Rapport från årlig tillsyn över banker – Cyber Security

FI har det senaste året haft tre fokusområden utöver den ”normala” löpande tillsynen, där ett har varit bankernas hantering av informationssäkerhet och cyberhot. I rapporten konstaterar FI att den ökade digitaliseringen och beroendet av IT-system som är sammanlänkade i det finansiella systemet samt de alltjämt ökade cyberhoten och sofistikeringsgraden i angriparnas metoder medför ett ökande hot mot bankerna. Vidare konstateras att de potentiella effekterna av en framgångsrik cyberattack kan vara märkbara och att förtroendet för det finansiella systemet riskerar påverkas negativt. 

Finansinspektionen väljer i sin rapport att kategorisera hoten i tre grupper:

• Attacker mot bankernas digitala kanaler, som resulterar i bedrägerier
• Överbelastningsattacker som gör digitala kanaler otillgängliga
• Intrång med avsikt att genomföra bedrägerier, utpressning eller sabotage

FI noterar vidare att flera banker gör väsentliga satsningar för att förbättra sin förmåga att hantera cyberhot, men att många ännu inte anpassat sitt informationssäkerhetsarbete till de förändrade förutsättningar som cyber-kontexten medför och att fortsatt arbete är nödvändigt. FI framhåller bland annat behovet av att utveckla nya förmågor som tar sikte på att kontinuerligt analysera och bedöma aktuella cyberhot och bakomliggande aktörer. Vidare framhålls behov att stärka rutiner för incidenthantering samt att skyddsåtgärder och kontinuitetshantering löpande anpassas. 

FI konstaterar också att ledning och samordning av informationssäkerhetsarbetet i banken behöver säkerställas genom tydligt ansvar i en roll (vanligtvis CISO) på tillräckligt senior nivå, samt att tillräckliga resurser och befogenheter säkerställs (regleras också via FFFS 2014:5). FI anser att ansvarig person inte ska vara placerad i någon av bankens kontrollfunktioner utan vara en del av 1st LoD. 

FI avslutar sin rapport med att tydligt markera att tillsyn framgent särskilt kommer fokusera på bankernas styrning av informationssäkerhet och hur man säkerställer en tillräcklig förmåga att hantera hot från cyberattacker.

Här kan du ladda ner FI:s rapport i sin helhet >

Deloittes Cyber Security-ramverk

Inom Deloitte har vi ett väl utvecklat Cyber Security-ramverk som vi bland annat använder för att:

1. analysera cyberhotbilden för banken och genomföra mognadsmätning i de egna förmågorna vad gäller cybersäkerhet för att mäta bankens cyber resilience,
2. bistå med rådgivning kring strategisk styrning av investeringar i cybersäkerhetsförmågor genom att bland annat vara behjälplig med att prioritera identifierade åtgärdsplaner i så kallade Cyber Security Roadmaps och,
3. bistå vid upprättande/utvecklande av egen process för löpande mätning och rapportering av cyberhot och cybersäkerhetsförmågor. 

Vårt ramverk och vårt synsätt innefattar de förmågor FI eftersöker hos bankerna och ger goda möjligheter för våra klienter att göra mätbara framsteg. Dessa framsteg kan sedan uppvisas vid eventuell tillsyn från Finansinspektionen.