er likevel tilfreds med foretakenes kontinuerlige arbeid med å styrke forsvaret og automatisere håndteringen av uønskede hendelser. Angrep, skriver tilsynet, avverges som oftest før de får konsekvenser for foretaket og foretakets kunder. Og Finanstilsynet peker særlig på viktigheten av samarbeid og sørlig næringens samhandling gjennom NFCERT. Finanstilsynet trekker også frem Finans Norges arbeid med et «Veikart for cybersikkerhet i finansnæringen» hvor målet er å samle næringen om en felles strategisk retning i arbeidet med cybersikkerhet.
Skyreisen og datasikkerhet
Finanstilsynet mottok i 2022 i overkant av 240 meldinger om utkontraktering, noe som er om lag 20 prosent flere enn året før. Som i de foregående årene viser meldingene økt bruk av skytjenester for både applikasjons- og infrastrukturtjenester. Foretakenes risikostyring som følge av økt bruk av skytjenester, vil være et av hovedtemaene for Finanstilsynets tilsynsvirksomhet i 2023. Finanstilsynet påpeker også at det legger særlig vekt på at kundedata ikke skal på avveie.