Samspill og erfaringsdeling er nøkkelen
Finansielle tjenester er definert som en kritisk samfunnsfunksjon.
Norske myndigheter vurderer tilstanden i den finansielle infrastrukturen som robust. Koronakrisen har dokumentert at næringen evner å håndtere plutselige sjokk som gjør at den måtte driftes i stor grad fra andre steder enn normalt. Men det er ingen grunn til å hvile, angrepene mot oss kommer i en jevn strøm.
Cyberangrep og cybertrusler er vide begreper som favner mange former for kriminalitet. Det kan være forsøk på å slå ut kritiske funksjoner - ofte for å destabilisere et samfunn, utpressing etter for eksempel å ha låst bedrifters eller personer datasystemer, tyveri av kritiske data for eksempel som et ledd i industrispionasje, trusler om ubehagelige konsekvenser om man ikke betaler utpressere, hvitvasking og terrorfinansiering og identitetstyverier.
Ifølge Timothy Adams, lederen av finansnæringens globale organisasjon, IIF, opplever verdens største banker alvorlige cyberangrep hvert 6. sekund, hver time, hele døgnet hele året.
Angrep på den finansielle infrastrukturen er med andre ord høyst reelt, men heldigvis er det få som lykkes takket være godt sikkerhetsarbeid og ulike forsvarstiltak. Norsk finansiell infrastruktur er svært digitalisert. Vår finansielle stabilitet avhenger derfor av at vi evner å forsvare den digitale infrastrukturen. Finansnæringen jobber hardt hver dag med å lage sikre og robuste digitale tjenester, og med å forsvare dem mot angrep. Vi opplever angrep jevnlig også i Norge, og vi må hele tiden videreutvikle vår forsvarsevne.
Det er økt fokus på cyberrobusthet i hele den finansielle kjeden – fra globale organ som sentralbankenes organisasjon (BIS) og den internasjonale organisasjonen for betalingsinfrastrukturer (CPMI), via Norges Bank og Finanstilsynet og til Finans Norges virksomheter. Det investeres svært mye i cybersikkerhet, både forebygging og aktivt forsvar.
Det investeres svært mye i cybersikkerhet, både forebygging og aktivt forsvar.
Elektronisk ID
Den viktigste forutsetningen for digitalisering i samfunnet generelt og finansnæringen spesielt, er at vi i Norge har en utbredt, sikker og brukervennlig elektronisk ID. BankID har nå 4,2 millioner brukere. En sikker digital identitet er også en forutsetning i arbeidet mot cybercrime. Når man er sikre på at den som tilkjennegir seg digitalt virkelig er den personen det digitale aliaset tilhører, er det vanskelig å fremstå med falsk identitet. Alt godt sikkerhetsarbeid starter derfor med å forvalte rammeverket for elektronisk ID med omhu. Og vi må være eksplisitte på arbeidsdelingen. Det er det offentliges ansvar å utstede en sikker identifikasjon til hvert enkelt individ. Private aktører som BankID, kan deretter bruke denne som grunnlag for å utstede sikre elektroniske ID-er. Dessverre har et statlig ID-bevis som skal bekrefte den enkeltes identitet, trukket ut i tid. Dette skal etter planen være på plass i 2020, men bekymringen for at dette ikke lar seg gjennomføre som følge av koronakrisen øker.
Myndighetene bør utrede plikter, rettigheter og ansvar ved bruk og utstedelse av elektronisk ID.
Det er også bekymringsfullt at det offentlige synes å behandle elektronisk ID og signatur på en lite tilfredsstillende måte. I forslaget til nye finansavtalelov ønsker man å regulere elektronisk ID i finansavtaler på en slik måte at den enkeltes ansvarsfølelse overfor egen ID, og bruk av denne, kan pulveriseres og at tilliten til elektroniske ID-er svekkes. Myndighetene bør utrede plikter, rettigheter og ansvar ved bruk og utstedelse av elektronisk ID på generelt grunnlag før man implementerer dette arbeidet i ulike anvendelsesområder i samfunnet.
Arbeidet i den enkelte finansinstitusjon
Den enkelte finansinstitusjon arbeider med digital sikkerhet langs tre linjer, compliance, arbeid mot hvitvasking og annen økonomisk kriminalitet og utvikling av robuste egne digitale tjenester som tåler cyberangrep. Knapt noe annet område innen finanssektoren har fått tilført mer ressurser, både kapital og mennesker, de siste årene.
«Innebygget sikkerhet» har lenge stått på agendaen. Man tenker sikkerhet allerede når tjenester er på idéstadiet og før utvikling. Det fører til bedre og sikrere løsninger.
