Cyberrisker inom bank- och finanssektorn

2020-02-20

man och kvinna tittar på dataskärm

Den digitala sårbarheten inom den finansiella sektorn ökar. Konsekvenserna av säkerhetsläckor kan vara ödesdigra, både finansiellt och förtroendemässigt. Därför behöver frågorna kring informations- och cybersäkerhet ägas på högsta ledningsnivå.  Inte minst för att ledning och styrelse ska kunna bedöma informations- och cyberrisker som en del av den totala riskbilden. 

De allt mer komplexa och svårhanterliga hotbilderna och de ökade incidenterna har resulterat i en rad nya regelverk inom riskområdet. Samtidigt utgör digitaliseringen en särskild utmaning för många organisationer av två skäl:

  • På grund av den komplexitet som informations- och cybersäkerhet innebär kan frågorna vara svåra att kommunicera ur ett strategiskt perspektiv, vilket är en nödvändighet för att bemöta utmaningen.

  • Många organisationer brister i sin riskhantering kring hur digitaliseringen driver informations- och cyberrisker. Hur kan riskerna rapporteras på rätt sätt till styrelse och ledning så att de kan fånga upp riskerna, genomföra uppföljning och få rätt rapportering om arbetet för att reducera riskerna. 

I en rapport från december 2018 pekade Finansinspektionen ut några viktiga förväntningar som myndigheten har på bank- och finanssektorn:

  • Vikten av tydligt implementerade ledningssystem för informationssäkerhet (LIS), baserat på exempelvis ISO 27001, NIST:s CSF eller ISF:s Standard of Good Practice.

  • Vikten av tydliga roller och ansvarsområden när det gäller informations- och cybersäkerhet. Styrelsen och ledningen behöver visa engagemang, ha en god förståelse för påverkan av informations- och cyberrisker, samt styra och följa upp arbetet.

  • Vikten av en tydlig och uppdaterad riskanalys och adekvata kontrollfunktioner för att värdera informations- och cyberrisker. Riskhantering behöver göras på olika nivåer, och de etablerade riskkategorierna affärsrisk och strategisk risk behöver kompletteras med informationssäkerhets- och cyberrisker.

Riksbanken har även valt att anta ramverket TIBER-EU (Threat Intelligence-based Ethical Red Teaming), vilket innebär standardiserade tester av motståndskraften mot cyberrisker hos aktörer inom det finansiella systemet i Sverige. Dessa tester kommer koordineras av Riksbanken efter den svenska nationella anpassningen TIBER-SE. De huvudsakliga målen med TIBER  att harmonisera utförandet av Red team-tester inom EU för att möjliggöra för gränsöverskridande tester, samt att förstärka motståndskraften mot cyberhot i den finansiella sektorn. Riksbankens beslut tyder på att den regulatoriska utvecklingen fortsätter ställa ökade krav på den finansiella sektorn, och med TIBER, gå från att mäta mognad till att testa faktiskt operationell resiliens.

"Många banker har ännu inte fullt ut anpassat sitt arbete till de förändrade förutsättningarna som en ökad digitalisering och ett ökat cyberhot från omvärlden innebär. FI förväntar sig att bankerna fortsatt fokuserar på att utveckla sina förmågor, och att man hanterar och följer upp sina informations- och cybersäkerhetsrisker."

Finansinspektionen 7 december 2018

Finansinspektionens slutsatser ligger i linje med liknande formuleringar från The European Banking Authority (EBA) om att säkerställa rutiner och processer för styrning av riskhantering kopplat till säkerhet.

Andra mer övergripande regleringar på området, exempelvis NIS-direktivet, GDPR samt den nya säkerhetsskyddslagen innebär lagstadgade krav på ett systematiskt informationssäkerhetsarbete, där regelbundna riskanalyser, säkerhetsanalyser och incidentrapportering ingår.

Vad behöver banker och finansiella institut göra?

Informations- och cybersäkerhet handlar om mer än välutvecklade IT- och säkerhetsavdelningar. Organisationen behöver se på hela området utifrån ett helhetsperspektiv, där strategier för IT, risk, säkerhet och affär är i linje med varandra och skapa processer och rutiner. Säkerhet ska vara en separat funktion från IT som stöttar verksamheten och även vara en tydlig del av kontrollfunktionerna.

De största behoven inom bank- och finanssektorn handlar om att aktivt utveckla cyberriskarbetet. Andra viktiga komponenter är:

  • Relevant och enhetlig så kallad risktaxonomi där de operativa riskerna inkluderar kategorier för verksamhetens allvarligaste informations- och cyberrisker

  • Av ledningen definierad riskaptit för informations- och cyberrisker, i linje med riskaptit för övriga riskkategorier (till exempel kreditrisk och operativ risk)

  • Genomarbetad och kontinuerligt uppdaterad hotprofil som lägger grunden för riskaptiten,

  • Förtydligad roll- och ansvarsfördelning kopplat till informations- och cyberrisk samt operativ riskhantering

  • Rapportering av informations- och cyberrisker till ledning och styrelse integrerat med övrig riskrapportering

Vad kan vi hjälpa er med?

PwC har stor erfarenhet av att hjälpa kunder inom bank- och finanssektorn inom områdena risk, säkerhet, resiliens, regelverk, intern styrning och kontroll. Vi kombinerar kompetens inom såväl finansiell sektor som informations- och cybersäkerhet och hjälper våra kunder hela vägen från förståelse och analys till utveckling av nya processer och implementering. Kontakta oss för mer information om hur ni kan stärka verksamhetens integrerade riskhantering.
 

Kontakta oss

Baris Färnman

Crisis Reponse Team Leader och Head of Strategic & Regulations Security, PwC Sverige

Tel 0766-37 61 19

Följ oss i sociala medier

Vill du ha hjälp med frågor inom Financial Services

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Hide