Frank Robert Berg
Transcription
Frank Robert Berg
Utfordringer knyttet til offshoring av IKT-oppgaver NSM sikkerhetskonferanse 2010 10.11.2010 Frank Robert Berg Innhold 1. Kort om Finanstilsynet 2. Offshoring som problemstilling i finanssektoren 3. Utviklingstrekk 4. Hvordan overvåke utviklingen?/Virkemidler 5. Vurdering av risiko 6. Videre oppfølging 2 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 1. Kort om Finanstilsynet Finanstilsynet Ca 250 ansatte Stab Verdipapirmarkedet Bank, finans og forsikring Regnskap, revisjon, IT og betalingstjenester Administrasjon Egen lov + en lang rekke særlover regulerer feltet Finanstilsynsloven § 3 – Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte I samsvar med lov og bestemmelser gitt I medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. Betalingssystemloven, kapittel 3, § 3-1 Formålet med bestemmelsen i dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas (Meldeplikten I rundskriv 17/2004). 3 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 1. Kort om Finanstilsynet •Bank og finans •Forsikring •Forsikringsformidlingsforetak •Pensjonskasser og -fond •Verdipapirforetak og andre verdipapirinstitusjoner, inkl. forvaltningsselskap for verdipapirfond •Revisorer og regnskapsførere •Eiendomsmeklere •Inkassoforetak •Datasentraler •Oppgjørssentraler •Verdipapirsentral •Regulerte markeder inkl. børser •Prospektkontroll •Regnskapskontroll •Kontroll med systemer for betalingstjenester 4 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 2. Offshoring som problemstilling i finanssektoren Utkontraktering, offshoring og vurdering av risiko er ingen ny problemstilling! Aktuelle interne og eksterne utredninger som berører dette: 1. NOU 2006:6 Når sikkerhet er – Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner 2. Banklovkommisjonens utredninger NOU 2001:23 om bortsetting av virksomhet med en rekke forslag om tiltak 3. Vurdering av risiko og behovet for direkte tilsyn med IT-leverandører, 16.01.2006 – fortsatt bygge på eksisterende regelverk og IKTforskriftens § 12 4. Utredning om Utkontraktering, 17.02. 2009 – regelverk ikke tilstrekkelig 5. Infrastrukturprosjektet 31.12.2009 – viser kompleksiteten og risiko 5 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 2. Offshoring som problemstilling i finanssektoren 6. Metode for identifisering og rangering av kritiske samfunnsfunksjoner, 23.03.2007 (BAS 5) 7. Nasjonale retningslinjer for å styrke informasjonssikkerheten 20072010 (bl. a. om samfunnskritisk IKT-infrastruktur, klassifisering, varsling og risiko) 8. Årsrapport om betalingssystem 2009 – Norges Bank, kap. 1.4 om trygghet og risiko knyttet til utkontraktering 9. Finanstilsynets ROS-analyse for bruk av IKT 2009, kapittel 5.3 om offshoring (også i tidligere rapporter) 10. Spørreundersøkelse 2009 om utkontraktering og katastrofeløsninger 11. Dialog med banker og EDB om utkontraktering/offshoring 6 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 3. Utviklingstrekk Bilde av situasjonen i Norge – historikk og trend: Høy kostnads- og kompetanseterskel ved å etablere infrastruktur og å ta i bruk avanserte bank- og finansløsninger - løsning er samarbeid Små volumer – krever samarbeid for å oppnå skalafordeler Norske finansforetak har valgt å samarbeide på en rekke strategiske ITområder Vant til at IT i stor grad foregikk utenfor banken – hatt høy grad av outsourcing, senere også offshoring IT-kostnader kanskje over 20% av totale kostnader (15 til 25%)? Generelt høyt kostnadsnivå (lønnskostnader VS effektivitet?) Utvikling, bruk og avhengighet av felles infrastruktur Forhold mellom kunde og leverandør har i økende grad blitt basert på forretningsmessige prinsipper IT-leverandørsiden konsolidert – få nasjonale alternativer Store endringer på finansforetakssiden – Grunnlaget for samarbeid ikke lenger den samme? Finanssektoren har fungert som lokomotiv innenfor IT-området i Norge? 