Norske finansinstitusjoner har investert store summer i å utvikle automatiserte systemer for å avdekke forsøk på hvitvasking eller annen økonomisk kriminalitet. Dette er et område der man fremover kan utnytte algoritmer og kunstig intelligens i stadig større grad. Samarbeid, det vil konkret si deling av data mellom aktørene og myndigheter, kan bli nøkkelen for å være i forkant av trusselaktørene også fremover.
Biometri, stordataanalyser, algoritmer osv. vil også spille en stadig viktigere rolle. BankID benytter for eksempel ulike kjennetegn ved inntasting av passord for å kunne stoppe forsøk på svindel der uvedkommende har fått tilgang til kundens påloggingskriterier.
Finansnæringen er gitt tilliten til å ivareta husholdningene og bedriftenes penger.
Nordic Financial CERT
For finansnæringen er det spesielt viktig å kunne forsvare seg. Finansnæringen er gitt tilliten til å ivareta husholdningene og bedriftenes penger. Et vellykket dataangrep kan utfordre den tilliten, derfor tar finansnæringen forsvaret mot cyberangrep på det aller største alvor.
Jo tidligere man får informasjon om et dataangrep, desto bedre er man rustet til å forsvare seg. Norsk finansnæring har siden 2007 samarbeidet og delt informasjon om dataangrep. I 2013 ble FinansCERT Norge etablert. I 2017 slo finansnæringen i de andre nordiske landene seg sammen med norske FinansCERT og dannet en slagkraftig nordisk enhet, Nordic Financial CERT (NFCERT). Blir en bank i Norden angrepet, vil umiddelbart alle få vite om angrepet, hvilken type angrep det er og hvordan en kan forsvare seg.
Nordic Financial CERT har fire hovedoppgaver:
Radar: Trusselovervåkning og informasjonsdeling for å gi alle finansinstitusjonene et bilde av trusselbilde og utviklingen.
Brannkorps: Ekspertsupport gitt en hendelse for å slå tilbake og drive eventuell skadekontroll.
Alarmsentral: Koordinere respons på angrep, inkludert å bruke alle ressurser i nettverket.
Nettverk: formålet med deling og samarbeid i nettverk er å slå tilbake og forebygge/hindre cyberangrep.
Et informasjonsdelingsnettverk med alle medlemmene, med en delingsplattform som inkluderer digitale verktøy og juridisk plattform for deling
Eksterne nettverk - politi/Kripos NC3 og NSM NCSC samt SRM-fellesskapet i Norge, og internasjonal finansnæring
Nordic Financial CERT har hovedkontor i Oslo, og har ca 225 medlemmer fordelt på alle de 5 nordiske landene. NFCERT er også med som en av partnerne i NSMs nye NCSC – der også Telenor er med.
Samarbeid
Det hver enkelt aktør gjør for å bekjempe cyberkriminalitet er viktig og kan i mange sammenhenger være avgjørende. Men vi må, for å låne Jan P Syses ord: «henge sammen eller bli hengt hver for oss». Evnen til samarbeid og erfaringsdeling er avgjørende for at vi fremover skal beskytte vår digitale infrastruktur, digitale verdikjeder og vårt digitale liv. Norge er langt på vei digitalisert og det foreligger allerede et godt digitalt samarbeid, for eksempel gjennom det veletablerte «Digital samhandling offentlig-privat» (DSOP).
Det handler om samarbeid mellom aktører i den enkelte næring, på tvers av næringer, mellom offentlig og privat sektor, sivilt-militært samarbeid og det handler om samarbeid på internasjonalt nivå. Cyberkriminalitet har utspring hos alt fra amatørmessige aktører, via profesjonelle aktører der cyberkriminalitet er forretningsmodellen til angrep som har geopolitiske utspring og formålet kan være å destabilisere land og demokratier.
Mange aktører i dette landskapet har minst like god kompetanse og ressurser som oss, de har stor grad av kreativitet og følger ikke noen regler.
Vårt eneste reelle forsvar mot dem er at vi står sammen
«Finans Norge er finansnæringens hovedorganisasjon. Vi representerer om lag 240 finansbedrifter med 50 000 ansatte. Vi fremmer finansnæringens standpunkter til politikere, forvaltningsorganer, forbrukermyndigheter, samt til internasjonale samarbeidspartnere og beslutningstakere. Vårt mål er å være en brobygger mellom næringen og de som bestemmer næringens rammebetingelser og mellom medlemmer og ulike interessegrupper.»