Cyberrisker inom bank- och finanssektorn

2019-03-15

man och kvinna tittar på dataskärm

Den digitala sårbarheten inom den finansiella sektorn ökar. Konsekvenserna av säkerhetsläckor kan vara ödesdigra, både finansiellt och förtroendemässigt. Därför behöver frågorna kring informations- och cybersäkerhet ägas på högsta ledningsnivå.  Inte minst för att ledning och styrelse ska kunna bedöma informations- och cyberrisker som en del av den totala riskbilden. 

De allt mer komplexa och svårhanterliga hotbilderna och de ökade incidenterna har resulterat i en rad nya regelverk inom riskområdet. Samtidigt utgör digitaliseringen en särskild utmaning för många organisationer av två skäl. Dels ses informations- och cybersäkerhet ofta som en isolerad IT-fråga, vilket innebär att ledningsgrupper sällan hanterar frågan på den strategiska nivå som krävs. Dels brister många organisationer i förmågan att se hur digitaliseringen driver informations- och cyberrisker och hur detta kan fångas upp i analys, uppföljning och rapportering.

I en rapport från december 2018 pekade Finansinspektionen ut några viktiga förväntningar som myndigheten har på bank- och finanssektorn:

  • Vikten av tydligt implementerade ledningssystem för informationssäkerhet (LIS), baserat på exempelvis ISO 27001, NIST:s CSF eller ISF:s Standard of Good Practice.
  • Vikten av tydliga roller och ansvarsområden när det gäller informations- och cybersäkerhet. Styrelsen och ledningen behöver visa engagemang, ha en god förståelse för påverkan av informations- och cyberrisker, samt styra och följa upp arbetet.
  • Vikten av en tydlig och uppdaterad riskanalys och adekvata kontrollfunktioner för att värdera informations- och cyberrisker. Riskhantering behöver göras på olika nivåer, och de etablerade riskkategorierna affärsrisk och strategisk risk behöver kompletteras med informationssäkerhets- och cyberrisker.

"Många banker har ännu inte fullt ut anpassat sitt arbete till de förändrade förutsättningarna som en ökad digitalisering och ett ökat cyberhot från omvärlden innebär. FI förväntar sig att bankerna fortsatt fokuserar på att utveckla sina förmågor, och att man hanterar och följer upp sina informations- och cybersäkerhetsrisker."

Finansinspektionen 7 december 2018

Finansinspektionens slutsatser ligger i linje med liknande formuleringar från The European Banking Authority (EBA) om att säkerställa rutiner och processer för styrning av riskhantering kopplat till säkerhet.

Andra mer övergripande regleringar på området, exempelvis NIS-direktivet, GDPR samt den nya säkerhetsskyddslagen innebär lagstadgade krav på ett systematiskt informationssäkerhetsarbete, där regelbundna riskanalyser, säkerhetsanalyser och incidentrapportering ingår.

Vad behöver banker och finansiella institut göra?

Informations- och cybersäkerhet handlar om mer än välutvecklade IT- och säkerhetsavdelningar. Organisationen behöver se på hela området utifrån ett helhetsperspektiv, där strategier för IT, risk, säkerhet och affär är i linje med varandra och skapa processer och rutiner. Säkerhet ska vara en separat funktion från IT som stöttar verksamheten och även vara en tydlig del av kontrollfunktionerna.

De största behoven inom bank- och finanssektorn handlar om att aktivt utveckla cyberriskarbetet. Andra viktiga komponenter är:

  • Relevant och enhetlig så kallad risktaxonomi där de operativa riskerna inkluderar kategorier för verksamhetens allvarligaste informations- och cyberrisker
  • Av ledningen definierad riskaptit för informations- och cyberrisker, i linje med riskaptit för övriga riskkategorier (till exempel kreditrisk och operativ risk)
  • Genomarbetad och kontinuerligt uppdaterad hotprofil som lägger grunden för riskaptiten,
  • Förtydligad roll- och ansvarsfördelning kopplat till informations- och cyberrisk samt operativ riskhantering
  • Rapportering av informations- och cyberrisker till ledning och styrelse integrerat med övrig riskrapportering

Vad kan vi hjälpa er med?

PwC har stor erfarenhet av att hjälpa kunder inom bank- och finanssektorn inom områdena risk, säkerhet, resiliens, regelverk, intern styrning och kontroll. Vi kombinerar kompetens inom såväl finansiell sektor som informations- och cybersäkerhet och hjälper våra kunder hela vägen från förståelse och analys till utveckling av nya processer och implementering. Kontakta oss för mer information om hur ni kan stärka verksamhetens integrerade riskhantering.

Kontakta oss

Anneli Granqvist

Ansvarig Financial Services, PwC Sverige

Tel 0709-29 38 95

Christian Öberg

FS Risk & Regulation, PwC Sverige

Tel 0709-29 10 77

Sam Wallentin

Ansvarig FS Cyber Security, PwC Sverige

Tel 0727-33 16 64

Följ oss i sociala medier

Vill du ha hjälp med frågor inom Financial Services

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Hide