7 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 3. Utviklingstrekk Høy grad av flytting ut av Norge Nordea Bank Norge til Stockholm (konsern) Fokus Bank til København (konsern) Terra Gruppen til København (valg av leverandør) Forsikringsforetak benytter CSC i København EDB Business Partner ASAs planer for offshoring til Ukraina og India – Berørte / kan berøre mange banker 8 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 3. Utviklingstrekk Hele forretningsprosesser Applikasjoner med forvaltning og drift Infrastruktur med forvaltning og drift 9 RISIKO Egen evne til styring og kontroll. Utfordring å opprettholde både kompetanse og kapasitet. 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 4. Hvordan overvåke utviklingen?/Virkemidler Generelle vurderinger knyttet til offshoring Tap av arbeidsplasser på IKT- Gir samfunnsmessige konsekvenser området Finansforetaket 10 Tap av kompetanse på IKTområdet Finansforetaket Kan svekke evnen til forretningsmessig utvikling Kan gi høyere risiko Etterlevelse av regelverk Finansforetaket Finanstilsynet har et klart påse ansvar Vurdering av risiko Finansforetaket Finanstilsynet har et klart ansvar for å bidra til finansiell stabilitet og akseptabel risiko 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 4. Hvordan overvåke utviklingen?/Virkemidler Hva har skjedd i 2009/2010 mht offshoring til Ukraina? Finanstilsynet ble informert om prosesser Ble i realiteten varslet fra en knyttet til offshoring, både fra enkelte banker bank pga en ”hendelse”. og av leverandøren, men ikke når det kom til faktisk gjennomføring. Finanstilsynet konstaterte manglende, mangelfulle og utilstrekkelige risikoanalyser, både hos leverandøren og berørte foretak. Alvorlig sikkerhetsbrudd ble avdekket. Ble etablert formell dialog med leverandør og med større finansforetak. Finanstilsynet fikk full informasjon. Avtalemessig regulering mellom leverandør Ble avklart ifm at og kunde av endringene ble ikke Finanstilsynet åpnet sak. gjennomført, med unntak for enkelte foretak. Alle berørte banker har nullstilt endringene. Leverandøren har flyttet oppgavene tilbake til Norge. Bruk av ansatte i Norge fra foretak i Ukraina avsluttet. 11 Finanstilsynet har blitt informert av berørte finansforetak og av leverandør. Rundskriv 14/2010 ble utsendt, 31.05.2010. 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 4. Hvordan overvåke utviklingen?/Virkemidler Reguleringsmessige Regelverksutvikling Forvaltning Etterlevelse Tilsynsvirksomheten Etterlevelse Risiko Overvåkning/ Operasjonell risiko • Finanstilsynsloven • Internkontrollforskriften • IKT-forskriften • Lov om betalingssystemer Best praksis • Veiledninger • Metoder (CobiT/ITIL) • Standarder (ISO) Utvikling og vedlikehold av tilsynsmoduler for IKT og betalingstjenester • Prosessorientering • Risikoorientering • Verifisering/bekreftelse • ROS-analysen • Hendelsesrapportering • Tilsyn • Intervju • Spørreundersøkelser • Utredninger • Hendelser • Eksterne kilder • Hendelsesrapportering • Meldeplikten • Forenklet IT-tilsyn Oppfølging, analyse og tiltak (Skimming – offshoring EDB) Risikoforståelse Overvåkning og kontroll Innrapportering basert på krav og ”triggere” Etterlevelse Risiko 12 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 4. Virkemidler/Regelverk Finanstilsynsloven § 3 – Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte I samsvar med lov og bestemmelser gitt I medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. Betalingssystemloven, kapittel 