It-stabilitet i otakt. 10 december 2008 DNR :19

Relevanta dokument
Det här är Finansinspektionen FI. Vår vision

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Svensk författningssamling

Finansinspektionens författningssamling

FI-enkät på finansmarknaden Rörliga ersättningar. 26 januari 2010

Finansinspektionen Aktörer under tillsyn Attityder till Finansinspektionen 2015

Enkätundersökning om beredskapsplan och uppdragsavtal i försäkringsföretag

Finansinspektionens författningssamling

Svensk författningssamling

Tillsyn av penningöverföring, valutaväxling och kontanthantering

Finansinspektionen Aktörer under tillsyn Attityder till Finansinspektionen

Svensk författningssamling

Finansplats Stockholm

Värdepappersmarknaden MiFID II och MiFIR SOU 2015:2

Fi2015/3195. Finansinspektionen Box Stockholm

SOU 2018:20 Betänkande av Utredningen om gräsrotsfinansiering

Brotten som har begåtts är främst inbrott, bluffakturor, skadegörelse och stöld.

Svensk författningssamling

Svensk författningssamling

Sparbanken Rekarne. Ersättningspolicy. Ramverksversion

Eskilstuna Mäklarteam AB (Fastighetsbyrån) Ersättningspolicy. Ramverksversion 001

FINANS- INSPEKTIONEN FINANSINSPEKTIONENS FÖRFATTNINGSSAMLING. Finansinspektionens allmänna råd om ägar- och ledningsprövning;

Tjänster för elektronisk identifiering och signering

Ekonomiska kommentarer

Policy för ersättning

Svensk författningssamling

Tillsyn över säkerhetsarbete hos underleverantör

Finansinspektionens författningssamling

Ansökan samtycke till förvärv av aktier och/eller värdepapper (specialfonder, nationella fonder)

Bolånetagarnas amorteringar har ökat sedan införandet av individuella amorteringsplaner

Nyckeltal för E-handeln

27 MARS 2008 DNR :9. Marknadsoron och de svenska bankerna

Finansinspektionens författningssamling

Innehåll Ökad säkerhet i internetbanken för företag och företagare... 3 Mobilt BankID... 3 Så här skaffar du mobilt BankID...

Brottsliga angrepp mot internetbanker

BESLUT 2018:10. Bakgrund. Dnr

1. Sammanfattning. Stockholm den 13 mars 2008 R-2008/0031. Till Finansdepartementet. Fi2007/9001

Södra Dalarnas Sparbank (nedan kallad banken) har tillstånd att bedriva värdepappersrörelse enligt lagen (2007:528) om värdepappersmarknaden.

Finansinspektionens författningssamling

DNR :17. Penningtvätt och terroristfinansiering finanssektorns förebyggande åtgärder

Viktig information till dig som är kund i Swedbank eller i Sparbanken. Nu blir det ännu tryggare att spara och placera

Föreskrifter och anvisningar 14/2013

Svensk författningssamling

Påföljds- och ordningsavgiftens dimensionering

Svensk författningssamling

Portfolio Försäkra. Ersättningspolicy. Ramverksversion 001

Fryksdalens Sparbank. Ersättningspolicy. Ramverksversion

Ändringar i regler om årsredovisning i kreditinstitut och värdepappersbolag

Framtidens Betalningar Utvecklingen i Sverige och Europa. Leif Trogen Svenska Bankföreningen 5 oktober 2011

16 Policy om etiska riktlinjer Ansvar Senast fastställt Version Sid nr. Styrelsen, Redeye AB (5)

5.9. ERSÄTTNINGSPOLICY. Innehåll. Externa regelverk. Finansinspektionen

Rapport. Aktörer under tillsyn Attityder till Finansinspektionen

Högsby Sparbank. Ersättningspolicy. Ramverksversion

Finansinspektionens författningssamling

Svensk författningssamling

Meddelande av anmärkning

POLICY för behandling av personuppgifter inom EKSTAM & PARTNERS FÖRETAGSFÖRMEDLING AB.

