Artikel top billede

"Man har lagt mange æg i samme kurv. Vi viser, at det kan være en koncentrations-risiko," siger Frank Robert Berg, chef for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

Norge tvinger redegørelser frem

Havde det store IBM-nedbrud 9. april påvirket norske banker, ville vi formentlig vide meget mere om nedbruddet. I Norge skal rapporter om it-nedbrud i den finansielle sektor nemlig offentliggøres.

IT-kæmpen IBM har nu i seks uger haft held til at mørklægge detaljerne i det massive nedbrud som ramte blandt andet den internationale it-koncerns finanskunder 9. april i år.

Men hvis følgerne af nedbruddet havde haft indflydelse på norske pengeinstitutter, havde offentligheden formentlig kendt til langt flere detaljer omkring det massive nedbrud, som ud over Danske Bank også ramte storkunder som Carlsberg, DSV og Arla.

Den norske lovgivning pålægger nemlig nabolandets pendant til Finanstilsynet at offentliggøre årsager og redegørelser af større it-nedbrud i finansbranchen af hensyn til gennemsigtigheden, fordi princippet om gennemsigtighed i sig selv har en præventiv og positiv virkning.

Det fortæller Frank Robert Berg, der er chef for sektionen for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

“Kredittilsynet har en offentlig oplysningspligt. Alle endelige rapporter er faktisk offentlige,” siger Frank Robert Berg.

Pligten til offentliggørelse bunder i den norske offentlighedslov. Hensigten med loven er, at myndigheder ikke skal hemmeligholde ting, der ikke behøver hemmeligholdes. Og det at undtage information fra offentligheden må begrundes i loven, fortæller sektionschefen.

I Danmark er situationen den modsatte. Her må Finanstilsynet ikke offentliggøre rapporter og redegørelser om it-nedbrud af konkurrencemæssige hensyn.
Men i Norge har man altså valgt fuld indsigt i redegørelserne. Og det sker selvom sandheden både kan gøre ondt på den ramte virksomhed og have store økonomiske konsekvenser i form af kursudsving og store skader på renommeet hos den berørte virksomhed.

Norsk forvaltningslov

“Hvis der ikke foreligger en saglig begrundelse for at undtage information fra offentligheden, er det at aktiekursen kan påvirkes ikke i sig selv en begrundelse,” siger Frank Robert Berg.

Det er den norske forvaltningslov, som pålægger Kredittilsynet og andre offentlige institutioner en hvis grad af offentlighed. I særlige tilfælde kan Kredittilsynet alligevel tilbageholde oplysninger, eksempelvis af hensyn til beskyttelse af persondata, eller særligt følsomme konkurrenceforhold. Men så skal årsagen begrundes i henhold til særlige lovregler, fortæller Frank Robert Berg.

Samtidig indførte Norge i november sidste år et rapporteringssystem, som pålægger banker og pengeinstitutter at rapportere alle hændelser ved it-nedbrud til kredittilsynet.

Bekymret for afhængighed

Selv om Norges finanssektor ikke blev direkte ramt af det massive nedbrud 9. april bekymrer hændelsen alligevel det norske Kredittilsyn. Problemet er, at den Norske finansbranche efterhånden er temmelig afhængig af IBM, der driver stadigt flere nordiske bankers it-systemer, fortæller Frank Robert Berg.

I myndighedens nyeste Risiko- og sårbarhedsanalyse peger Kredittilsynet på IBM’s drift af en lang række nordiske banker, som kan repræsentere en koncentrationsrisiko.

“Nu har man lagt mange æg i den samme kurv. Og vi viser, at det kan være en koncentrationsrisiko,” siger Frank Robert Berg.

I øjeblikket står IBM eksempelvis bag driften af Nordea Bank Norge samt Danske Banks datterselskab Fokus Bank i Norge. Desuden drifter IBM gennem danske SDC (Skandinavisk Data Center) de norske Terra banker, som består af mange mindre sparekasser.

Ifølge Frank Robert Berg har stort set alle pengeinstitutter i praksis outsourcet driften af deres it-systemer til eksterne firmaer, og den virkelighed må Kredittilsynet som kontrolinstans navigere i.

Ingen hjemmel i Danmark

Derfor kan Kredittilsynet i modsætning til det danske Finanstilsyn gå direkte til leverandører for at kontrollere sikkerheden. Den mulighed sikres gennem kredittilsynets IKT-forskrift, der gælder for hele finanssektoren. Den pålægger eksempelvis bankerne at sikre Kredittilsynet mulighed for at inspicere leverandøren i kontrakterne, hvis de outsourcer driften. Dette gælder også for IBM.

I Danmark har Finanstilsynet ikke hjemmel til direkte at tage kontakt til leverandøren. Men hvis banken har outsourcet driften, kan Finanstilsynet i stedet for at kontrollere sikkerheden hos leverandøren tage kontakt til kunden.

“Banken er pålagt at regulere aftalen med leverandøren, så Kredittilsynet har ret til at inspicere leverandørens leverancer til banken,” siger Frank Robert Berg.




IT-JOB

Cognizant Technology Solutions Denmark ApS

Test Manager

Cognizant Technology Solutions Denmark ApS

Azure Architect
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere