Artikel top billede

"Man har lagt mange æg i samme kurv. Vi viser, at det kan være en koncentrations-risiko," siger Frank Robert Berg, chef for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

Norge tvinger redegørelser frem

Havde det store IBM-nedbrud 9. april påvirket norske banker, ville vi formentlig vide meget mere om nedbruddet. I Norge skal rapporter om it-nedbrud i den finansielle sektor nemlig offentliggøres.

IT-kæmpen IBM har nu i seks uger haft held til at mørklægge detaljerne i det massive nedbrud som ramte blandt andet den internationale it-koncerns finanskunder 9. april i år.

Men hvis følgerne af nedbruddet havde haft indflydelse på norske pengeinstitutter, havde offentligheden formentlig kendt til langt flere detaljer omkring det massive nedbrud, som ud over Danske Bank også ramte storkunder som Carlsberg, DSV og Arla.

Den norske lovgivning pålægger nemlig nabolandets pendant til Finanstilsynet at offentliggøre årsager og redegørelser af større it-nedbrud i finansbranchen af hensyn til gennemsigtigheden, fordi princippet om gennemsigtighed i sig selv har en præventiv og positiv virkning.

Det fortæller Frank Robert Berg, der er chef for sektionen for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.

“Kredittilsynet har en offentlig oplysningspligt. Alle endelige rapporter er faktisk offentlige,” siger Frank Robert Berg.

Pligten til offentliggørelse bunder i den norske offentlighedslov. Hensigten med loven er, at myndigheder ikke skal hemmeligholde ting, der ikke behøver hemmeligholdes. Og det at undtage information fra offentligheden må begrundes i loven, fortæller sektionschefen.

I Danmark er situationen den modsatte. Her må Finanstilsynet ikke offentliggøre rapporter og redegørelser om it-nedbrud af konkurrencemæssige hensyn.
Men i Norge har man altså valgt fuld indsigt i redegørelserne. Og det sker selvom sandheden både kan gøre ondt på den ramte virksomhed og have store økonomiske konsekvenser i form af kursudsving og store skader på renommeet hos den berørte virksomhed.

Norsk forvaltningslov

“Hvis der ikke foreligger en saglig begrundelse for at undtage information fra offentligheden, er det at aktiekursen kan påvirkes ikke i sig selv en begrundelse,” siger Frank Robert Berg.

Det er den norske forvaltningslov, som pålægger Kredittilsynet og andre offentlige institutioner en hvis grad af offentlighed. I særlige tilfælde kan Kredittilsynet alligevel tilbageholde oplysninger, eksempelvis af hensyn til beskyttelse af persondata, eller særligt følsomme konkurrenceforhold. Men så skal årsagen begrundes i henhold til særlige lovregler, fortæller Frank Robert Berg.

Samtidig indførte Norge i november sidste år et rapporteringssystem, som pålægger banker og pengeinstitutter at rapportere alle hændelser ved it-nedbrud til kredittilsynet.

Bekymret for afhængighed

Selv om Norges finanssektor ikke blev direkte ramt af det massive nedbrud 9. april bekymrer hændelsen alligevel det norske Kredittilsyn. Problemet er, at den Norske finansbranche efterhånden er temmelig afhængig af IBM, der driver stadigt flere nordiske bankers it-systemer, fortæller Frank Robert Berg.

I myndighedens nyeste Risiko- og sårbarhedsanalyse peger Kredittilsynet på IBM’s drift af en lang række nordiske banker, som kan repræsentere en koncentrationsrisiko.

“Nu har man lagt mange æg i den samme kurv. Og vi viser, at det kan være en koncentrationsrisiko,” siger Frank Robert Berg.

I øjeblikket står IBM eksempelvis bag driften af Nordea Bank Norge samt Danske Banks datterselskab Fokus Bank i Norge. Desuden drifter IBM gennem danske SDC (Skandinavisk Data Center) de norske Terra banker, som består af mange mindre sparekasser.

Ifølge Frank Robert Berg har stort set alle pengeinstitutter i praksis outsourcet driften af deres it-systemer til eksterne firmaer, og den virkelighed må Kredittilsynet som kontrolinstans navigere i.

Ingen hjemmel i Danmark

Derfor kan Kredittilsynet i modsætning til det danske Finanstilsyn gå direkte til leverandører for at kontrollere sikkerheden. Den mulighed sikres gennem kredittilsynets IKT-forskrift, der gælder for hele finanssektoren. Den pålægger eksempelvis bankerne at sikre Kredittilsynet mulighed for at inspicere leverandøren i kontrakterne, hvis de outsourcer driften. Dette gælder også for IBM.

I Danmark har Finanstilsynet ikke hjemmel til direkte at tage kontakt til leverandøren. Men hvis banken har outsourcet driften, kan Finanstilsynet i stedet for at kontrollere sikkerheden hos leverandøren tage kontakt til kunden.

“Banken er pålagt at regulere aftalen med leverandøren, så Kredittilsynet har ret til at inspicere leverandørens leverancer til banken,” siger Frank Robert Berg.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere