Analyse fokuserer på aktuelle emner, som er særlig relevante for Nationalbankens formål. Analyserne kan også indeholde Nationalbankens anbefalinger. Her finder du bl.a. vores prognose for dansk økonomi og vores vurdering af den finansielle stabilitet. Serien henvender sig til dig, der har en bred interesse for økonomiske og finansielle forhold.

Cybersikkerhed
Nr. 9

Cybermoden­heden i den finansielle sektor er øget

Nationalbankens seneste undersøgelse af cyberrobustheden indikerer, at den finansielle sektor har et modent niveau, dog med variationer blandt virksomhederne. Udviklingen i cyberkriminelles evner og metoder samt større usikkerhed om trusselsbilledet medfører, at der er behov for vedvarende arbejde. Ledelsesengagementet hos nogle kan øges yderligere, og der kan fokuseres mere på beskyttelse og evne til at genoprette data.



Hovedbudskaber

Alvorlige cyberangreb kan udgøre en trussel mod de enkelte finansielle virksomheders fortsatte eksistens og i værste fald true stabiliteten i den finansielle sektor. Det kan ske, hvis et alvorligt cyberangreb sætter kritiske forretningssystemer ud af drift eller ødelægger systemer og/eller data, så centrale forretningsaktiviteter i den finansielle sektor ikke kan udføres. Alvorlige cyberangreb kan have store konsekvenser i form af tab af tillid til både de enkelte finansielle virksomheder og til det finansielle system.

“Nationalbanken og den finansielle sektor arbejder for finansiel stabilitet.“

 

Et af Nationalbankens overordnede formål er at arbejde for stabilitet i den finansielle sektor. Nationalbanken benytter bl.a. en spørgeskemaundersøgelse til at undersøge cyberrobustheden i den finansielle sektor. Undersøgelsen viser et øjebliksbillede af det aktuelle niveau af sektorens cyberrobusthed baseret på respondenternes egne angivelser af eget niveau.

Fjerde undersøgelse af cyberrobusthed i den finansielle sektor

Nationalbanken indhentede ultimo 2022 data til sin fjerde undersøgelse af cyberrobustheden i den finansielle sektor. Tidligere undersøgelser blev foretaget i 2016, 2018 og 2020, jf. boks 1. Siden 2016 er cyberrobustheden i sektoren øget.1 De første undersøgelser indikerede generelt et behov for at arbejde med governance, herunder at fastlægge strategi og implementere gode rammer for arbejdet med cybersikkerhed, og for at identificere og kortlægge kritiske forretningsaktiviteter og underliggende aktiver mv. Disse aktiviteter ligger under området ”identify” i NIST-rammeværket. På nuværende tidspunkt, hvor sektoren er mere moden og fx i højere grad har kortlagt, hvor kritiske systemer og data er, er der et bedre udgangspunkt for at tage beslutninger om, hvordan systemer og data skal beskyttes (NIST-området ”protect”), hvordan man opdager og reagerer på hændelser (NIST-områderne ”detect” og ”respond”), og hvilket behov man har for at kunne genoprette systemer og data (NIST-området ”recover”). Sektoren er på nuværende tidspunkt derfor langt bedre klædt på til at styrke arbejdet med planer for genopretning af systemer og data yderligere, hvilket undersøgelsen indikerer et behov for, jf. afsnittet om beredskab og genopretning af systemer og data.

I samme periode som Nationalbanken har gennemført undersøgelser af cyberrobustheden, har trusselslandskabet udviklet sig, og i takt med at sikkerheden styrkes, tager de kriminelle nye og mere sofistikerede metoder og værktøjer i brug. Dertil kommer, at der blandt it-kriminelle sker en højere grad af specialisering, hvor forskellige grupperinger dygtiggør sig inden for særlige områder.