Cybersäkerhet. Kunskapsdagen 17 november 2015

1(5) Anmälan nytt konto Finansiella företag. Välkommen som investerare i våra fonder! Företagsuppgifter

Avbrott i bredbandstelefonitjänst

AGL TRANSACTION SERVICES AB

Definitioner av termer och beteckningar i denna policy återfinns i Finansinspektionens föreskrifter om ersättningssystem i kreditinstitut.

Finansinspektionen tillsynsmyndighet för finansoch försäkringssektorn

Betala. Utvecklingen mot e-betalningar

Bankens Ersättning vid förmedling av tredje parts produkter från Indecap. Tillsyn, Insättningsgaranti, Investerarskydd och Klagomål

Svensk författningssamling

SALA SPARBANK. Ersättningspolicy POL 720

FÖRETAGET SOM FÖREMÅL FÖR BROTT OCH OEGENTLIGHETER 2017

FINANS- INSPEKTIONEN. Finansinspektionens föreskrifter om rapportering av kvalificerat innehav och dotterföretag m.m.;

Införande av vissa internationella standarder i penningtvättslagen

VIRSERUMS SPARBANK Policy för styrelsens och ledningens lämplighetsbedömning och mångfald

Finansinspektionens författningssamling

Begränsning av krediter mot säkerhet i bostad

Anmälan om. schablonmetoden, operativ risk

Ersättningspolicy Nr.43

Kartläggning av svenska icke-finansiella företags finansiering

10.6 Ersättningspolicy

Instruktion för funktionen för regelefterlevnad

Finansinspektionens författningssamling

Yttrande över Finansinspektionens föreskrifter med anledning av Mifid 2 och Mifir

Remiss förslag till tydligare krav på clearingorganisationers hantering av operativa risker

F Ö R U T F Ö R A N D E A V O R D E R

VIRATI MYNDIGHETSSAMARBETSGRUPPEN (Finansinspektionen/Finlands Bank/Statistikcentralen) Ändrad Gäller fr.o.m.

Finansiella tjänster Kommissionen godkänner en rekommendation om elektroniska betalningsmedel

Finansinspektionens författningssamling

I denna informationsfolder finner du information. köp av aktier och andra värdepapper

Vi lämnar kostnadsfri information och vägledning inom området bank och finans. Vi kan kontaktas via telefon, mail eller brev. Vi kan inte agera som

Betänkande En ny lag om värdepappersmarknaden (SOU 2006:50 samt SOU 2006:74)

Upplysningar om ersättningar och förmåner till ledande befattningshavare

(ersätter ) Styrelsen Westra Wermlands Sparbank

Svensk författningssamling

Viktiga frågor inom konsumentskyddet Försäkringsföreningens årsmöte 15 april 2010

Riskanalys för myndigheterna inom SOES

Finansinspektionens författningssamling

Stockholm den 13 februari 2007 R-2006/1365. Till Finansdepartementet

Transkript:

It-stabilitet i otakt 10 december 2008 DNR 08-7951 2008:19

INNEHÅLL SLUTSATSER 1 AVBROTT I VÄSENTLIGA SYSTEM 2 De finansiella företagen och avbrott i väsentliga system 2 Resultat och analys 3 INTRÅNG I IT-SYSTEM 6 De finansiella företagen och intrång i deras it-system 6 Resultat och analys 6 BILAGA 7

Slutsatser It-avbrotten ökar hos vissa företag och minskar hos andra. Totalt sett ligger antalet avbrott på en konstant, hög nivå. FI ser allvarligt på att det till stor del är samma företag som återkommande har ett stort antal avbrott. Hos företag med många avbrott är sannolikheten således stor att de fortsätter att ha en instabil it-lösning. it-avbrotten kan minska förtroendet för företagen och motverka strävan mot effektivare betalningar och ett kontantglesare samhälle. Inget företag i undersökningen rapporterar att de utsatts för intrång. Företagen menar att de har tillräckligt säkra lösningar för att skydda sin it-miljö mot utomstående förövare. Däremot finns problemet kvar att kunderna angrips och att förövarna den vägen kommer över pengar på konton i företagen. I dag är det ekonomiska skyddet för konsumenterna som använder finansiella tjänster via internet inte löst i lagen. Ansvarsfördelningen mellan företagen och kunderna har till viss del redovisats i avtalen mellan kund och företag. Någon lagstiftning som reglerar var kundens respektive företagets ansvar börjar och slutar finns inte. För att stärka skyddet för konsumenterna anser FI att reglering av kundens respektive företagens ansvar är nödvändig. Finansinspektionen skrev i samband med rapporten Brottsliga angrepp mot internetbanker (2007:10) till regeringen och påtalade behov av lagstiftning inom detta område. Finansinspektionen kommer att följa upp avbrottsfrekvens och intrångsrisker i tillsynen under 2009. 1

