Cyberangrepp, tillgänglighet, kontinuitets- och riskhantering, kapitalbehov och ledningsfrågor. Centrala begrepp som i korthet kan användas för att beskriva rapporten. Riksbanken menar att Sveriges finansiella infrastruktur överlag fungerar väl1. Det finns dock risker och sårbarheter som kan leda till störningar och riskerna utgörs huvudsakligen av cyberangrepp och Värdepapperscentralen-systemet (VPC).
Utan någon närmre precision anser Riksbanken att cyberangrepp utgör ett allvarligt hot mot den finansiella infrastrukturen. Den huvudsakliga oron verkar kretsa kring tillgänglighet och outsourcad IT. Kort och gott så är finansiella system måltavlor och kan angripas i cyberområdet.
Euroclear Sweden (tidigare VPC, Värdepapperscentralen) använder föråldrade system vilket Riksbanken väljer att benämna VPC-systemet. Detta ökar den operativa risken i det finansiella systemet. Exakt varför detta anses vara ett hot, utöver åldern på systemet framgår inte. Efter påpekande av Carl-Johan Bostorp framgår det tämligen tydligt att systemet lider av ganska många klassiska åldersrelaterade sjukdomar. Monolitisk konstruktion, ackumulerad komplexitet, äldre programmeringsspråk etc.
Kontinuitetshanteringen för finansiella infrastrukturföretag behöver fortsätta utvecklas och planer införas för återhämtning och ordnad nedläggning. Det handlar om kapitalbehov vid längre nedläggningar, och rutiner för återställning. Ställer mig något frågande följande (Riksbanken, 2017:12):
För att hantera rent operativa problem har de svenska systemen bland annat kontinuitetsplaner och reservanläggningar samt genomför kontinuitetsövningar.
Det kanske uppfattas som hårklyverier, men kontinuitetsplaner och kontinuitetsövningar ingår väl ändå inte i det operativa riskperspektivet, eller? Jag uppfattar inte detta som en del av daglig verksamhet och tillhörande planering.
Rapporten beskriver vidare hur säkerheten i SWIFT förbättras genom “[…] bland annat ökade krav på deltagarnas säkerhetsåtgärder, utökade kontroller av regelefterlevnad samt krav på ökad informationsdelning vid misstänkta angrepp.” Det senare, kring informationsdelning, är intressant ur perspektivet cyber-underrättelser.
I fördjupningsavsnittet framhåller Riksbanken att styrelsen har ett ansvar för verksamheten och att detta även inkluderar riskhanteringen. Återigen osäker på om detta verkligen är något man behöver lyfta fram? Men eftersom Riksbanken väljer att lyfta fram detta i fördjupningsavsnittet bör jag kanske tolka det som att ja, det är nödvändigt.
Kan det vara så att det saknas tydliga incitament för företagens styrelser att ta dessa risker på allvar?
Rekommendationer
Utifrån Riksbankens rapport är det egentligen ganska svårt att agera. Det är breda penseldrag som gäller och ger endast en begränsad inriktning på arbetet för de finansiella infrastrukturföretagen. Det blir ännu svårare att avgöra, utifrån rapportens inriktning, när vi eventuellt nått framgång och uppnått målsättningarna.
Ungefär så här uppfattar jag Riksbankens rapport:
Ni ska kunna hantera cyberangrepp, ni ska kunna återställa infrastruktursystemen, ni behöver ha tillräckligt med kapital och ni behöver säkerställa en adekvat riskhantering.
Det jag hade önskat från en sådan här rapport är en avsevärt tydligare inriktning där Riksbanken aktivt väljer att prioritera något område särskilt och genom det också prioriterar ned andra. Exempelvis kanske det är någon särskild typ av cyberangrepp som Riksbanken anser att finansiella infrastrukturföretag behöver kunna skydda sig mot?
Detsamma gäller övriga “åtgärdsområden”. Önskelistor där mer eller mindre allting ingår är sällan något som går att agera utifrån och rationellt hantera. Det blir en slags åtgärdsutmattning där allt och inget är prioriterat. Våga fatta inriktningsbeslut som innebär konsekvenser för ett eller flera områden och genom det uppnå en istället tydlig inriktning för ett fåtal, prioriterade åtgärdsområden.
Referenser
-
Riksbanken, 2017, Rapporten Finansiell infrastruktur, Online: https://www.riksbank.se/Documents/Rapporter/Fin_infra/2017/rap_finansiell_infrastruktur_170607_sve.pdf , Hämtad: 2017-06-08 ↩︎