Kriser og kontinuitet i SpareBank 1

13.06.2014

Krisekonferansen 2014

Renate Thoreid, Continuity Manager

Innhold

• Trusselbilde

• Sentrale regelverk

• Roller og ansvar

• Aktiviteter

• Veien videre…..

Definisjon på en krise….

Det finnes mange slags kriser og nesten like mange definisjoner på hva en krise er. (Rapport fra 22. juli - kommisjonen NOU 2012: 14)

• Sårbarhetsutvalget definerte krise som en

– uønsket hendelse med potensial til å true viktige verdier og svekke en organisasjonsevne til å utføre viktige funksjoner.

• Direktoratet forsamfunnssikkerhet og beredskap (DSB) opererer med et utvidet krisebegrep som sier at

– en virksomhet er i krise når det oppstår en situasjon som truer eller kan true virksomhetens kjernevirksomhet og/eller troverdighet

• Med beredskap forstås tiltak for å forebygge, begrense eller håndtere kriser og andre uønskede hendelser

Rapport fra 22. juli - kommisjonen NOU 2012: 14• Ifølge en ledende internasjonal ekspert, professor R. Arjen Boin,

utgjør en krise

”en alvorlig trussel mot grunnleggende samfunnsstrukturer –eller mot sentrale verdier knyttet til sikkerhet, velferd, liv og helse – som krever en rask reaksjon under stor grad av usikkerhet.”

• Kriser kjennetegnes ved at de kommer uventet og utvikler seg raskt og uforutsigbart. Enhver krise har sitt eget unike forløp

• Felles for de fleste er likevel at det er mange aktører involvert, at aktørene opplever at viktige interesser står påspill, og at det haster med å få kontroll over situasjonen, samtidig som den regulære beslutningsprosessen ikke fungerer eller framstår som uhensiktsmessig

NOU 2006:6 Når sikkerhet er viktigst

• Et effektivt, robust og sikkerhet system for betalingsformidling

• En velfungerende og stabil finansiell infrastruktur

• Bankene og deres leverandører av elektronisk kommunikasjon -tjenester er sentrale aktører i betalingssystemet

• Betalingssystemet og den finansielle infrastrukturen utgjør en kritisk samfunnsfunksjon

Nasjonal strategi for informasjonssikkerhet

• Angir retning og prioriteringer for myndighetenes krav til informasjonssikkerhetsarbeid

• Flere regelverk pålegger virksomhetene å ha et styringssystem for informasjonssikkerhet

• Virksomheten må ivareta informasjonssikkerhet på en mer helhetlig og systematisk måte

• Hvordan?http://www.regjeringen.no/upload/FAD/Vedlegg/IKT-politikk/Nasjonal_strategi_infosikkerhet.pdf

Finanstilsynet

• Finanstilsynet foretar årlig en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT

• Rapportering av hendelser

• Årlig hendelsesseminar med relevante temaer knyttet til hendelseshåndtering

• Stedlige tilsyn

Risikoanalyse i forbindelse med korttrafikk Påsken 2013

Finanstilsynet

• Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)

– § 2 Planlegging og organisering

– § 3 Risikoanalyse

– § 5 Sikkerhet

– § 10 Krav til kontinuitet

– § 11 Driftsavbrudd og katastrofeberedskap

– opplæring, øvelse, test og dokumentasjon

• Tilsyn– Etterlevelse av IKT- forskriften

Eier- og selskapsstrukturen i SpareBank 1-alliansen

* Selskaper som er direkte eiet av de fleste

alliansepartnerne - med ulike eierandeler:

BN Bank*

Bank 1 Oslo Akershus*

SpareBank 1 Kredittkort*

SpareBank 1 Boligkreditt*

SpareBank 1 Markets*

SpareBank 1 Næringskreditt*

Alliansesamarbeidet

SpareBank 1 DA*

* Eiet av regionbankene, SamSpar, Bank 1 OA og SpareBank 1 Gruppen

Selskapet skal utvikle og levere felles

IT- og mobilløsninger, merkevare- og

markedsføringskonsepter,

forretningskonsepter, produkter og

tjenester, kompetanse, analyser,

prosesser, beste-praksis og innkjøp.