Avbrott i väsentliga system SAMMANFATTNING För vissa företag har avbrotten ökat under de tre år enkäten omfattar. Antalet avbrott totalt sett ligger på en jämn nivå. Tillgång till företagens it-system är viktig och samhällsnyttig. En ökning av antalet avbrott såväl som tiden systemen är nere minskar förtroendet för företagen. Avbrotten motverkar strävan mot effektiva betalningar och ett kontantglesare samhälle. De finansiella företagen och avbrott i väsentliga system De företag som deltagit i enkätundersökningen (se bilaga) är alla beroende av att deras it-stöd fungerar. I princip kan de inte upprätthålla sin verksamhet utan detta. Flertalet företag har utvecklat kontinuitetsplaner. Dessa planer har utarbetats för att reducera eller helt motverka negativa konsekvenser av störningarna. Företagens verksamhet avgör hur de påverkas av avbrott och längden på avbrotten har också betydelse. Företagens kunder påverkas olika beroende på vilken verksamhet som bedrivs. Vissa av de finansiella företagen har endast sporadisk eller i varje fall oregelbunden kontakt med sina kunder, till exempel vid olika former av debiteringar eller vid förnyelse av tjänsten. Andra företag har betydligt tätare kontakt med sina kunder till exempel vid handel med olika typer av finansiella instrument. Det finns inget lagligt krav på viss tillgänglighet till de finansiella företagens it-baserade tjänster. Däremot finns det allmänna förväntningar på att dessa ska vara effektiva både ur ett kostnadsperspektiv och ur kundsynpunkt. Företagen har också, som ett led i de egna effektivitetssträvandena, automatiserat fler och fler finansiella tjänster och samtidigt vant kunderna vid att dessa är tillgängliga dygnet runt sju dagar i veckan. Det är angeläget att upprätthålla tillgängligheten. Företagen marknadsför sig som exempelvis 24-timmarsbanker, även om olika tjänsters verkställande i praktiken varierar över dygnet och veckan. Det finns i dag en hög förväntan på tillgänglighet från samhället och kunderna. I ett samhälle där kontanter i allt högre grad ersätts av elektroniska betalningar krävs att den infrastruktur som betjänar dessa betalningar fungerar och har en hög tillgänglighet. Om tillgängligheten inte kan upprätthållas på en ur kundernas synpunkt hög nivå urholkas förtroendet för marknaden som helhet och effektiviteten i det 2

finansiella systemet. Finansinspektionen kommer att undersöka möjligheten att skapa olika jämförbara tillgänglighetsmått. Företagens verksamhet påverkas olika av avbrott. Uppgifter om inträffade avbrott har begärts för 2005, 2006 och 2007. Finansinspektionen kommer fortlöpande att kräva in uppgifter om avbrott för att följa trender och få ett bra underlag för tillsynsverksamheten inom detta område. Resultat och analys Antal rapporterade avbrott per företagstyp och genomsnittligt antal avbrott i varje grupp av företag. 2005 2006 2007 Antal Avbrott/ Antal Avbrott/ Antal Avbrott/ avbrott företag avbrott företag avbrott företag Bankaktiebolag (22) 54 2,5 60 2,7 63 2,9 Börs Clearing (2) 0 0,0 5 2,5 1 0,5 Sparbank och sparbanksaktiebolag (43) 409 9,5 377 8,8 408 9,5 Kreditmarknadsbolag (26) 5 0,2 6 0,2 7 0,3 Livförsäkringsbolag (22) 86 3,9 78 3,5 66 3,0 Skadeförsäkringsbolag (41) 41 1,0 61 1,5 63 1,5 Värdepappersbolag (17) 6 0,4 5 0,3 4 0,2 Kreditmarknadsbolagen Ser man till kreditmarknadsbolagen sker förhållandevis få avbrott. Det är ett litet antal kreditmarknadsbolag som står för dessa avbrott och antalet avbrott är i reella tal mycket få, se tabellen ovan. Påverkan för deras kunder får med hänsyn tagen till deras verksamhet, bedömas vara försumbar. Försäkringsbolag Bland försäkringsbolagen, har livbolagen svarat att avbrotten under de senaste tre åren har minskat med 23 procent. Däremot har skadebolagen redovisat att de har en ökning av antalet avbrott med 54 procent. Konsekvenserna för försäkringsbolagens kunder är inte helt entydiga. Normalt kan en nyteckning av en försäkring även ske dagen efter till exempel ett bilköp, men vid en skada vill försäkringstagaren snabbt få kontakt med sitt försäkringsbolag. Att i en skadesituation inte kunna få hjälp kan rubba kundens förtroende för företaget och medföra merkostnader. 3

