Frank Robert Berg

Utfordringer knyttet til offshoring av IKT-oppgaver
NSM sikkerhetskonferanse 2010
10.11.2010
Frank Robert Berg
Innhold
1. Kort om Finanstilsynet
2. Offshoring som problemstilling i
finanssektoren
3. Utviklingstrekk
4. Hvordan overvåke
utviklingen?/Virkemidler
5. Vurdering av risiko
6. Videre oppfølging
2
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
1. Kort om Finanstilsynet
Finanstilsynet
Ca 250 ansatte
Stab
Verdipapirmarkedet
Bank, finans og
forsikring
Regnskap, revisjon,
IT og betalingstjenester
Administrasjon
Egen lov + en lang rekke særlover regulerer feltet
Finanstilsynsloven § 3 – Tilsynet skal se til at de institusjoner det har tilsyn med, virker
på hensiktsmessig og betryggende måte I samsvar med lov og bestemmelser gitt I
medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse,
dens formål og vedtekter.
Betalingssystemloven, kapittel 3, § 3-1 Formålet med bestemmelsen i dette kapittel er å
bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og
effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas
(Meldeplikten I rundskriv 17/2004).
3
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
1. Kort om Finanstilsynet
•Bank og finans
•Forsikring
•Forsikringsformidlingsforetak
•Pensjonskasser og -fond
•Verdipapirforetak og andre verdipapirinstitusjoner, inkl.
forvaltningsselskap for verdipapirfond
•Revisorer og regnskapsførere
•Eiendomsmeklere
•Inkassoforetak
•Datasentraler
•Oppgjørssentraler
•Verdipapirsentral
•Regulerte markeder inkl. børser
•Prospektkontroll
•Regnskapskontroll
•Kontroll med systemer for betalingstjenester
4
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
2. Offshoring som problemstilling i finanssektoren
Utkontraktering, offshoring og vurdering av risiko er ingen ny problemstilling!
Aktuelle interne og eksterne utredninger som berører dette:
1. NOU 2006:6 Når sikkerhet er – Beskyttelse av landets kritiske
infrastrukturer og kritiske samfunnsfunksjoner
2. Banklovkommisjonens utredninger NOU 2001:23 om bortsetting av
virksomhet med en rekke forslag om tiltak
3. Vurdering av risiko og behovet for direkte tilsyn med IT-leverandører,
16.01.2006 – fortsatt bygge på eksisterende regelverk og IKTforskriftens § 12
4. Utredning om Utkontraktering, 17.02. 2009 – regelverk ikke tilstrekkelig
5. Infrastrukturprosjektet 31.12.2009 – viser kompleksiteten og risiko
5
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
2. Offshoring som problemstilling i finanssektoren
6. Metode for identifisering og rangering av kritiske samfunnsfunksjoner,
23.03.2007 (BAS 5)
7. Nasjonale retningslinjer for å styrke informasjonssikkerheten 20072010 (bl. a. om samfunnskritisk IKT-infrastruktur, klassifisering,
varsling og risiko)
8. Årsrapport om betalingssystem 2009 – Norges Bank, kap. 1.4 om
trygghet og risiko knyttet til utkontraktering
9. Finanstilsynets ROS-analyse for bruk av IKT 2009, kapittel 5.3 om
offshoring (også i tidligere rapporter)
10. Spørreundersøkelse 2009 om utkontraktering og katastrofeløsninger
11. Dialog med banker og EDB om utkontraktering/offshoring
6
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
3. Utviklingstrekk
Bilde av situasjonen i Norge – historikk og trend:
Høy kostnads- og kompetanseterskel ved å etablere infrastruktur og
å ta i bruk avanserte bank- og finansløsninger - løsning er samarbeid
Små volumer – krever samarbeid for å oppnå skalafordeler
Norske finansforetak har valgt å samarbeide på en rekke strategiske ITområder
Vant til at IT i stor grad foregikk utenfor banken – hatt høy grad av
outsourcing, senere også offshoring
IT-kostnader kanskje over 20% av totale kostnader (15 til 25%)?
Generelt høyt kostnadsnivå (lønnskostnader VS effektivitet?)
