Ausblick auf die neue Cyber- Risiko-Regulation der FINMA

Transkript

1 Ausblick auf die neue Cyber- Risiko-Regulation der FINMA mit Auswirkungen auf das Schweizer Cyber- Abwehrdispositiv? Juni 2016

2 Übersicht Aktuelle Cyber-Risiko-Situation Das Schweizer Cyber-Angriff-Abwehrdispositiv Die neue FINMA-Cyber-Risiko-Regulation Erwarteter Einfluss auf das Abwehrdispositiv im Finanzumfeld Erwarteter Einfluss auf das gesamtschweizerische Abwehrdispositiv Was kommt als nächstes? FINMA Cyber-Risiko-Regulation 2

3 Aktuelle Cyber-Risiko-Situation in der Schweiz (Quelle: ) FINMA Cyber-Risiko-Regulation 3

4 Aktuelle Cyber-Risiko-Situation (Quelle: ) Einzeladressangaben aus SVP-Datenbank kopiert; Hacker-Gruppe NSHC ist ev. auch an den DDoS-Attacken beteiligt gewesen FINMA Cyber-Risiko-Regulation 4

5 Aktuelle Cyber-Risiko-Situation (Quelle: ) FINMA Cyber-Risiko-Regulation 5

6 Aktuelle Cyber-Risiko-Situation FINMA Cyber-Risiko-Regulation 6

7 Aktuelle Cyber-Risiko-Situation FINMA Cyber-Risiko-Regulation 7

8 Das Schweizer Cyber-Angriff-Abwehrdispositiv MELANI - Melde- und Analysestelle Informationssicherung GovCERT - CERT-Team des Bundes KOBIK - Koord stelle zur Bekämpfung der Internetkriminalität NDB - Nachrichtendienst des Bundes ISB - Informatiksteuerungsorgan des Bundes Telematik- und Cyber-Kapazitäten der Armee Kantonspolizeien Stadtpolizeien Staatsanwaltschaften Privatrechtliche Organisationen Spezialisierte Cyber-Services-Anbieter Penetration-Tester & Ethical-Hacker Telematik- und Netzwerk-Spezialisten Cyber-Intelligence-Informationsanbieter IT-Security-Anbieter (diverse Themen) Informationssicherheitsanbieter (div. Th.) «Operational-Risk-Generalunternehmer» Ausbildungsinstitutionen (FH, Uni, etc.) «Big-4», u.a. Unternehmungen mit eigener Cyber-Expertise CERT & SIEM IT-Sicherheitsfunktionen Informationssicherheitsfunktionen, u.a. Medien Cyber-bezogene Interessengruppen Information Security Socienty Schweiz ISACA, u.a. Privatpersonen FINMA Cyber-Risiko-Regulation 8

9 Das Schweizer Cyber-Angriff-Abwehrdispositiv FINMA Cyber-Risiko-Regulation 9

10 Die neue FINMA-Cyber-Risiko-Regulation Source: [ ] FINMA Cyber-Risiko-Regulation 10

11 Die neue FINMA-Cyber-Risiko-Regulation Im Zuge der technologischen Entwicklung mit einer vermehrten Digitalisierung des Finanzgeschäfts sowie einer erhöhten Auslagerung von Prozessen und Dienstleistungen an Drittparteien haben sich die IT- und insbesondere die Cyber-Risiken in den letzten Jahren merklich erhöht. Der Austausch mit den Experten verdeutlicht das hohe Gefahrenpotential und die enormen Herausforderungen vor dem der Schweizer Finanzplatz steht. Die FINMA hat sich bereits eingehend mit dieser Thematik beschäftigt und verschiedene Massnahmen ergriffen, um den Umgang von Beaufsichtigten mit diesen Risiken beurteilen zu können 1. Aufgrund dessen und in Abstimmung mit den internationalen Bestrebungen erachtet die FINMA die Erweiterung des FINMA-RS 08/21 mit Grundsätzen für IT- und Cyber-Risiken als notwendig, um institutsübergreifend die Einhaltung von grundlegenden Prinzipien im Umgang mit diesen Risiken zu gewährleisten FINMA Cyber-Risiko-Regulation 11