Center for cybersikkerhed, CFCS, vurderer, at truslen om cyberkriminalitet mod finanssektoren er meget høj, og truslen fra henholdsvis aktivisme og cyberspionage vurderes at være høj. De dygtigste kriminelle bliver mere specialiserede og tager løbende mere sofistikerede metoder i brug, og det er ikke muligt at sikre sig fuldt ud mod alvorlige cyberangreb. Ruslands invasion af Ukraine har også ført til en øget usikkerhed i det sikkerhedspolitiske landskab, som på cyberområdet betyder, at trusselsniveauerne hurtigt kan ændre sig, hvis der sker en forværring i forholdet mellem NATO og Rusland.

Givet den øgede usikkerhed og at man ikke kan sikre sig fuldstændigt mod alle angreb, er det vigtigt, at der i den finansielle sektor fortsat arbejdes målrettet med at øge cyberrobustheden og begrænse effekten af cyberangreb.

Boks 1

Undersøgelsen af cyberrobusthed i den finansielle sektor

Nationalbankens undersøgelse af cyberrobusthed blandt kerneaktører i den finansielle sektor blev gennemført ultimo 2022 i regi af Finansielt Sektorforum for Operationel Robusthed, FSOR. FSOR er et offentligt-privat samarbejdsforum i den finansielle sektor, hvis formål er at øge den operationelle robusthed på tværs af sektoren, herunder robustheden over for cyberangreb. Undersøgelsen er en spørgeskemaundersøgelse blandt FSOR’s medlemmer, som har til formål at give et billede af det aktuelle niveau af cyberrobusthed blandt kerneaktørerne i den danske finansielle sektor. Respondenterne angiver selv deres niveau, og der foretages ingen efterprøvning af de afgivne svar. Resultaterne i denne artikel bygger på svar fra 18 systemisk vigtige banker, realkreditinstitutter, datacentraler og finansielle infrastrukturselskaber, som deltog i undersøgelsen.

Svarmulighederne i spørgeskemaet fra 2022 har en større detaljeringsgrad end de tidligere undersøgelser, idet spørgerammen er en videreudvikling af spørgsmålene fra Nationalbankens undersøgelse i 2020. Svarmulighederne i undersøgelsen fra 2022 er opdelt i flere og mere specifikke underkategorier end tidligere.

Spørgeskemaet

Det anvendte spørgeskema har 41 spørgsmål om cybersikkerhed med i alt 314 tilknyttede svarmuligheder, der kan afkrydses. Spørgeskemaet dækker emnerne ”identify”, ”protect”, ”detect”, ”respond” og ”recover”. Emnerne er baseret på NIST Cybersecurity Framework; et amerikansk rammeværk, der sætter standarder for og giver anbefalinger til en organisations arbejde med cybersikkerhed. Respondenternes svar på spørgsmålene indikerer, hvor robuste de er på cybersikkerhedsområdet på baggrund af, hvor formaliseret, konsistent og risikobaseret deres tilgang til området er.

Spørgeskemaets områder og deres formål

Undersøgelsen indikerer en moden finansiel sektor med forbedrings­muligheder

Nationalbankens behandling af data fra undersøgelsen om cyberrobusthed i den finansielle sektor indikerer en forbedring af modenheden, men med variationer på tværs af besvarelser og områder. Der er fundet forhold om cybersikkerhed, der indikerer mulighed for forbedringer for flere af respondenterne inden for kategorierne ”identify”, ”protect”, ”detect”, ”respond” og ”recover”, jf. boks 1. Nogle af disse forbedringsmuligheder bliver nærmere beskrevet nedenfor.

Hos nogle respondenter skal bestyrelse og direktion fokusere endnu mere på cybersikkerhed

Det er vigtigt, at virksomhedens øverste ledelse, dvs. bestyrelse og direktion, engagerer sig og påtager sig ansvaret for arbejdet med cybersikkerhed. Det er en forudsætning for, at en organisation har det rette fokus på betydningen af cyberrobusthed. Topledelsen skal naturligvis stille krav til ledere og medarbejdere på de relevante områder, så direktion og bestyrelse bliver klædt på til at tage oplyste og velovervejede beslutninger om cybersikkerhed på baggrund af et fyldestgørende risikobillede og til at tildele passende ressourcer til området.