Utvikling, bruk og avhengighet av felles infrastruktur
Forhold mellom kunde og leverandør har i økende grad blitt basert på
forretningsmessige prinsipper
IT-leverandørsiden konsolidert – få nasjonale alternativer
Store endringer på finansforetakssiden – Grunnlaget for samarbeid ikke
lenger den samme?
Finanssektoren har fungert som lokomotiv innenfor IT-området i Norge?
7
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
3. Utviklingstrekk
Høy grad av flytting ut av Norge
Nordea Bank Norge til Stockholm (konsern)
Fokus Bank til København (konsern)
Terra Gruppen til København (valg av leverandør)
Forsikringsforetak benytter CSC i København
EDB Business Partner ASAs planer for offshoring til
Ukraina og India – Berørte / kan berøre mange banker
8
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
3. Utviklingstrekk
Hele
forretningsprosesser
Applikasjoner med
forvaltning og drift
Infrastruktur med
forvaltning og drift
9
RISIKO
Egen evne til
styring og kontroll.
Utfordring å
opprettholde
både kompetanse og
kapasitet.
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
4. Hvordan overvåke utviklingen?/Virkemidler
Generelle vurderinger knyttet til offshoring
Tap av arbeidsplasser på IKT- Gir samfunnsmessige konsekvenser
området
Finansforetaket
10
Tap av kompetanse på IKTområdet
Finansforetaket
Kan svekke evnen til forretningsmessig
utvikling
Kan gi høyere risiko
Etterlevelse av regelverk
Finansforetaket
Finanstilsynet har et klart påse ansvar
Vurdering av risiko
Finansforetaket
Finanstilsynet har et klart ansvar for å
bidra til finansiell stabilitet og akseptabel
risiko
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
4. Hvordan overvåke utviklingen?/Virkemidler
Hva har skjedd i 2009/2010 mht offshoring til Ukraina?
Finanstilsynet ble informert om prosesser
Ble i realiteten varslet fra en
knyttet til offshoring, både fra enkelte banker bank pga en ”hendelse”.
og av leverandøren, men ikke når det kom
til faktisk gjennomføring.
Finanstilsynet konstaterte manglende,
mangelfulle og utilstrekkelige risikoanalyser,
både hos leverandøren og berørte foretak.
Alvorlig sikkerhetsbrudd ble avdekket.
Ble etablert formell dialog med
leverandør og med større
finansforetak. Finanstilsynet
fikk full informasjon.
Avtalemessig regulering mellom leverandør Ble avklart ifm at
og kunde av endringene ble ikke
Finanstilsynet åpnet sak.
gjennomført, med unntak for enkelte foretak.
Alle berørte banker har nullstilt endringene.
Leverandøren har flyttet oppgavene tilbake
til Norge. Bruk av ansatte i Norge fra foretak
i Ukraina avsluttet.
11
Finanstilsynet har blitt
informert av berørte
finansforetak og av
leverandør. Rundskriv 14/2010
ble utsendt, 31.05.2010.
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
4. Hvordan overvåke utviklingen?/Virkemidler
Reguleringsmessige
Regelverksutvikling
Forvaltning
Etterlevelse
Tilsynsvirksomheten
Etterlevelse
Risiko
Overvåkning/
Operasjonell risiko
• Finanstilsynsloven
• Internkontrollforskriften
• IKT-forskriften
• Lov om
betalingssystemer
Best praksis
• Veiledninger
• Metoder (CobiT/ITIL)
• Standarder (ISO)
Utvikling og vedlikehold
av tilsynsmoduler for IKT
og betalingstjenester
• Prosessorientering
• Risikoorientering
• Verifisering/bekreftelse
• ROS-analysen
• Hendelsesrapportering
• Tilsyn
• Intervju
• Spørreundersøkelser
• Utredninger
• Hendelser
• Eksterne kilder
• Hendelsesrapportering
• Meldeplikten
• Forenklet IT-tilsyn
Oppfølging, analyse og
tiltak
(Skimming – offshoring
EDB)
Risikoforståelse
Overvåkning og kontroll
Innrapportering
basert på krav og
”triggere”
Etterlevelse
Risiko
12
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
4. Virkemidler/Regelverk
Finanstilsynsloven § 3 – Tilsynet skal se til at de institusjoner det har tilsyn med,
virker på hensiktsmessig og betryggende måte I samsvar med lov og bestemmelser
gitt I medhold av lov samt med den hensikt som ligger til grunn for institusjonens
opprettelse, dens formål og vedtekter.