12 Die neue FINMA-Cyber-Risiko-Regulation Achtung: Reputation muss berücksichtigt werden! FINMA Cyber-Risiko-Regulation 12

13 Die neue FINMA-Cyber-Risiko-Regulation 14 Technologieinfrastruktur bezeichnet den physischen und logischen (elektronischen) Aufbau von IT und Kommunikationssystemen, die einzelnen Hard- und Softwarekomponenten, die Daten und die Betriebsumgebung. 15 Bspw. Information Security Standards im COBIT-Rahmenwerk von ISACA. FINMA Cyber-Risiko-Regulation 13

14 Die neue FINMA-Cyber-Risiko-Regulation 16 Das Konzept zu den Cyberrisiken kann als Bestandteil des IT-Konzepts geführt werden. 17 Analyse zur Identifikation von derzeit bestehenden Software-Schwachstellen und Sicherheitslücken in der IT-Infrastruktur gegenüber Cyberattacken. 18 Gezielte Prüfung und das Ausnützen von Software-Schwachstellen und Sicherheitslücken in der Technologieinfrastruktur, um unberechtigten Zugang zu dieser Technologieinfrastruktur zu erhalten. FINMA Cyber-Risiko-Regulation 14

15 Die neue FINMA-Cyber-Risiko-Regulation Die Einhaltung der Anforderungen zum Schutz von Client Identifying Data (CID) werden vorausgesetzt! FINMA Cyber-Risiko-Regulation 15

16 Die neue FINMA-Cyber-Risiko-Regulation Source: FINMA circular 2016/01 «Offenlegung Banken» FINMA Cyber-Risiko-Regulation 16

17 Die neue FINMA-Cyber-Risiko-Regulation Source: FINMA circular 2016/01 «Offenlegung Banken» FINMA Cyber-Risiko-Regulation 17

18 Erwarteter Einfluss auf das Abwehrdispositiv im Finanzumfeld Die Harmonisierung der Abwehrdispositive zwischen den Banken wird Lücken schliessen und die Gesamtabwehr stärken Das Datenmanagement wird verbessert Datenkategorisierung und Datenklassifizierung Daten-Lifecycle Archivierung Löschung Das Konfigurationsmanagement wird verbessert Inventarisierung von IT-Assets Beziehungen zwischen den IT-Assets Einfluss und Einbezug von Drittparteien FINMA Cyber-Risiko-Regulation 18

19 Erwarteter Einfluss auf das gesamtschweizerische Abwehrdispositiv Die Harmonisierung von Abwehrdispositiven unterstützt die Arbeit zentraler Services, wie z.b. MELANI Der Standardisierungscharakter der FINMA-Cyber-Regulation kann auch auf andere Branchen übertragen werden Die Attraktivität der Schweiz als Angriffsziel wird (zumindest leicht) reduziert Die einschlägige Verantwortung von Verwaltungsrat und Geschäftsleitung könnte durch allfällige (auch internationale) Präzedenzfälle weiter konkretisiert werden FINMA Cyber-Risiko-Regulation 19

20 Was kommt als nächstes? Das Cyberrisiko «is here to stay» trotzdem: es werden nächste Wellen* kommen [* Handlungszwänge, Regulierung, Lösungsmöglichkeiten, Risikoschwerpunkte, etc.] Compliance in der Zusammenarbeit von Unternehmen bei gemeinsam erbrachten Kundenleistungen (entsprechende Regulation bereits in Erarbeitung: Erneuerung des FINMA-RS 2008/07) Sicherheit von Internet-Facing-Applikationen (siehe z.b. MAS, Singapur) Lifecycle von grossen Datenmengen und Lifecycle in der IT generell (inkl. von der FINMA bereits verlangte «Reduktion der Komplexität» Neue Formen der Abgrenzung von (Finanz-)Dienstleistungen und (-)Produkten Geschäftsentscheide mit dokumentiertem Technologieeinfluss FINMA Cyber-Risiko-Regulation 20

21 FINMA Cyber-Risiko-Regulation 21