En virksomheds bestyrelse og direktion bør have en strategi med faste rammer og målsætninger. Strategien bør desuden være håndgribelig, hvilket fx kan ske ved at topledelsen definerer overordnede målsætninger, som ledere og medarbejdere specificerer i mere konkrete projekter og aktiviteter. Efterfølgende godkender topledelsen projekter og aktiviteter og modtager rapportering herom som input til løbende opfølgning og drøftelse af cyberområdet.

Undersøgelsen af cyberrobustheden peger på, at ledelsesforankringen i den finansielle sektor er øget betydeligt, siden Nationalbanken gennemførte den første undersøgelse af cyberrobusthed i 2016, hvor næsten halvdelen af deltagerne i undersøgelsen endnu ikke havde en strategi for cybersikkerhed eller havde inddraget bestyrelsen heri, og det blev mange steder blot antaget, at bestyrelse og direktion forstod og var bevidste om deres roller og ansvar i forhold til cybersikkerheden.

Undersøgelserne af cyberrobusthed i den finansielle sektor indikerer, at respondenter fra organisationer, hvor ansvaret for cybersikkerhed er godt forankret hos direktion og bestyrelse, også har et højere modenhedsniveau i forhold til at beskytte sig imod cyberangreb og i forhold til at opdage og reagere på potentielle angreb.

Det er derfor betryggende, at den seneste undersøgelse indikerer, at ansvaret for cybersikkerhedsområdet på nuværende tidspunkt generelt er forankret i topledelsen, og at arbejdet med cybersikkerhed understøttes af faste rammer med politikker, procedurer og kontroller. Risici styres og rapporteres generelt til højt ledelsesniveau.

Der er dog fortsat forbedringsmuligheder hos nogle respondenter, bl.a. i forbindelse med forankring af ansvar på højeste ledelsesniveau. Flere respondenter har ikke specificeret, at det er bestyrelsen, som er ansvarlig for organisationens cybersikkerhed, eller sørget for, at lederen med ansvar for cybersikkerhed har direkte adgang til bestyrelsen. Hos nogle respondenter kan det også være relevant at overveje, om bestyrelsen og direktionens beslutningsgrundlag indeholder tilstrækkelig information om cybersikkerhed.

Stærk adgangsstyring af data og systemer kan styrkes yderligere hos nogle respondenter

Styring af identitet, rettigheder og adgange samt kontrol af disse udgør en grundlæggende og væsentlig del af beskyttelsen mod kriminelles mulighed for at bevæge sig rundt i en organisations systemer. Styringen af adgangskontroller er derfor væsentlig, herunder at rettigheder alene tildeles ud fra et arbejdsbetinget behov.

En systematisk – og gerne systemunderstøttet – kontrol af tildelte rettigheder, oprettelse og sletning af brugere, tildeling af rettigheder og brug af multifaktorautentifikation ved adgang til kritiske data øger sandsynligheden for at opdage og stoppe en ondsindet aktørs forsøg på at opnå uberettiget adgang.

Cyberundersøgelsen indikerer i lighed med tidligere undersøgelser, at respondenterne har det grundlæggende fundament på plads i forhold til tildeling og kontrol af brugerrettigheder. Brugere tildeles alene adgang ud fra et arbejdsbetinget behov, og for arbejdsområder, som er kritiske for forretningsførelsen, er der yderligere foranstaltninger, som skal sikre, at kriminelle har vanskeligere ved at opnå adgang til disse områder.

Flere respondenter kan øge robustheden yderligere, hvis der i endnu større omfang anvendes multifaktorgodkendelse. Desuden kan modenheden for enkelte respondenter øges ved at etablere klare procedurer for administration og sletning af brugere med tilhørende dokumentation.

Ekstra værn om centrale medarbejdere med særlige rettigheder kan øge robustheden

Medarbejdernes viden om og opmærksomhed på cybertrusler er en vigtig del af en virksomheds cybersikkerhed, som med fordel kan understøttes af træning og uddannelse i cybersikkerhed. For personer med kriminelle hensigter kan medarbejderne være en potentiel indgang til systemer og data, som de kriminelle jævnligt forsøger at udnytte via fx phishing og malware.

