Hvad er væsentligt for et IT- tilsyn med ambitioner? Sikkerhed og Revision 2013 Stream B Governance, Risk og Compliance

Transkript

1 Hvad er væsentligt for et IT- tilsyn med ambitioner? Sikkerhed og Revision 2013 Stream B Governance, Risk og Compliance

2 Facts om Finanstilsynet og den finansielle sektor Finanstilsynets opgave er at medvirke til finansiel stabilitet og tillid til den finansielle sektor hos borgere og virksomheder i ind- og udland. Finanstilsynet har ca. 240 medarbejdere og er en styrelse under Erhvervs- og Vækstministeriet. Tilsynet finansieres af gebyrer fra de finansielle virksomheder. Den finansielle sektor i Danmark omfatter knap 500 virksomheder, der tilsammen beskæftiger medarbejdere.

3 Øget regulering? 8+ metode Stresstest Hedgefond CRD IV se Forbrugerbesky+else

4 Disposition 1. Det nye It tilsyn 2. Udvikling i datacentralerne 3. Løbende kommunikation 4. Mål og proces 5. Lovgivning (1 side) 6. Væsentlige it-risici 7. Boblere og fremtidig regulering

5 Det nye IT tilsyn I oktober 2012 overgik ansvaret for IT tilsyn fra OPRI til REAL uden bemanding I marts 2013 ansættes Adam Al-Saffar og Alexander Trolle som IT Inspektører Mulig ny IT-inspektør med start ca. i nov Klart mandat fra ledelsen i Finanstilsynet

6 Det nye IT tilsyn Vi har ambitioner om at gøre tingene en smule anderledes: Tilsyn med kant Vi lægger vores metoder frem, så spillereglerne er kendte Risiko frem for formalia Øget samarbejde med Danmarks Nationalbank Dialog med kunderne Forvent at vi tager stikprøver for at sikre os, at sikkerheden er implementeret.

7 Elektron Fælles Datacentraler JN Data Gensam Data BEC NETS SDC FDC Bankdata

8 Udvikling i datacentralerne Pres på omsætningen i datacentralerne efter lukninger og fusioner Outsourcing af drift til JN Data JN Data bliver lige pludselig meget systemisk vigtig Mindsket konkurrence på områderne drift og IT sikkerhed 13 pengeinstitutter er lukket og helt eller delvist overtaget af staten

9 Tilsynsmæssige konsekvenser På den korte bane: centralerne bruge ressourcer til omstruktureringer kan risikere at gå fra udvikling og vedligeholdelse På den længere bane øget koncentrationsrisiko via JN Data Koncentrationsrisiko er allerede på IBM på betalingssiden Men: øgede stordriftsfordele Måske: bedre muligheder for udtrædelse Måske: outsourcing af hele driften ud af den finansielle sektor, jf. IBM Måske outsourcing på tværs af grænser herunder cloud computing

10 Løbende kommunikation med IT tilsynet Vi vil gerne have meddelelse og efterfølgende en årsagsforklaring, når der sker en væsentlig IT-hændelse. Tilsynet har hjemmel i Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler 16, 2). Væsentlighed Det er som udgangspunkt selskabet selv, som vurderer, hvornår noget er væsentligt. Dog er der nogle klare indikatorer, hvor FT mener, at vi med rimelighed bør orienteres. Hændelser indgår i det løbende tilsyn af selskabet. Timing Naturligvis skal fejlen identificeres og handlinger iværksættes, som forhindrer lignende hændelser i at ske. Herefter kan Tilsynet få meddelelse.

11 Checkliste Selskabets kriseledelse indkaldes Hændelsen har potentiale til at udvikle sig til en katastrofesituation Nedbrud i den kritiske danske betalingsinfrastruktur Hændelsen giver anledning til at personer bliver politianmeldt Selskabet nedsætter en særlig task force for at behandle hændelsen Mistanke om at fortrolige data er i 3. mands besiddelse Hvis en hændelse senere giver anledning til stor mediebevågenhed (FT har et fænomen der hedder ministerbetjeningssager)

