Cyberattacker är en del av dagens krigsföring. Efter att Ryssland hade inlett sitt anfallskrig mot Ukraina i februari reagerade Finansinspektionen proaktivt till hotet om en försvagad cybersäkerhetsituation i nära samarbete med andra myndigheter. Därtill förbättrade Finansinspektionen sina egna förberedelser, fortsatte med inspektioner och temabedömningar i anknytning till cyberförberedelser och deltog i en övning som simulerade en cyberattacksituation.

Hanteringen av cyberrisker har varit ett av tyngdpunktsområdena i övervakningen av bankernas operativa risker under de senaste åren. Hanteringen av ICT- och informationssäkerhetsrisker i olika tillsynssektorer har kartlagts på omfattande sätt i temabedömningar redan innan kriget bröt ut.

Samarbetet mellan myndigheter och branschens aktörer intensifierade informationsförmedlingen

Mycket snabbt efter att kriget hade brutit ut samlades det en samarbetsgrupp av cyberexperter hos olika myndigheter. I gruppen, som fungerade under finansministeriets ledning, fanns också representanter för Cybersäkerhetscentret, Försörjningsberedskapscentralen, social- och hälsovårdsministeriet, Finlands Bank, Finansinspektionen och Verket för finansiell stabilitet. I samarbetsgruppen har delats information om cybersituationen och cyberattacker och skapats kanaler för kommunikationen om allvarliga hot.

Finansinspektionen deltar också i normalförhållanden i försörjningsberedskapsarbetet i finanssektorpoolen och i försäkringssektorpoolens arbetsgrupper, som är gemensamma för finanssektorns aktörer och myndigheter. Bedömningen av cyberhot och förberedelserna för dem är en viktig del av detta arbete.

Förberedelserna för störningar även i den egna verksamheten

Finansinspektionens egna kontinuitetsplaner uppdaterades att beakta det stramare geopolitiska läget och de ökade cyberriskerna. Arbetet fortsätter 2023. Därtill skapades det anvisningar för störningssituationer av olika slag, till exempel eventuella avbrott i elektriciteten och telekommunikationen. Finansinspektionens beredskapsplan kommer att uppdateras 2023.

Tillsynsobjektens hantering av ICT- och informationssäkerhetsrisker inspekterades

I början av mars uppmanade Finansinspektionen sina tillsynsobjekt att se till att både deras egna och deras outsourcingparters skydd mot cyberhot av olika slag var uppdaterade. Tillsynsobjekten uppmanades trygga den snabba upptäckten av informationssäkerhetsavvikelser som riktas till deras ICT-omgivningar och förmågan att omedelbart reagera till cyberhändelser eller -störningar.

Finansinspektionen gjorde inspektioner och temabedömningar om tillsynsobjektens hantering av ICT- och informationssäkerhetsrisker. Två inspektioner som inleddes 2022 fortsätter 2023 och avslutas under årets första kvartal. För värdepappersföretag gjordes en temabedömning om samma ämnesområde. Med inspektioner utreds det enskilda tillsynsobjektets situation i detalj. Med temabedömningar utreds å andra sidan situationen för en större grupp av tillsynsobjekt vanligen genom självbedömningar, och på basis av dem kan det vid behov vidtas andra tillsynsåtgärder, till exempel inspektioner.

Övningen TIETO22 testade samarbete vid cyberstörningar

Finansinspektionen deltog i den nationella TIETO22-övningen med cirka 120 organisationer. Fokus för övningen låg på cybersäkerheten inom finanssektorn. I den testades och övades samarbetets flexibilitet i en tänkt, omfattande cyberattack som skulle rikta sig till olika aktörer inom samhället och framför allt till bankvärlden.

Syftet är att trygga finanssektorns funktioner även i allvarliga störningssituationer

Finansinspektionen deltog i skapandet av ett försörjningsberedskapssystem såväl under lagpropositionens beredningsskede som när själva systemet byggdes upp. Kontosystem inom försörjningsberedskapen, som upprätthålls av Verket för finansiell stabilitet, består av en kontotjänst inom försörjningsberedskapen och en kortbetalningstjänst inom försörjningsberedskapen. Till reservarrangemangen för dagliga betalningar hör dessutom ett clearingsystem mellan banker, för vilket Finlands Bank svarar. Med systemen kan bankens bastjänster, till exempel att lyfta kontanter, betala med kort och göra kontogireringar, vid behov skötas i en allvarlig störningssituation. Kontosystemet inom försörjningsberedskapen kan tas i bruk genom statsrådets beslut i en situation där en bank till följd av en allvarlig störningssituation eller undantagsförhållanden inte kan använda sina system som behövs för de centrala betaltjänsterna.

När hotet för cyberattacker ökar, vill också EU stärka säkerheten av finanssektorns informationssystem. Politiskt enighet om EU-förordningen om digital resiliens (DORA) uppnåddes 2022, ja förordningen trädde i kraft i januari 2023. DORA bidra till att funktioner inom den europeiska finanssektorn kan upprätthållas även i allvarliga störningssituationer.