Centrale medarbejdere, der er tildelt særlige rettigheder og adgange, bør have en virksomheds særlige bevågenhed, da deres rettigheder og adgange kan være særligt attraktive mål for kriminelle. I lighed med tidligere undersøgelser viser denne undersøgelse, at der er plads til forbedring i forhold til understøttelsen af disse medarbejdere.

Cirka halvdelen af deltagerne i undersøgelsen fra 2022 vil kunne mindske risikoen for, at centrale medarbejdere udnyttes af kriminelle ved i højere grad at få identificeret dem og tilrettelægge relevant og målrettet efteruddannelse og cyber awareness-træning og ved at efterse behovet for andre tiltag målrettet centrale medarbejderes roller og funktioner. Derudover er det vigtigt at opdatere uddannelses- og awareness-programmer jævnligt, så de afspejler den nyeste viden og det nyeste trusselslandskab, og følge op på, at programmernes design giver den ønskede effekt på medarbejdernes adfærd.

Endvidere er der flere af undersøgelsens deltagere, der ikke har en plan for erstatning af centrale medarbejdere med særlige rettigheder, adgange og viden. En sådan plan vil mindske risikoen for, at virksomheden mister kritiske kompetencer og den dybe forståelse af virksomhedens kritiske funktioner og tilhørende risici, som centrale medarbejdere ligger inde med.

Overblik over kommunikationslinjer og data er udgangspunkt for beskyttelse af netværk og data

Beskyttelse af data besværliggør en ondsindet aktørs mulighed for at foretage kompromitterende handlinger. Undersøgelsen indikerer, at respondenterne i høj grad beskytter netværk og data.

For at kunne prioritere og foretage den rette beskyttelse er det vigtigt at have et overblik over sine kommunikationslinjer og data. Kortlægning af netværk er bl.a. grundlag for segregering af netværk2 og indførelse af kontroller som beskyttelse mod kriminelle eller insidere, der er inde bag de ydre forsvarsværker.

Undersøgelsen fra 2018 pegede på, at kortlægningen af kritiske forretningsområder for flere respondenter kunne forbedres ved at inddrage bagvedliggende informationsaktiver, systemsammenhænge og data i kortlægningsprocessen.3 Siden da har respondenterne fået et langt bedre overblik over disse forhold. Denne undersøgelse viser dog, at halvdelen af respondenterne kan udbygge kortlægningen af virksomhedens kommunikations- og datastrømme. Overblik over aktiviteten vil gøre det nemmere at prioritere, hvilken aktivitet der er vigtigst at beskytte. I tilfælde af et cyberangreb vil den kriminelle aktivitet hurtigere kunne afsløres, fordi denne aktivitet typisk vil afvige fra den normale trafik.

Brug af viden om aktuelle cybertrusler i ledelsens beslutningsgrundlag understøtter håndtering af trusler og sårbarheder

At overvåge og reagere på alarmer og hændelser på netværk er vigtigt i forhold til at afsløre og bekæmpe et cyberangreb. Man kan yderligere forbedre sine muligheder for at afværge angreb ved at inddrage viden om aktuelle cybertrusler (cyber threat intelligence). Cyber threat intelligence kan med fordel også anvendes af ledelsen – som en brik i det samlede risikobillede – når der skal tages beslutninger om cybersikkerhed på strategisk og taktisk niveau.

Deltagerne i undersøgelsen har siden sidste undersøgelse i 2020 forbedret evnen til at anvende viden om cybertrusler og sårbarheder, og tillige har næsten alle respondenter medarbejdere, som døgnet rundt kan håndtere cyberangreb. Samtidig foretages der i høj grad sårbarhedsscanninger på virksomhedernes systemer.

I lighed med tidligere undersøgelser peger undersøgelsen fra 2022 dog på, at en del af respondenterne kan øge robustheden ved i højere grad at anvende cyber threat intelligence som en del af grundlaget for ledelsesbeslutninger. Klare processer for brug af cyber threat intelligence i ledelsens beslutningsgrundlag vil kunne understøtte implementeringen af de rette tiltag i organisationen, når der opdages nye risici.