12 IT- tilsynets mål og proces Vores it-tilsyn er primært rettet imod, om de finansielle virksomheder har en it-sikkerhed, der er så høj, at virksomhederne ikke må formodes at lide væsentlige tab Helt konkret påser vi også, om it-sikkerheden er tilstrækkelig til at sikre, at de finansielle virksomheder kan overholde forbuddet om uberettiget videregivelse af fortrolige oplysninger. Dette omfatter også videregivelse til medarbejdere, der ikke har behov for den pågældende viden Vi påser ikke i øvrigt overholdelsen af datalovgivningen i øvrigt, men vi kan godt gøre virksomhederne opmærksomme på det, hvis vi finder, at systemerne er indrettet sådan, at datasikkerheden kan blive kompromitteret

13 It- undersøgelsesproces Skriftlig annoncering af undersøgelsen Modtagelse af rekvireret materiale Aktiviteter på stedet orienteringsmøde møder og interviews rekvirering af supplerende materiale Afstemning af observationer m.v. med virksomheden Rapportering til virksomheden 13

14 Grundlaget for Finanstilsynets vurdering er: 1. Lovgivning 2. Risiko og væsentlighed 3. Individuelle sikkerhedsmæssige behov 4. Praksis i sammenlignelige virksomheder 14

15 De overordnede rammer for it- sikkerhedsstyringen FiL 70 Bestyrelsen skal for den finansielle virksomheds væsentligste aktivitets-områder udfærdige skriftlige retningslinjer, hvori arbejdsdelingen mellem bestyrelse og direktion fastlægges. FiL 71, stk. 1, nr. 9 En finansiel virksomhed skal have betryggende kontrol- og sikrings-foranstaltninger på it-området. FiL (Kapitel 9) Videregivelse af fortrolige oplysninger. (tavshedsbestemmelser) 15

16 Risikobaseret tilsyn Finanstilsynet udfører et risikobaseret tilsyn I Finanstilsynet prioriterer vi efter følgende principper: Virksomheder med forholdsvis stor systemisk risiko vægter mere end virksomheder med forholdsvis lav systemisk risiko Virksomheder, der vurderes at have større risici, gives større vægt end virksomheder, der vurderes at have små risici Ved undersøgelse af den enkelte virksomhed vægtes større risici mere end små risici Tilsynet foretages primært på stedet med nogle få års mellemrum Vi følger også virksomhederne mellem undersøgelserne og reagerer på de (større) hændelser, vi bliver opmærksomme på

17 Væsentlige it- risici Afbrydelse eller forsinkelse af driften Tab af data Utilsigtede fejl Økonomiske forbrydelser og anden bevidst manipulation med data Der kan medføre: Tab af tillid til virksomheden Økonomiske tab Forkerte beslutningsgrundlag 17

18 Overordnet it- sikkerhedsstyring Bestyrelsens ansvar Den overordnede tilrettelæggelse af it-anvendelsen, herunder it-strategi og organisation Stillingtagen til it-risici, og dermed tilrettelæggelse af imødegåelse af itrisici (= eks. sikkerhedspolitik og beredskabsplanens målsætninger og forudsætninger) Den daglige ledelses ansvar Operationalisering af sikkerheds-politikken i sikkerhedsbestemmelser, forretningsgange og kontrolprocedurer Risikoanalyser vedrørende it-anvendelsen 18

19 Boblere Salg af Nets? Ny organisationsstruktur? Tilsyn med Betalingsinstrumenter? Tilladelse til anvendelse af cloud-løsninger i den finansielle sektor? Virtuelle penge i Danmark (Bitcoins) 19

20 Fremtidig regulering SIFI Rapporten indeholder konkrete anbefalinger på området for god selskabsledelse. En af anbefalingerne vedrører øgede krav til It sikkerhed Mobilbetalinger (ECB) er i høring i branchen Payment Service Directive PSD2 (EBA) - er i proces Forslagets øgede krav ;l indberetning af risikovurderinger og rapportering af væsentlige hændelser pålægger betalingstjenesteudbyderne en administra;v byrde, da de skal indsende en årlig risikovurdering ;l en central myndighed, som videresendes ;l EBA og Finans;lsynet, samt meddele EBA og Finans;lsynet om væsentlige sikkerhedshændelser inden for 24 ;mer. Selskabernes outsourcing- leverandører bliver også påvirket af forslaget, idet de skal kunne reagere ;lstrækkeligt ;dligt ;l, at betalingsvirksomhederne kan overholde EBAs krav. 20

21 Tak for opmærksomheden se mere på og se os på Linked In