Cybersäkerheten i den finansiella sektorn behöver förbättras. Steg i rätt riktning har tagits men mer behövs. De finansiella företagen behöver stärka sin egen motståndskraft, den statliga styrningen måste förbättras och FI behöver delvis nya verktyg. Det sa Andreas Heed som är rättschef för området Betalningar i ett tal på torsdagen.
Datum: 2023-05-04
Talare: Andreas Heed
Möte: Nationell konferens om informations- och cybersäkerhet inom finanssektorn 2023
Digitalisering i den finansiella sektorn skapar stora möjligheter. Tillgången till finansiella tjänster ökar och betalningar går snabbare och smidigare. Samtidigt leder digitaliseringen till ökade risker för både företagen och samhället i stort.
I dag är nästan alla tjänster inom den finansiella sektorn digitala. Samtidigt är många tjänster samhällskritiska och av stor betydelse för både privatpersoner och företag. Det gör den finansiella sektorn särskilt sårbar för såväl cyberangrepp som andra tekniska störningar, oavsett om de är avsiktliga eller inte. Om något går fel kan det snabbt sprida sig från ett till flera företag och i förlängningen påverka samhället som helhet. Detta beror på att finansiella företag är beroende av allmänhetens och andra finansiella företags förtroende. Dessutom är dessa företag sammanlänkade på olika sätt, vilket ökar risken för att problem som uppstår hos en aktör kan påverka andra aktörer i sektorn.
− I den finansiella sektorn kan ett företags problem lätt bli allas problem. Därför är det viktigt att alla, både företag och myndigheter, stärker sina förmågor att stå emot och hantera problem men också att stat och näringsliv samarbetar effektivt. Det ligger i allas intresse sa Andreas Heed.
I dag utsätts både finansiella företag och myndigheter nästan dagligen för intrångsförsök och olika typer av cyberattacker. Med Rysslands invasion av Ukraina har det säkerhetspolitiska läget försämrats och risken för att svenska intressen utsätts för angrepp är i dag större än på länge. Att öka både enskilda företags och hela samhällets motståndskraft mot cyberangrepp är därför av högsta vikt. I talet lyfte Andreas Heed fram tre områden där det krävs förbättringar.
Alla företag kan öka motståndskraften mot angrepp. Men FI vill särskilt lyfta vikten att löpande jobba med sina kontinuitetsplaner. Eftersom hoten och omvärlden förändras snabbt är det viktigt att företagen alltid har uppdaterade processer för hur de hanterar incidenter. Det är också viktigt att företag har väldimensionerade skydd mot olika typer av attacker och har ordentlig koll på sina underleverantörer av it-system och drift.
Styrningen och prioriteringen av statens resurser och kompetens att motverka cyberangrepp är bristfällig i dag. FI har därför sen tidigare föreslagit att Statsrådsberedningen inrättar ett särskilt cybersäkerhetsråd med ansvar för styrning av cybersäkerheten i landet. Dessutom behövs det ett forum för att kunna samordna både privata och offentliga aktörer vid en pågående operativ kris. Samtidigt måste det nationella cybersäkerhetscentret (NCSC) få en tydligare roll och mandat och privata e-legitimationer, såsom Bank-ID, stå under full tillsyn.
Att regeringen aviserat att Försvarets radioanstalt (FRA) ska få en ledande ställning i NCSC och att regeringens säkerhetsråd får uttalat ansvar för styrningen av cybersäkerheten är två steg i rätt riktning.
Eftersom riskerna med att lägga ut it-drift på underleverantörer är stora bör FI få utökade befogenheter när det gäller utkontraktering av ett finansiellt företags kritiska it-verksamhet. Som sektorsansvarig myndighet saknar vi också möjligheter att kräva beredskapsinsatser hos företag som ingår i vårt sektorsansvar. Det bör ses över framåt.