«Den finansielle infrastrukturen i Norge er robust. Under koronapandemien og i forbindelse med krigen i Ukraina har de sentrale foretakene i den finansielle infrastrukturen vist at de har gode beredskapsplaner og kontroll på driftssituasjonen.»

Det skriver Finanstilsynet i sin siste rapport om sikkerheten i norske finansinstitusjoner, som kom for en uke siden.

Bare noen dager senere var det totalt kaos i norske butikker landet rundt. Mandag 16. mai sluttet plutselig betalingsterminaler over hele landet å virke. Det tok omtrent to timer å rette opp feilen som fikk systemet til å kollapse.

- Vi kan bekrefte at det skjedde en intern IT-feil, men har ikke mer å si om dette nå. Vi har dessverre ikke mulighet til å gå mer i detalj utover dette, sier Peter Glüsing, mediesjef i Nets Nordic, på spørsmål om hva som utløste hendelsen.

- Skadepotensialet er enormt

Nettavisen snakket med Glüsing onsdag formiddag. Tre timer senere er det igjen ustabilitet i systemene, denne gangen med nettbetaling:

«Vi har for tiden en hendelse med NetAxept som rammer online-transaksjoner. Dette kan skape forsinkelser for kunder som handler på nett. Det har vår høyeste prioritet å løse denne saken», skriver Nets på sine nettsider onsdag ettermiddag.

Kristian Gløsteen, NTNU-professor og ekspert på IT-sikkerhet, reagerer på at en internfeil kan få såpass store konsekvenser:

- Skadepotensialet er enormt, og det er bekymringsfullt at systemet ramler sammen av seg selv. Jeg mistenker at sikkerheten kan være lavere enn ønsket. For hvis det ramler sammen av seg selv, er det jo i hvert fall ikke utenkelig at noe annet kan få det til å ramle ordentlig sammen?

Hendelser som dette gir grunn til å tro at infrastrukturen er mer sårbar enn vi ønsker at den skal være, mener Gløsteen.

Les også: Tjeneste som skal sikre deg mot ID-tyveri var nede i over tre døgn: - Det er jo helt idiotisk!

- De kan tape en milliard før lunsj

Moderne it-systemer er ekstremt kompliserte, og dette gjør sikkerhet ekstra vanskelig, poengterer Gløsteen. Noe av forklaringen er hyppige endringer som må til bare for å få systemene til å fungere:

- Funksjonalitet er det vi vil at systemene skal gjøre. Sikkerhet er alt som må til for å hindre at de gjør det vi ikke vil de skal gjøre, sier Gløsteen, som har sittet i Regjeringens Digitale Sårbarhetsutvalg (Lysne-utvalget).

Ofte er IT-systemene gamle - de bygges på hele tiden og underveis skal det lite til før det oppstår sårbarheter, med mindre sikkerhet er topp-prioritert i alle utviklingsfasene, mener eksperten.

Ifølge Gløsteen er finanssystemene vant med angrep, men mest av den «trivielle» varianten som handler om inntrengingsforsøk - oppstår det et lite sikkerhetshull, kommer det slike angrep.

- De taper en milliard før lunsj hvis de kløner til risikoarbeidet.

- Angripere kan ødelegge en bank

Finanstilsynet har ansvar for å følge opp finansinstitusjonene, og den nevnte rapporten gir deres beskrivelse av nå-situasjonen.

Gløsteen er betenkt over hva som kan skje ved målrettede angrep mot infrastrukturen. Ukraina-krigen har ikke akkurat dempet risikoen for alvorlige cyber-angrep:

- Ett formål med angrep kan være å slå ut betalingsinfrastruktur. Blir den slått ut en ukes tid, har vi en utfordring. De kan ødelegge en bank! Det er helt tenkbart. Konsekvensene kan vare i ukesvis og være ødeleggende nok til at det det går skeis.

Bankene er robuste på innsiden, mener Gløsteen, men samtidig er det aldri helt tett, mener han:

- Noen kan glemme å installere en og annen patch (sikkerhetsoppdatering, red.anm), og da kommer det angrep, uten at det nødvendigvis rammer så alvorlig. Men også bankene har fantastiske fadeser, og informasjonslekkasjer. Banksystemer er aldri perfekte.

Les også: ID-tyveri kan ramme 3,3 millioner nordmenn: - Da hindrer du at noen låner penger i ditt navn

- Du er ikke flink bare fordi ingen gidder å angripe deg

Det kan være en fordel at organisasjonen som skal håndtere sikkerhetsspørsmål er stor og pengesterk, men viktigst at sikkerhet er forankret på toppledelse-nivå, mener Gløsteen. Det kan nemlig fort bli et pengesluk å sørge for god nok sikkerhet:

- Det er ekstremt viktig. Nå har vi hatt flere ransomware-hendelser - der man ødelegger et system og krever betaling for å rette opp feilene igjen. Sånt må man være forberedt på. Det blir som at man vet hva som skjer hvis huset holder på å brenne ned.

