Cyberangrepp, tillgänglighet, kontinuitets- och riskhantering, kapitalbehov och ledningsfrågor. Centrala begrepp som i korthet kan användas för att beskriva rapporten. Riksbanken menar att Sveriges finansiella infrastruktur överlag fungerar väl1. Det finns dock risker och sårbarheter som kan leda till störningar och riskerna utgörs huvudsakligen av cyberangrepp och Värdepapperscentralen-systemet (VPC).

52772616_52335e7c83Utan någon närmre precision anser Riksbanken att cyberangrepp utgör ett allvarligt hot mot den finansiella infrastrukturen. Den huvudsakliga oron verkar kretsa kring tillgänglighet och outsourcad IT. Kort och gott så är finansiella system måltavlor och kan angripas i cyberområdet.

Euroclear Sweden (tidigare VPC, Värdepapperscentralen) använder föråldrade system vilket Riksbanken väljer att benämna VPC-systemet. Detta ökar den operativa risken i det finansiella systemet. Exakt varför detta anses vara ett hot, utöver åldern på systemet framgår inte. Efter påpekande av CJ (se kommentar) framgår det tämligen tydligt att systemet lider av ganska många klassiska åldersrelaterade sjukdomar. Monolitisk konstruktion, ackumulerad komplexitet, äldre programmeringsspråk etc.

Kontinuitetshanteringen för finansiella infrastrukturföretag behöver fortsätta utvecklas och planer införas för återhämtning och ordnad nedläggning. Det handlar om kapitalbehov vid längre nedläggningar, och rutiner för återställning. Ställer mig något frågande följande (Riksbanken, 2017:12):

För att hantera rent operativa problem har de svenska systemen bland annat kontinuitetsplaner och reservanläggningar samt genomför kontinuitetsövningar.

Det kanske uppfattas som hårklyverier, men kontinuitetsplaner och kontinuitetsövningar ingår väl ändå inte i det operativa riskperspektivet, eller? Jag uppfattar inte detta som en del av daglig verksamhet och tillhörande planering.

Screen Shot 2017-06-08 at 09.39.56Rapporten beskriver vidare hur säkerheten i SWIFT förbättras genom “[…] bland annat ökade krav på deltagarnas säkerhetsåtgärder, utökade kontroller av regelefterlevnad samt krav på ökad informationsdelning vid misstänkta angrepp.” Det senare, kring informationsdelning, är intressant ur perspektivet cyber-underrättelser.

I fördjupningsavsnittet framhåller Riksbanken att styrelsen har ett ansvar för verksamheten och att detta även inkluderar riskhanteringen. Återigen osäker på om detta verkligen är något man behöver lyfta fram? Men eftersom Riksbanken väljer att lyfta fram detta i fördjupningsavsnittet bör jag kanske tolka det som att ja, det är nödvändigt.

Kan det vara så att det saknas tydliga incitament för företagens styrelser att ta dessa risker på allvar?

Rekommendationer

Utifrån Riksbankens rapport är det egentligen ganska svårt att agera. Det är breda penseldrag som gäller och ger endast en begränsad inriktning på arbetet för de finansiella infrastrukturföretagen. Det blir ännu svårare att avgöra, utifrån rapportens inriktning, när vi eventuellt nått framgång och uppnått målsättningarna.

Ungefär så här uppfattar jag Riksbankens rapport:

Ni ska kunna hantera cyberangrepp, ni ska kunna återställa infrastruktursystemen, ni behöver ha tillräckligt med kapital och ni behöver säkerställa en adekvat riskhantering.

Det jag hade önskat från en sådan här rapport är en avsevärt tydligare inriktning där Riksbanken aktivt väljer att prioritera något område särskilt och genom det också prioriterar ned andra. Exempelvis kanske det är någon särskild typ av cyberangrepp som Riksbanken anser att finansiella infrastrukturföretag behöver kunna skydda sig mot?

Detsamma gäller övriga “åtgärdsområden”. Önskelistor där mer eller mindre allting ingår är sällan något som går att agera utifrån och rationellt hantera. Det blir en slags åtgärdsutmattning där allt och inget är prioriterat. Våga fatta inriktningsbeslut som innebär konsekvenser för ett eller flera områden och genom det uppnå en istället tydlig inriktning för ett fåtal, prioriterade åtgärdsområden.

Referenser

 

  1. Riksbanken, 2017, Rapporten Finansiell infrastruktur, [Online: https://www.riksbank.se/Documents/Rapporter/Fin_infra/2017/rap_finansiell_infrastruktur_170607_sve.pdf], Hämtad: 2017-06-08

2 KOMMENTARER

  1. “Exakt varför detta anses vara ett hot, utöver åldern på systemet framgår inte.”

    De skriver om det på sidan 10.

    “Riskerna beror bland annat på VPC-systemets komplexa konstruktion. Systemet är inte uppbyggt av moduler, som moderna system ofta är, tvärtom finns det en hög grad av sammanlänkningar och beroenden i systemet. Detta innebär att det är svårt att överblicka vad konsekvensen blir när man gör förändringar i systemet och det finns en större risk att förändringarna får oavsiktliga effekter i systemet. En annan risk består i att programmeringsspråket som VPC-systemet är kodat i är gammalt och knappt används längre. Det finns därför begränsad tillgång till programmerare med den kompetens som behövs för VPC-systemet. Riksbanken har tidigare även pekat på
    att det blir allt svårare ju längre tiden går att anpassa VPC-systemet till de förändringskrav som följer av nya lagar och andra förändringar på värdepappersmarknaden.”

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here