Kompetansesentre:

• Betaling/Trondheim,

• Kreditt/Stavanger Læring/Tromsø

EiendomsMegler 1 Norge

SpareBank 1 Kundesenter

SpareBank 1 Verdipapirservice

Eiere og alliansepartnere:

SamSpar

19,5 % 19,5 % 19,5 % 11 %19,5 % 9,6 % 1,4 %

SpareBank 1 Skadeforsikring

ODIN Forvaltning

SpareBank 1 Medlemskortforvaltning av LOfavør

SpareBank 1 Gruppen Finansfactoring og porteføljekjøp

SpareBank 1

Gruppen AS*

Conectoinkasso

* Felleseid konsern med heleide produktselskaper:

SpareBank 1 Forsikring

Styringsstruktur SB1 Alliansen

Alliansestyret

• KM Forsikring• KM Org Marked• Forsikring• ODIN Forvaltning• Conecto• SB1 Gruppen Finans • Markets

• Økonomi og Finans

• Juridisk• HR• Fellestjenester• Sikkerhet

• Innkjøp

MarkedTore Haarberg

ProduktselskaperT. Grotmoll / R. Selmar

ForretningsutviklingIren Rutle

Risikostyring & Compliance

Torbjørn Martinsen

SparingWalter

Jacobsen

BetalingEldar

Skjetne

FinansieringIren

Rutle

Adm. direktørKirsten Idebøen

VirksomhetsstyringJarle Haug

ITEivind Gjemdal

Kunderåd

KunderådKunderåd

• Kanaler• KM Kanaler• KS Læring• Markedsanalyse• SB1 Kundesenter• SB1G Kommunikasjon• KM

Markedskommunikasjon

• Strategi• SB1 Medlemskort• EM1 Norge

Kunderåd Kunderåd Kunderåd

• KM Sparing• SPU• SB1 Verdi-

papirservice

• KM Betaling• KS Betaling• SB1

Kredittkort

• KM Finansiering

• KS Kreditt-• modeller

IT-kriseledelse

Alliansestyret

Kriseledelse bank

Samhandlingsmodell IT-kriser

Allianseledelsen

IT-rådet

Strategisk nivå

Taktisk nivå

Operasjoneltnivå

Krisestab bank

IT-avdeling bankSystemansvarlig, drift, support, IRT, tekniske team

Origo

Figur 1: Samhandlingsmodell for håndtering av IT-kriser i SpareBank 1-alliansen

Samhandlingsmodell for IT-kriser

Kontinuitetsleder, Continuity Manager

Finanstilsynet

• Finanstilsynet rundskriv 20/2011 Økte krav til bankene i lys av driftsproblemene i påsken 2011

– 3.2 Kartlegging av kritiske komponenter

– 3.3 Samordnet beredskap

– økt verdikjedefokus i tillegg til systemfokus

Ernst & Young - Observasjoner vedr. kartlegging av rundskriv 20 fra Finanstilsynet

Ernst & Young - Observasjoner vedr. kartlegging av rundskriv 20 fra Finanstilsynet

Katastrofetester - oversikt

Sluttrapport - katastrofetest

Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)

§11 Driftsavbrudd og katastrofeberedskap

”skal det minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Resultatet av testen skal dokumenteres slik at det er mulig å kontrollere.”

Overordnet IT- kriseberedskapsplan for SpareBank 1-alliansen

En krise er en kritisk situasjon knyttet til SpareBank 1 som omfatter:

– Personskade/død/gisselsituasjoner

– Evakuering/relokalisering

– Sterk reduksjon eller kontrollsvikt i forretningsprosesser og/eller produksjon

– Omfattende materielle skader

– og som ikke kan håndteres i SpareBank 1s ordinære linjeorganisasjon

Standarder

• NS-ISO/IEC 27000 serien – IT-sikkerhet

• NS-ISO 22301:2012 Societal security - Business continuity management

• ISO/IEC 27031:2011 Information technology Security techniques.

– Guidelines for information and communication technologyreadiness for business continuity

ISO/IEC 27002 Code of practice for information security management• En katalog med forslag til sikringstiltak

Øvelse CyberDawn 2013

Bakgrunn

• SpareBank 1 delta sammen med flere aktører i beredskapsøvelse, CyberDawn 2013, 4. september 2013.