Bankaktiebolag Bankerna redovisar en ökning av antalet avbrott med 17 procent under de senaste tre åren och det är de större bankerna som står för merparten av avbrotten. Detta är allvarligt då dessa avbrott drabbar stora delar av det finansiella systemet, och påverkar både kunder och andra företag. Sparbanker och sparbanker ombildade till bankaktiebolag Sparbankerna och sparbanker ombildade till bankaktiebolag, i denna rapport kallade sparbanksaktiebolag, rapporterar det största antalet avbrott i undersökningen. Antal avbrott har varit stabilt under de tre åren. Företagen rapporterar i snitt mer än nio avbrott per år, alltså mer än tre gånger fler än till exempel bankaktiebolagsgruppen. Det är allvarligt när kunderna till de drabbade sparbankerna inte har andra bankalternativ på orten, i de fall då sparbanken är lokalt marknadsledande. I gruppen sparbanker finns en stor skillnad i antal rapporterade avbrott beroende på om sparbanken har samarbetsavtal med Swedbank eller ej. Sparbankerna som är beroende av Swedbank för sin it-drift rapporterar markant fler avbrott än övriga sparbanker. Avbrott i Swedbanks it-system drabbar de sparbanker som har samarbetsavtal med Swedbank. Detta förklara det stora antalet avbrott sett bland sparbanker som grupp. Då det rör sig om enskilda institut som är verksamma på olika orter i Sverige är det ändå relevant att redovisa avbrotten var för sig. Värdepappersbolag Värdepappersbolagen finns bland de företag som rapporterar minst antal avbrott. Värdepappersbolagens avbrott minskade under åren 2005 2007. För dessa företags kunder är omedelbar kontakt för det mesta av vikt för att kunderna inte ska drabbas ekonomiskt. Bland bankerna finns också de företag som främst bedriver värdepappersrörelse men har banktillstånd. Dessa värdepappersbanker har i likhet med värdepappersbolagen mycket få avbrott. Börser De två börserna hade båda ett färre antal incidenter 2007 än 2006. Det är en mycket central roll som börserna spelar på den finansiella marknaden och avbrott i deras verksamhet är mycket olyckligt och ger återverkningar på båda kunder och andra institut. 4

Företag med många avbrott 100% Antal företag i % med 10 avbrott per år och deras avbrott i % totalt antal avbrott 90% 80% 70% 60% 50% 40% Antal företag i % 10 avbrott per år Antal avbrott i % av alla avbrott som denna grupp står för 30% 20% 10% 0% 1 2 3 2005 2006 2007 De företag som har 10 avbrott per år utgör cirka en fjärdedel av antalet företag i undersökningen. Denna grupp står för cirka tre fjärdedelar av alla avbrott. Företagen i denna grupp är till 85 procent eller mer samma mellan varje år, det är alltså i stor utsträckning samma företag som år efter år har många avbrott, och de flesta avbrotten sker just i dessa företag. 5