Bestyrelse og direktion har ansvar for konkrete planer for beredskab og genopretning af systemer og data

Velbeskrevne beredskabsplaner dedikeret til cyberhændelser, der er koordineret og testet med interne og eksterne interessenter, udgør det bedste grundlag for en effektiv håndtering af en alvorlig cyberhændelse. Det samme gør sig gældende for så vidt angår planer for genopretning af systemer og data, hvis hændelsen medfører behov for det.

Det er vigtigt, at planerne er klare og tydelige med klar ansvars- og rollefordeling. Kortlægning af forretningsfunktioner, den understøttende teknologi og tilhørende processer er en vigtig forudsætning for dette. I forlængelse heraf er det vigtigt, at der indgår en vurdering af forretningsfunktionernes kritikalitet, så det kan prioriteres, i hvilken rækkefølge og inden for hvilken forventet tidsramme, man skal kunne genoprette de mest kritiske systemer.

Undersøgelsen viser, at der er fokus på beredskabs- og genoprettelsesplanlægning hos respondenterne, og mange har iværksat tiltag for bedre at kunne håndtere konsekvenserne af alvorlige cyberangreb.

Siden 2020 er mange af respondenterne således kommet længere med planlægningen, der omfatter forhold vedrørende kommunikation, overblik over forretningsmæssige implikationer og it-beredskab til håndtering af hændelser samt en forudgående koordinering med alle relevante samarbejdspartnere. Respondenterne har øget test af beredskabsplanerne, hvor læringspunkter indarbejdes efterfølgende. Desuden har de enkelte respondenter fået større fokus på at forberede sig på en situation, hvor det er nødvendigt at genetablere virksomhedens systemer og data.

Undersøgelsen peger også på, at en del af respondenterne fortsat kan arbejde på at gøre planlægningen mere konkret og øge fokus på området med henblik på at være forberedt på et ekstremt scenarie, hvor systemer og data skal genoprettes. Samtidig har en del af respondenterne ikke placeret ansvaret for beredskabsplaner og planer for genetablering af systemer og data på direktions- eller bestyrelsesniveau, hvor ansvaret bør placeres, jf. ovenfor om ledelsesforankring.

Undersøgelsen benyttes af de enkelte respondenter og i det fælles sektorsamarbejde

Virksomhederne i den danske finansielle sektor er individuelt ansvarlige for at sikre, at de har et tilstrækkeligt højt niveau af cyberrobusthed, herunder at de lever op til kravene i gældende lovgivning og anerkendte standarder. De finansielle virksomheder arbejder løbende med at vedligeholde og øge operationel robusthed med særligt fokus på at styrke robustheden over for cyberangreb.

Derudover arbejder Nationalbanken sammen med kerneaktører i den finansielle sektor i Finansielt Sektorforum for Operationel Robusthed, FSOR, for at øge cyberrobustheden.

Nationalbankens undersøgelse af cyberrobustheden i den finansielle sektor benyttes både af de individuelle respondenter, og på sektorniveau indgår resultaterne i FSOR’s arbejde med cybersikkerhed.

Respondenterne har modtaget individuelle tilbagemeldinger, som indeholder dels anonymiserede benchmarks, dels respondentens eget svar inden for de emner, der er præsenteret i analysen. Respondenterne får derved input til potentielle forbedringspunkter. Undersøgelsen benyttes endvidere i FSOR’s risikoanalyse, der identificerer de største risici for sektoren, og er et udgangspunkt for FSOR’s arbejde. Risikoanalysen giver retning for FSOR’s arbejde med fælles tiltag, der øger cyberrobustheden i sektoren.

Undersøgelserne drøftes derudover med relevante respondenter i regi af Nationalbankens overvågning af de vigtigste betalings- og afviklingssystemer.

For yderligere information om Nationalbanken og FSOR’s arbejde med operationel robusthed og cyber se Nationalbankens hjemmeside (link).