• ”Øvelse CyberDawn 2013” arrangeres av Telenor Norge

• Målet

– Håndtere kriser i et nasjonalt perspektiv

– Samøve med eksterne aktører

– Drille egen organisasjon

– Kompetansebygging

Øvelse CyberDawn 2013 – Hva skal øves?

• Beslutningsprosessene på ulike nivåer - både sentralt og lokalt

• Samhandlingen mellom bankene /selskapene og sentrale fagmiljøer i SB1

• Ekstern- og internkommunikasjonen - både sentralt og lokalt

• Den praktiske krisehåndteringen på ulike nivåer – både sentralt og lokalt

• Erfaringer fra IKT08

• http://www.youtube.com/watch?v=OW3pMscYPJ4&feature=youtu.be&desktop_uri=%2Fwatch%3Fv%3DOW3pMscYPJ4%26feature%3Dyoutu.be&app=desktop

04.09.2013

09:0004.09.2013

06:00

Spb1

DnB

Telenor

EVRY

NorCERT

CYFOR

04.09.2013

07:00

DDoS Alle IP’er

Malwareanalyse ferdig

SMS-utfallStort (fullt

utfall)

SMS-tjeneste faller ut 0725

04.09.2013

08:00

(Adgangskontroll utfall)

FIBERutfall

KRAFTutfall

EVRY IRT ringer TSOC vedr. DDoS

APT (DnB)

Phishing-epost

Corp-kunde kundekontakt kompromitter

t

Tn del-mitigerer

DDoS til <10 Gb/s

EVRYArbor for resten av angrepet

Overspenning pga. feil

tilkobl. av aggregat til

basest. / site

APT (DnB)Logg

+ Intell

Fra NorCERT: Svar fra

malvware-analyse

Nye APT søk proxy

E-post m/ pdf-exploit

0830

APT (DnB)

VDI ex filNorCERT

APT (DnB)

VDI dataip til DnB

APT (DnB)VDI

intell + e

Anmodning til NorCERT:

Ta ned botnet(DDoS)

CYFOR:Anmodning om bistand

med aggregater

Utfall basestasjoner

(utvalgte områder)

Meldinger og mediespill

Meldinger som spilles inn /dialog

– Spillstab spiller inn til aktørene: ”ØVELSE ØVELSE ØVELSE – Nedetid i nettbank – vi har satt teknisk personell til å undersøke årsak”

– IRT- teamet får beskjed fra Telenor om årsaker til nedetiden klokken 08:00

FRA TIL MELDING

Telenor SOC (TSOC) IRT-vakt ØVELSE – ØVELSE - ØVELSE: vi ser massivt DDoS-angrep mot deres nettverk. Dette omfatter en hoster på 193.212.175.0/28. Vi arbeider med å lage et filter for dette, men ser at mye trafikk kommer fra Norske IP-adresser. Foreløpig ser vi gjentagende nedlastinger av større filer innen adresseområdet, samt massenedlasting av BankID-klient(javakode). Et filter vil muligens skape problemer for legitime brukere også.

Øvelse CyberDawn 2013 Viktig lærdom – og forbedringspunkter

• Øvelsen har vist hvor viktig det er å være forberedt på å håndtere kriser. Det gjør oss bedre rustet til å håndtere uforutsette hendelser på en bedre måte, mener Eivind Gjemdal, leder av virksomhetsområde IT i Alliansesamarbeidet - og ansvarlig for informasjonssikkeret i SpareBank 1

• Vi fikk synliggjort hvordan samhandlingen og beslutningsprosessene i alliansen fungerte. Samtidig fikk vi et godt grunnlag for å justere vår samhandlingsmodell for håndtering av felles kriser

• Samhandling og koordinering med de andre sektorene og sentrale samfunnsinstitusjonene gav oss nyttige erfaringer

• Viktig å følge opp forbedringsområder

Sentrale aktiviteter

• Styringssystem for informasjonssikkerhet, ISMS

• Policy for krise og kontinuitet i SpareBank 1

• Øvelser

– Varslingsøvelser 2014

– Øvelse «Hurricane» 2014

– Øvelse «Pain» 2014

– Felles varslingssystem, CIM for SpareBank 1 alliansen

Sentrale aktiviteter forts.

• Driftsleverandører

– Nets, Evry og Basefarm

• Forum for krise og kontinuitet

– Nordea, DNB, Terra, SpareBank1, Evry mf.

Takk foroppmerksomheten!