3, § 3-1 Formålet med bestemmelsen I dette kapittel er å bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas (Meldeplikten I rundskriv 17/2004). Forskrift om risikostyring og intern kontroll. Basel II/EU direktiv - lov og forskrifter i Norge. CEBS guidelines for outsourcing + Basel II’s Principles for outsourcing. Bokføringsloven, spesielt gjeldende historisk informasjon (Skattedirektoratet). Personopplysningsloven / -forskriften - (avtale EØS-området + Safe Harbour) (Datatilsynet). Sikkerhetsloven og objektforskriften (Nasjonal Sikkerhetsmyndighet). 13 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 4. Virkemidler/Regelverk IKT-forskriften § § § § § § § § § § § § § § § 14 1 Virkeområde 2 Planlegging og organisering (IT-Governance) 3 Risikoanalyse 4 Kvalitet 5 Sikkerhet 6 Utvikling og anskaffelse 7 Systemvedlikehold 8 Drift 9 Avviks- og endringshåndtering (nytt ledd, hendelsesrapportering) 10 Krav til kontinuitet 11 Driftsavbrudd og katastrofeberedskap 12 Utkontraktering 13 Dokumentasjon 14 Dispensasjon 15 Ikrafttredelse Veiledninger: ISACA – etterlevelse IKT-forskriften Eiendomsmeglerforetak Mindre sparebanker § 3 Risikoanalyse 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 4. Virkemidler/Regelverk Rundskriv 14/2010, datert 31.05.2010 Finanstilsynets vurdering er at risikoen ved at bankene flytter ut driftsrelatert IKT-virksomhet til slike land (høyrisikoområder) er for høy dersom dette gjelder funksjoner og operasjoner som er nødvendige elementer i, eller har betydning for daglig operasjon av følgende funksjonsområder: • betalingssystemer (både områdene avregning og oppgjør og systemer for betalingstjenester) • kjernesystemer som kan betegnes som daglig bank. Disse omfatter: kunde/reskontro, innlån, utlån, korttjenester, kundeopplysninger og produktadministrasjon inkludert distribusjonskanaler. Finanstilsynet er av den oppfatning at ovennevnte IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko. 15 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 5. Vurdering av risiko Årlig ROS-analyse Foretakenes risikovurderinger Resultater fra IT-tilsyn 16 Gjennomførte Intervju Data fra hendelseslogg Skaffe oss oversikt Analysere Foreslå tiltak Meldeplikten Betalingssystemer 12. november 2010 Annen relevant informasjon NSM sikkerhetskonferanse 2010 - Offshoring av IKT Resultater fra gjennomførte spørreundersøkelser -Utkontraktering Svarene fordelte seg slik: 17 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT Resultater fra gjennomførte spørreundersøkelser 18 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT Rapporterte IKT-hendelser Fordelt på måned 30 25 20 2008 15 2009 10 5 0 jan 19 feb mar apr mai jun jul aug sep okt 12. november 2010 nov des NSM sikkerhetskonferanse 2010 - Offshoring av IKT 5. Risiko/Utkontraktering – Noen stikkord Gjennomgå virksomhetsområdet før utkontraktering Spesifiser alle leveranser nøyaktig Klargjør hvordan kvalitet kan måles Planlegg på forhånd hvordan kontroll av leveransene skal foretas Klargjør hvordan avtalen og leveransene skal forvaltes og kontrolleres i egen organisasjon Sikre etterlevelse av aktuelt lovverk og retningslinjer Vær oppmerksom på hvordan beredskapsplaner skal innordnes Vær oppmerksom på mulige språkproblemer Tenk gjennom problemer som kan oppstå pga kulturforskjeller Hvordan er området du utkontrakterer til vurdert? Klargjør behovet for sikkerhet og personvern Hvordan er lovgivningen i det landet du flytter virksomhet til? Hvordan kan din omdømmerisiko bli påvirket om noe går feil? Har organisasjonen verken tid og/eller kompetanse til å klargjøre de ovennevnte punktene (eventuelt andre) før inngåelse av avtale bør det vurderes i det hele tatt å utkontraktere. 