Betalingssystemloven, kapittel 3, § 3-1 Formålet med bestemmelsen I dette
kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at
hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av
betalingstjenester ivaretas (Meldeplikten I rundskriv 17/2004).
Forskrift om risikostyring og intern kontroll.
Basel II/EU direktiv - lov og forskrifter i Norge.
CEBS guidelines for outsourcing + Basel II’s Principles for outsourcing.
Bokføringsloven, spesielt gjeldende historisk informasjon
(Skattedirektoratet).
Personopplysningsloven / -forskriften - (avtale EØS-området + Safe Harbour)
(Datatilsynet).
Sikkerhetsloven og objektforskriften (Nasjonal Sikkerhetsmyndighet).
13
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
4. Virkemidler/Regelverk
IKT-forskriften
§
§
§
§
§
§
§
§
§
§
§
§
§
§
§
14
1 Virkeområde
2 Planlegging og organisering
(IT-Governance)
3 Risikoanalyse
4 Kvalitet
5 Sikkerhet
6 Utvikling og anskaffelse
7 Systemvedlikehold
8 Drift
9 Avviks- og endringshåndtering
(nytt ledd, hendelsesrapportering)
10 Krav til kontinuitet
11 Driftsavbrudd og katastrofeberedskap
12 Utkontraktering
13 Dokumentasjon
14 Dispensasjon
15 Ikrafttredelse
Veiledninger:
ISACA – etterlevelse IKT-forskriften
Eiendomsmeglerforetak
Mindre sparebanker
§ 3 Risikoanalyse
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
4. Virkemidler/Regelverk
Rundskriv 14/2010, datert 31.05.2010
Finanstilsynets vurdering er at risikoen ved at
bankene flytter ut driftsrelatert IKT-virksomhet til
slike land (høyrisikoområder) er for høy dersom
dette gjelder funksjoner og operasjoner som er
nødvendige elementer i, eller har betydning for
daglig operasjon av følgende funksjonsområder:
• betalingssystemer (både områdene avregning
og oppgjør og systemer for
betalingstjenester)
• kjernesystemer som kan betegnes som daglig
bank.
Disse omfatter: kunde/reskontro, innlån, utlån,
korttjenester, kundeopplysninger og
produktadministrasjon inkludert
distribusjonskanaler.
Finanstilsynet er av den oppfatning at ovennevnte
IKT-oppgaver ikke kan utkontrakteres til
landområder med høy risiko.
15
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
5. Vurdering av risiko
Årlig
ROS-analyse
Foretakenes
risikovurderinger
Resultater fra
IT-tilsyn
16
Gjennomførte
Intervju
Data fra
hendelseslogg
 Skaffe oss oversikt
 Analysere
 Foreslå tiltak
Meldeplikten
Betalingssystemer
12. november 2010
Annen relevant
informasjon
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
Resultater fra gjennomførte
spørreundersøkelser -Utkontraktering
Svarene fordelte seg slik:
17
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
Resultater fra gjennomførte
spørreundersøkelser
18
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
Rapporterte IKT-hendelser
Fordelt på måned
30
25
20
2008
15
2009
10
5
0
jan
19
feb
mar
apr
mai
jun
jul
aug
sep
okt
12. november 2010
nov
des
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
5. Risiko/Utkontraktering – Noen stikkord













Gjennomgå virksomhetsområdet før utkontraktering
Spesifiser alle leveranser nøyaktig
Klargjør hvordan kvalitet kan måles
Planlegg på forhånd hvordan kontroll av leveransene skal foretas
Klargjør hvordan avtalen og leveransene skal forvaltes og kontrolleres i egen
organisasjon
Sikre etterlevelse av aktuelt lovverk og retningslinjer
Vær oppmerksom på hvordan beredskapsplaner skal innordnes
Vær oppmerksom på mulige språkproblemer
Tenk gjennom problemer som kan oppstå pga kulturforskjeller
Hvordan er området du utkontrakterer til vurdert?
Klargjør behovet for sikkerhet og personvern
Hvordan er lovgivningen i det landet du flytter virksomhet til?