Et viktig poeng, ifølge Gløsteen, er at mange har holdt på i årevis med sikkerhet uten at det har vært noen hendelser. Det kan fort skape en illusjon om at alt er såre vel:

- Men du er ikke nødvendigvis flink med sikkerhet bare fordi ingen gidder å angripe deg!

Det er derfor vanskelig å evaluere hvor godt sikkerhetsarbeidet er, selv om også dette er krevende, og det eneste riktige er å få IT-sikkerhet høyt på i den vanlige beredskapsplanen, konkluderer NTNU-eksperten.

Les også: Mot massiv smell for nordmenn på sydenferie: – Kommer til å betale ganske mye

- Ingen garanti

- Vi kan aldri garantere at det ikke skjer feil, og vi arbeider alltid for å forbedre fokus på våre prosesser. Men vi kan ikke dele mer om hva som skjedd, gjentar Peter Glüsing i Nets.

Han avviser at ekstern hacking var i bildet denne gangen, men understreker samtidig at Nets har en tett dialog med «relevante myndigheter» om trusselbildet.

Men hvilke svakheter som forårsaker at alle betalingsterminaler lammes i så stor utstrekning får vi altså ikke vite noe mer om.

Finanstilsynet understreker overfor Nettavisen at de anser den norske finansielle infrastrukturen som robust, til tross for hendelser som den 16. mai:

- Foretakenes driftsstabilitet var i 2021 tilfredsstillende og bedre enn tidligere år. Foretakene arbeider kontinuerlig med å redusere sårbarheter for å sikre stabile driftsløsninger. Det vil likevel kunne oppstå operasjonelle feil knyttet til bruk av teknologi, slik vi nylig har erfart, sier seksjonssjef Olav Johannessen i seksjon for IT og betalingstjeneste i Finanstilsynet, i et skriftlig svar til Nettavisen via sin kommunikasjonsrådgiver.

Det er foretakene selv som har ansvar for at de tekniske løsningene fungerer tilfredsstillende og er stabile, enten de driftes av foretaket selv eller kjøpes av underleverandører, påpeker Johannessen. Kravene til driftsløsninger er nedfelt i IKT-forskriften, mens kortsystemer i tillegg har reserveløsninger.

Det er likevel nødvendig at foretakene ytterligere styrker arbeidet på IKT-området, mener Finanstilsynet.

- Betydelig trussel

- På hvilken måte har trusselbildet endret seg med Ukraina-krigen, og i hvilken grad mener Finanstilsynet at norske finansinstitusjoner er rustet mot eventuelle alvorlige cyber-angrep mot infrastrukturen?

- Trusselbildet er i endring også for finansiell sektor. Blant annet har det etter hvert blitt vanskelig å trekke grensen mellom trusler fra henholdsvis organiserte kriminelle og fremmed etterretning, og en rekke kriminelle miljøer selger tjenester til blant andre statlige aktører, sier Johannessen i Finanstilsynet, som viser til hva andre instanser har identifisert:

- Forsvarets etterretningstjeneste (E-tjenesten) og Politiets sikkerhetstjeneste (PST) har påpekt en betydelig trussel fra statlige aktører, blant annet gjennom etterretnings- og nettverksoperasjoner (digital kartlegging og sabotasje av kritisk infrastruktur), mens Nasjonal sikkerhetsmyndighet (NSM) blant annet peker på trusler knyttet til rekruttering av innsidere i foretakene.

I etterkant av oppstarten av krigen i Ukraina ble det ikke registrert noen økning i uønsket digital aktivitet mot norske foretak i finanssektoren, understreker Johannessen, som likevel påpeker at situasjonen er endret:.

- Risikoen vurderes likevel som forhøyet, særlig dersom konflikten eskalerer ytterligere eller varer ved.

Foruten foretakenes eget arbeid, viser han til et samarbeid i finansnæringen gjennom Nordic Financial CERT (NFCERT).

- Foretakene kan ikke hindre angrep, men de kan gjøre sine forsvarsverk så gode som mulig og ha planer og rutiner på plass for å håndtere eventuelle angrep. Foretakenes arbeid med IKT-sikkerhet følges også opp gjennom tilsyn. Nets, som er tjenesteleverandør til norske foretak, er under tilsynsmessig oppfølging av det danske Finanstilsynet, mens tjenesteleveranser i det norske markedet anses som utkontrakterte tjenester til norske foretak og blir fulgt opp av det norske Finanstilsynet, bemerker Finanstilsynet.