20 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 5. Risikovurdering ved utkontraktering Utkontraktering betyr å gjøre seg avhengig av eksterne leverandører i den daglige driften, det kan bidra til “loss of control”, og det kan øke den operasjonelle risikoen på flere måter: •Påvirkningsmulighetene (makten) blir redusert i forhold til å beholde ansvaret internt, leverandørene har egne målsetninger som kan stå i konflikt med kundens •Eksterne leverandører kan svekkes, evt gå konkurs hvis de ikke klarer å styre sin økonomi, blir overambisiøse eller får problemer hvis markedsutviklingen tar en uplanlagt retning •I alvorlige tilfeller kan dette skape meget store problemer for kundene. I det minste kan det medføre radikale prisøkninger som kundene blir nødt til å akseptere (fordi alternativet er enda verre) •Ved en feil eller avbrudd kan leverandørene peke på hverandre og begynne å tolke kontrakten istedenfor å gå i gang med å løse problemet 21 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 5. Vurdering av risiko Risiko Emanuel Desperados Ludvig Sannsynlighet 22 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 6. Videre oppfølging 1. Avsluttet dialogen med EDB Business Partner ASA 2. Avsluttet dialogen med noen av de større kundene (bankene) av EDB 3. Rundskriv 14/2010 trekker opp noen ”gjerdestolper” 4. Utarbeide veiledning til IKT-forskriftens enkeltparagrafer (bla §§ 2, 5 og 12) 5. Videre samarbeid med tilsynsmyndigheter i andre land 6. Videre samarbeid med andre myndighetsinstanser i Norge 7. Oppdrag fra Finansdepartementet – avlevert 30.09.2010 8. Generell oppfølging gjennom tilsyn og risikofokus 23 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 6. Videre oppfølging Forslaget til Finansdepartementet i brev om: Gjennomgang av hjemler for utkontraktering og vurdering av behov for nye hjemler, fra Finanstilsynet, datert 30.09.2010 Det foreslås 2 tiltak: 1) Ny bestemmelse i Finanstilsynsloven med hjemmel til å regulere utkontraktering 2) Ny bestemmelse om meldeplikt ved utkontraktering 24 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT 6. Noen tanker om mulige tiltak? Generell meldeplikt til Finanstilsynet ved utkontraktering av IKT-virksomheten (dette er innført i Sverige og Danmark) Krav til at utkontraktering av IKT skal behandles og godkjennes i styret (innført i Danmark) All videre utkontraktering fra primær leverandør skal godkjennes, reguleres avtalemessig og godkjennes av finansforetaket Reserveplan skal etableres og være en formell del av alle avtaler om utkontraktering (det er et krav om katastrofeplan og minimum årlig testing i IKT-forskriften, men ikke krav til at dette inngår i avtalen med leverandøren.) Krav til at foretaket kan demonstrere/dokumentere etterlevelse av regelverk Krav til at stresstester foretas når systemviktige oppgaver utkontrakteres (CEBS guidelines for stresstesting), men kravene settes slik at det skal dokumenteres worst case scenarios når det ikke er relevant å foreta stresstest Foretaket må beskrive hvordan leveransene skal styres og kontrolleres (monitoring) Krav til at utkontrakteringsavtalen skal inneholde krav til at leverandøren har en plikt til aktivt å bidra til at de utkontrakterte deler kan flyttes tilbake til foretaket eller til en annen leverandør Krav til at foretaket (f. eks. en bank) skal opplyse til sine kunder om kundens data flyttes til et annet land. Kunden må da selv velge om dette er grunnlag for å bytte bank 25 12. november 2010 NSM sikkerhetskonferanse 2010 - Offshoring av IKT FINANSTILSYNET Takk for oppmerksomheten! Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo www.finanstilsynet.no [email protected]