NYTT: Nye teknologier og kanaler gir nye muligheter for bank og kunder, men skaper utfordringer for sikkerheten. (Bilde: Mona Strande)

ROS-rapporten:
Bekymret for cloud og mobilbank

  • IT

ROS-rapporten

  • Årlig risiko- og sårbarhetsanalyse fra Finanstilsynet om finanssektoren.
  • Analysen tar sikte på å gi et best mulig korrekt bilde av risikosituasjonen og være en nyttig informasjonskilde for tilsynets arbeid med risiko og enkeltforetak som arbeider med egen risikosituasjon.
  • Rapporten baserer seg på informasjon innhentet gjennom tilsyn, intervjuer og hendelsesrapportering fra foretakene i 2009, amt internasjonale kilder.
  • Hensikten er å avdekke mulige mangler i styring og kontroll og identifisere risikoområder og sårbarheter i teknisk infrastruktur som krever tiltak eller oppfølging fra myndighetene.

Finanstilsynet er bekymret for sikkerheten med stadig flere tjenester i nettskyen og på mobilen.

Det kommer frem i årets Risiko- og sårbarhetsrapport (ROS-rapporten), som ble lagt frem tirsdag formiddag.





Robust

Tilsynet mener at nye kanaler som mobilbank og BankID på mobilen er positive tilskudd til nettbaserte tjenester.

– For det første blir tjenestene mer robuste i og med at det nå finnes flere ”veier” fra kunden inn til banken. Dersom fastlinjene svikter, kan kunden i visse tilfeller benytte mobilbanken. For det andre gir dette en mulighet for sikrere autentisering av kunden. Risikoen for såkalt phishing kan reduseres, skriver tilsynet.

Denne svindelmetoden er ikke mulig dersom identitetskjennetegn blir sendt over mobilnettet.

Skal svindleren kunne tilegne seg kundens elektroniske identitetskjennetegn, må kunden kunne avlytte både internettsesjonen og informasjonen som går over mobilnettet, noe som er et betydelig mer komplisert angrepsscenario.





SMS

Derimot er tilsynet mer bekymret for nye muligheter, som direkte mobilbank, SMS-bank, betalingskort med RFID-teknologi og generell autentisering og signering av dokumenter, som kan gi nye sårbarheter.

– Det blir økt kompleksitet ved at flere av tjenestene vil kunne benytte flere kanaler, for eksempel både SMS, blåtann og RFID-teknologi, flere operativsystemer og nye protokoller, påpekes det i ROS-rapporten.

Les hele rapporten her .





Ingen standardisering

Mangelen på standarder skaper hodebry.

– Den internasjonale standardiseringsorganisasjonen ISO arbeider med å definere krav til mobilbank i forhold til andre standardiseringsorganisasjoners arbeid og i forhold til andre tjenester enn betaling. Dette viser seg å være utfordrende. Chip blir foreløpig oppfattet som sikker teknologi, men brikken skal kommunisere i usikre mobiltelefoner til nye lite testede kanaler og brukergrensesnitt. I tillegg kommer de avtalemessige utfordringene ved ansvar for ulike tjenester fra ulike leverandører på samme mobiltelefon, heter det i rapporten.





Kritisk

Tilsynet frykter at finanskrisen skal føre til mangel på investeringer i kritisk infrastruktur.

– Kritisk infrastruktur blir svekket som følge av alder og slitasje, mens krav til service og ytelse øker. Utdaterte systemer blir ”klattet på”, noe som kan føre til ytterligere svakheter. Erfaring indikerer at tilgang til strøm, vannforsyning, eldre generasjoner av datasystemer og transportinfrastruktur er sårbare områder, skriver Finanstilsynet.





Kaster ut kompetansen

Tilsynet kommer med kritikk mot selskaper fraskriver seg ansvaret når de setter bort it-driften.

– Dette har en potensiell operasjonell risiko. Ansvaret for å opprettholde nødvendig bestillerkompetanse ligger alltid hos det foretaket som har konsesjon. Likevel blir det avdekket at kritisk kompetanse ikke blir opprettholdt siden denne antas å bli dekket opp av den samarbeidende driftsenhet og på grunn av målsettingen om å redusere egne kostnader, skriver tilsynet i ROS-rapporten.