Insight
Cyber Crime og Identitetstyveri
Pengeinstitutters Cyber Crime udfordringer
Cyber Crime og særligt identitetstyveri berører pengeinstitutters kunder på flere områder, og hvor ganske simple tiltag til selvhjælp kan gøre kunderne mere modstandsdygtige, er pengeinstitutternes udfordringer langt mere komplekse og opfattet som besværlige.
Kriminalitet i en digitaliseret verden
For en identitetstyv, er CPR-numre næsten lige gå godt som penge i banken. Med et CPR-nummer kan der foretages indkøb i en lang række af butikker på nettet, hvor fakturaen bliver fremsendt, oprettes telefonabonnementer, købes mobiltelefoner, optages kviklån, sælges varer på auktionssider, oprettes betalingskort hos banker og meget mere.
I 2012 blev angiveligt 73.000 personer udsat for identitetstyveri, jf. rapporten »Kriminalitet i en digitaliseret verden« fra Justitsministeriet og Det Kriminalpræventive Råd (DKR). Tendensen er desværre stigende, og identitetstyveri er formentlig den hurtigst voksende form for kriminalitet.
Tillid
I Danmark er vi kendt for den tillid, vi har over for hinanden, til de virksomheder vi handler med og de offentlige myndigheder, når vi udleverer informationer eller skal varetage personfølsomme data. Dette gør, at en identitetstyv har mere frit spil end i andre lande med mere skepsis indgroet i kulturen.
Identitetstyveri har store menneskelige omkostninger for offeret, og det kan tage år at vende tilbage til en normal hverdag. En belastende form for svindel, hvor offeret står med bevisbyrden. Selvom det er institutterne, der i sidste ende står med regningen, risikerer ofret, at blive ramt af angst, depressioner og stress når man mister kontrollen over sit liv. Når en anden har taget magten, er det heller ikke så mærkeligt, at ens syn på sine medmennesker ændrer sig, og tilliden til digitaliseringen daler.
Forholdsregler som individ
Som individ kan man tage mange simple forholdsregler for at reducere risikoen for simpelt identitetstyveri. Eksempelvis, undgå at skrive sit CPR-nummer eller PIN-koder ned i klar tekst, holde øje med ”shoulder surfers”, tømme sin postkasse, holde øje med kontoudtog, makulere eller gemme personlige data forsvarligt, aldrig give sine personlige data over telefonen eller på nettet, opsætte firewall og opdatere software på pc’er mv. Simple råd som virker effektivt.
Professionelle identitetstyve
Når identitetstyveriet anlægger mere professionel karakter, går angriberne også efter institutternes data, bl.a. ved at udnytte sårbarheder i den digitale infrastruktur eller udnytte interne medarbejderes godtroenhed, bestikkelse, afpresning eller i en alliance, hvor data lækkes til forbryderen mod betaling. It-kriminelle har længe flyttet og udvidet deres aktiviteter til banksektoren og rettet skytset mod kundeinformationer.
Risikoen for det enkelte institut er særligt den negative omtale og manglende tillid til beskyttelse af persondata, der følger af tyveri af institutternes data.
Tyveri af persondata fra virksomheder er meget dårligt belyst, og der findes ikke statistik på området i Danmark. Årsagen til den manglende statistik i Danmark skal findes i, at bl.a. banker og virksomheder ikke ønsker at oplyse tabet af frygt for at skade deres omdømme eller skabe mistillid til den digitale forretning. Et utal af store sager fra den finansielle sektor - primært uden for Danmark – har de sidste par år vist et uset omfang af datatyveri, hvor millioner af persondata er lækket og kommet i de forkerte hænder. Datatyveriet i velrenommerede institutter har været muligt, fordi it-sikkerheden ikke kan følge med, eller er fulgt med nye angrebsmetoder, og ikke er en indgroet og naturlig del af topledelsens beslutninger.
It-sikkerhed og privacy
Datasikkerhed er for de fleste institutter en massiv opgave, og kræver i bedste fald en klar, fleksibel og ambitiøs risikostyring varetaget i en uafhængig it-risk management-funktion, som tager vare på nuværende og kommende regler og love om persondatabeskyttelse (eksempelvis EU's forslag til Privacy Forordning med sanktioner op til 5% af globalomsætningen, som forventes vedtaget i 2015).
Men risikostyringen skal have fundament i det aktuelle trusselsbillede. De medieomtalte sager har tydeligt vist, at angriberne har særdeles store ressourcer og kapacitet til rådighed sponsoreret af den organiserede kriminalitet. De udvikler hele tiden nye og kreative metoder til at omgå institutters forsvarsmekanismer.
For det enkelte institut, er overholdelse af regler derfor langt fra nok, og et handlekraftigt forsvar kræver ikke alene detaljeret viden om instituttets data, hvor de befinder sig, hvem og hvordan de bruges, men i høj grad fokus og klar viden om de trusler instituttet står over for. Hvem er angriberne, hvad er deres motiver og evner, og hvordan vil de kunne tænkes at angribe.
Fravær af It-risikostyring og ledelse
It-udviklingen er i hastig udvikling, og de forretningsmæssige fordele er åbenlyse for de fleste institutter. Særligt institutter, som opererer i et stærkt konkurrencepræget business-to-consumer marked, har i høj grad taget nye teknologier til sig, for at fasholde og tiltrække nye kunder. Brug af mobile enheder til medarbejdere og til pengetransaktioner, kommunikation på sociale platforme, udvikling af flere funktioner på netbanker og værdipapirhandel er i spil om kundernes gunst, men har også gjort forsvaret vanskeligt, når data ligger enten overalt eller sammenkøres for at skabe bedre indsigt i eksempelvis kundeadfærd, eller betjene kunderne på nye måder.
Der er ingen simple løsninger for institutter, på samme måde som der eksisterer for den enkelte forbruger. Den gængse og forkerte holdning til årsagen til forbrugerens tab af identitet er ofte skødesløshed og lemfældig omgang med private informationer. Ofte er personen ikke klar over, hvornår tabet af identiteten skete. Nyere undersøgelser peger dog på, at identitetstyveri i høj grad stammer fra datalækage hos institutter med millioner af data på deres kunder, og det er også herfra, at de fleste sager er blevet offentlige og interessante for medierne, da de berører en større del af befolkningen og underminerer tilliden til den digitale udvikling.
For de fleste institutter er beskyttelse af persondata og andre kritiske data en lang rejse, der aldrig ender. Den største risiko er fraværet af god it-risikostyring forankret i forretningsmålene og i konstant respons til den forandrende og aggressive trussel. Det er en stor opgave, som netop skal bruges for at fastholde og øge kundernes tillid, samt gøre instituttet i stand til at udvikle nye og sikre teknologier, der giver konkurrencemæssige fordele, men også er med til at sikre landets digitale udvikling.
Deloitte arbejder med de fleste finansielle virksomheder med at få implementeret og kontrolleret god it-risikostyring. Lige fra etablering af risikoprofilen og forankring i ledelsen, til løbende tilpasning i forhold til trusselsbilledet. Vores filosofi er, at vi med balancerede indsatsområder giver virksomheder en forretningsmæssig bremse, så de selv kan bestemme farten. Med andre ord, de bliver bedre i stand til at møde deres marked og skabe nye forretningsmodeller uden at tage unødige og ødelæggende risici.