Hvordan kan din omdømmerisiko bli påvirket om noe går feil?
Har organisasjonen verken tid og/eller kompetanse til å klargjøre de ovennevnte punktene
(eventuelt andre) før inngåelse av avtale bør det vurderes i det hele tatt å
utkontraktere.
20
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
5. Risikovurdering ved utkontraktering
Utkontraktering betyr å gjøre seg avhengig av eksterne leverandører i den
daglige driften, det kan bidra til “loss of control”, og det kan øke den
operasjonelle risikoen på flere måter:
•Påvirkningsmulighetene (makten) blir redusert i forhold til å beholde
ansvaret internt, leverandørene har egne målsetninger som kan stå i
konflikt med kundens
•Eksterne leverandører kan svekkes, evt gå konkurs hvis de ikke klarer å
styre sin økonomi, blir overambisiøse eller får problemer hvis
markedsutviklingen tar en uplanlagt retning
•I alvorlige tilfeller kan dette skape meget store problemer for
kundene.
I det minste kan det medføre radikale prisøkninger som kundene blir
nødt til å akseptere (fordi alternativet er enda verre)
•Ved en feil eller avbrudd kan leverandørene peke på hverandre og
begynne å tolke kontrakten istedenfor å gå i gang med å løse
problemet
21
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
5. Vurdering av risiko
Risiko
Emanuel Desperados
Ludvig
Sannsynlighet
22
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
6. Videre oppfølging
1. Avsluttet dialogen med EDB Business Partner ASA
2. Avsluttet dialogen med noen av de større kundene
(bankene) av EDB
3. Rundskriv 14/2010 trekker opp noen ”gjerdestolper”
4. Utarbeide veiledning til IKT-forskriftens
enkeltparagrafer (bla §§ 2, 5 og 12)
5. Videre samarbeid med tilsynsmyndigheter i andre
land
6. Videre samarbeid med andre myndighetsinstanser i
Norge
7. Oppdrag fra Finansdepartementet – avlevert
30.09.2010
8. Generell oppfølging gjennom tilsyn og risikofokus
23
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
6. Videre oppfølging
Forslaget til Finansdepartementet i brev om:
Gjennomgang av hjemler for utkontraktering og
vurdering av behov for nye hjemler, fra
Finanstilsynet, datert 30.09.2010
Det foreslås 2 tiltak:
1) Ny bestemmelse i Finanstilsynsloven med hjemmel
til å regulere utkontraktering
2) Ny bestemmelse om meldeplikt ved utkontraktering
24
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT









6. Noen tanker om mulige tiltak?
Generell meldeplikt til Finanstilsynet ved utkontraktering av IKT-virksomheten
(dette er innført i Sverige og Danmark)
Krav til at utkontraktering av IKT skal behandles og godkjennes i styret (innført i
Danmark)
All videre utkontraktering fra primær leverandør skal godkjennes, reguleres avtalemessig
og godkjennes av finansforetaket
Reserveplan skal etableres og være en formell del av alle avtaler om utkontraktering (det
er et krav om katastrofeplan og minimum årlig testing i IKT-forskriften, men ikke krav til
at dette inngår i avtalen med leverandøren.)
Krav til at foretaket kan demonstrere/dokumentere etterlevelse av regelverk
Krav til at stresstester foretas når systemviktige oppgaver utkontrakteres (CEBS
guidelines for stresstesting), men kravene settes slik at det skal dokumenteres worst
case scenarios når det ikke er relevant å foreta stresstest
Foretaket må beskrive hvordan leveransene skal styres og kontrolleres (monitoring)
Krav til at utkontrakteringsavtalen skal inneholde krav til at leverandøren har en plikt til
aktivt å bidra til at de utkontrakterte deler kan flyttes tilbake til foretaket eller til en annen
leverandør
Krav til at foretaket (f. eks. en bank) skal opplyse til sine kunder om kundens data flyttes
til et annet land. Kunden må da selv velge om dette er grunnlag for å bytte bank
25
12. november 2010
NSM sikkerhetskonferanse 2010 - Offshoring av IKT
FINANSTILSYNET
Takk for oppmerksomheten!
Revierstredet 3
Postboks 1187 Sentrum
0107 Oslo
www.finanstilsynet.no
[email protected]