Intrång i it-system SAMMANFATTNING Inget företag har rapporterat att de utsatts för något lyckat intrång i sina it-system av externa förövare under perioden 2005 2007. I stället angrips kundernas datorer och dessa intrång lyckas ibland. Ansvarfördelningen mellan kund och företag är i dessa sammanhang inte lagreglerad. De finansiella företagen och intrång i deras it-system De finansiella företagen hanterar ett stort förtroendekapital, vilket innebär att deras verksamhet och hantering av information om sina kunder måste hanteras på ett säkert och konfidentiellt sätt. Beträffande säkerhetsåtgärder för de it-system som används i verksamheten har företagen satsat, och satsar fortlöpande, på att förbättra säkerheten. Men kundernas behov av skydd bör uppmärksammas tydligare. Företag som erbjuder it-tjänster bör tydligt informera kunderna om: Riskerna med Internet Vilka säkerhetslösningar som valts och varför Kundens behov av skydd Vem som har ansvar för vad vid brottsliga angrepp Ansvarfördelningen vid angrepp och intrång via Internet är inte reglerad i lag. FI anser att företagen bör ha huvudansvaret och kommer att verka för en sådan utveckling. Resultat och analys Inte något företag har under åren 2005-2007 rapporterat att de utsatts för något lyckat intrång från externa förövare. Det innebär att enligt företagens uppgifter är vidtagna skyddsåtgärder tillräckliga för att skydda deras itmiljöer. 6

Bilaga Finansinspektionen har genomfört undersökningen för att få underlag för att kunna planera tillsynen inom de områden där det finns behov av åtgärder och för att planera hur dessa ska utformas för att ge bäst effekt. Dessutom har regeringen i regleringsbrev för budgetåret 2008 ålagt Finansinspektionen att Redovisa utvecklingen avseende it-incidenter inom de finansiella företagen. Finansinspektionen har valt att genomföra en enkätundersökning för att skapa en bild av it-incidenterna för de tre senaste åren. Undersökningen har skickats ut till 173 finansiella företag. De 173 företagen som ingått i enkäten består av 22 bankaktiebolag, 43 sparbanker och sparbanker ombildade till bankaktiebolag, 22 livförsäkringsbolag, 41 skadeförsäkringsbolag, 26 kreditmarknadsbolag, 17 värdepappersbolag och 2 börser. Fondbolagen har fångats upp via den koncern de tillhör. Samtliga företag i undersökningen har svarat på enkäten. Urvalet är gjort med hänsyn till storlek och marknadspåverkan. Urvalet täcker den största delen av svensk bank och försäkringsmarknad. Antal institut i urvalet 50 45 40 35 30 25 20 15 10 5 0 Bankaktiebolag Börs Clearing Sparbank och sparbanksaktiebola g Livförsäkringsbolag Kreditmarknadsbolag Skadeförsäkringsbolag Värdepappersbolag Antal inst 22 2 43 26 22 41 17 Frågorna i enkäten är uppdelade i två huvudområden, avbrott i väsentliga system för företaget som innebär bortfall av möjligheten att genomföra avtalade tjänster eller åtaganden och externa intrång i företagets it-system där företagets säkerhetsåtgärder inte har räckt till. Svaren omfattar de senaste tre åren. På så sätt kan man följa utvecklingen och upptäcka förändringar inom något av de områden som undersökningen omfattar. Definition av avbrott innebär att de avbrott som redovisas i undersökningen är av allvarlig karaktär. Avbrotten har inneburit att en tjänst inte har varit tillgänglig för kunderna. Avbrott eller bortfall av tillgängligheten har olika grad av allvar för företagen och deras kunder. Vissa företag har periodisk kontakt med sina kunder. Andra företags kunder kräver och behöver omedelbar kontakt med sitt före- 7

tag, till exempel vid köp och försäljning av värdepapper och andra finansiella instrument. Intrång har i undersökningen definierats som händelser som innebär att företagets skydd för sin it-miljö inte räckt till utan externa förövare har kunnat genomtränga vidtagna skyddsåtgärder. Denna definition omfattar inte de fall då kunder drabbas av phishing, farming, trojaner eller liknande incidenter, där kunden lämnar ut säkerhetsnycklar till en Internet- eller telefonbaserad tjänst. Intrång är i princip lika allvarligt för samtliga finansiella företag eftersom dessa har ett stort förtroendekapital hos allmänheten att försvara. 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss