Foreslår 18 tiltak for å hindre digital betalingskrise
Det norske betalingssystemet kan svikte fullstendig hvis tilgang på strøm, telekommunikasjon, IT-systemer og internett slås ut. En arbeidsgruppe foreslår 18 tiltak for å forebygge risiko og begrense skadene.
Norge har et av verdens mest effektive betalingssystemer, men en ny rapport advarer om teknologiske sårbarheter som kan lamme pengestrømmen i en krise. En arbeidsgruppe nedsatt av Finansdepartementet har kartlagt det norske betalingssystemet, identifisert svakheter og foreslått en pakke med tiltak for å sikre at betalinger fortsatt kan gjennomføres selv under ekstreme forhold.
Bakgrunn: Hvorfor en egen arbeidsgruppe?
De siste årene har det geopolitiske trusselbildet skjerpet seg, noe som også øker risikoen for angrep og svikt i bank- og betalingssystemer. Totalberedskapskommisjonen har påpekt behovet for å planlegge for selv sjeldne krisescenarier hvor elektronisk infrastruktur ligger nede.
Myndighetene ønsker å være forberedt på det utenkelige: langvarige strømbrudd, cyberangrep eller sabotasje som kan slå ut sentrale betalingsfunksjoner. «Det er behov for å undersøke hvor godt beredskapen i betalingssystemet er tilpasset også svært alvorlige krisescenarier», heter det i rapporten.
Annonse
Arbeidsgruppen samlet kjerneaktører fra både myndigheter og bransje. Gruppen besto av medlemmer fra Norges Bank, Finansdepartementet, Finanstilsynet, Bits og BankID BankAxept.
Det norske betalingssystemet i korte trekk
Nesten alle kjøp og oppgjør skjer elektronisk, noe som gir høy effektivitet og brukervennlighet for både bedrifter og forbrukere. Banknæringen i Norge har lang tradisjon for å samarbeide om felles betalingsløsninger – et samspill som har resultert i et system de fleste stoler på og opplever som velfungerende.
En vanlig betalingstransaksjon i Norge involverer flere ledd: For eksempel ved kortbetaling må kundens bank (utsteder) og butikkens bank (innløser) utveksle informasjon via kortnettverk som BankAxept (Norges nasjonale kortsystem) eller internasjonale aktører (Visa/Mastercard).
BankAxept står for brorparten av korttransaksjonene innenlands og har allerede en innebygd reserveløsning: Dersom betalingsterminalen mister kontakten med bakgrunnssystemene, kan den likevel godkjenne et begrenset antall kjøp off-line. I tillegg håndteres kontooverføringer gjennom Nets/Bits sitt system for avregning og oppgjør mellom bankene, med oppgjør til slutt i Norges Bank. Identifikasjon og autorisasjon skjer i stor grad via BankID, som de fleste nordmenn bruker for å logge inn i nettbank og bekrefte betalinger.
Samtidig innebærer den høye digitaliseringen at betalingssystemet er sårbart for svikt i den digitale infrastrukturen. Med andre ord, stabil tilgang på strøm, telekommunikasjon, IT-systemer og internett er en forutsetning for at vi får betalt regninger og varer i det daglige. Avhengigheten mellom de nevnte aktørene betyr at feil i én kritisk komponent kan få ringvirkninger i hele betalingskjeden.
Annonse
Avdekkede teknologiske sårbarheter
Arbeidsgruppen identifiserte 14 tenkelige krisescenarioer som kan ramme betalingsformidlingen i Norge. Hvert scenario representerer et ekstremtilfelle der både primærsystemer og dagens reserveløsninger svikter samtidig.
«Sannsynligheten for at slike scenarier skal utspille seg, er lav. Den bør likevel ikke neglisjeres, da konsekvensene kan bli svært alvorlige», advarer rapporten.
Blant de sårbarhetene som pekes ut, er avhengigheten av strøm og telekommunikasjon aller mest kritisk. Et landsdekkende strømbrudd eller lengre nedetid i telenettet vil i praksis lamme elektroniske betalinger fullstendig.
En annen svakhet er sentrale IT-komponenter uten tilstrekkelig backup. Et koordinert cyberangrep mot en stor bank eller mot sentrale systemer (for eksempel kortsystemets autoriseringsservere eller BankIDs tjenester) kan gjøre det umulig for kunder å betale eller få tilgang til kontoene sine.
«Arbeidsgruppen mener at bankene bør ha alternativer til BankID for innlogging til nett/mobilbank og for autentisering i forbindelse med betalinger», heter det.
Annonse
Tiltak: Slik vil de styrke betalingsberedskapen
Arbeidsgruppen vurderte hele 51 mulige tiltak, før de endte opp med 18 anbefalinger for å styrke robustheten i betalingsinfrastrukturen. Flere (men ikke alle) nevnes i rapporten.
Tiltakene som foreslås, har et klart mål: å unngå at betalingssirkulasjonen stopper opp selv i et «worst case» scenario. De legger vekt på å bygge videre på og forbedre eksisterende løsninger fremfor å lage helt nye systemer. Blant forslagene er:
Lengre varighet for kortbetaling uten nett: BankAxepts reserveløsning (off-line bruk av bankkort) bør kunne fungere i inntil fire uker, mot én uke i dag.
Bedre backup for bankenes data og tjenester: Arbeidsgruppen foreslår daglig overføring av kundedata til et uavhengig datalager hos en sentral aktør.
Etablering av en uavhengig beredskapsplattform for bankenes kritiske tjenester, slik at viktige bankfunksjoner kan gjenopprettes på et eksternt system hvis bankenes egne systemer bryter sammen.
Forbedring av stand-in-løsninger (STIP) i kortsystemet: Arbeidsgruppen vil oppgradere STIP-tjenestene i BankAxept, slik at enda flere kortkjøp kan gjennomføres når vanlige forbindelser er nede.
Alternative innloggings- og betalingsløsninger: Det foreslås at bankene utvikler reservemuligheter for BankID.
Robust infrastruktur i krise: Myndighetene og bransjen bør sikre redundante kommunikasjonslinjer – for eksempel satellittbasert nødnett som backup dersom både primær- og sekundærfiberlinjer svikter.
Trygghetspunkter: Fysiske samlingspunkter i kommunene utstyrt med nødstrøm og nettilgang – der publikum kan få utført viktige banktjenester selv om husstandene skulle miste strøm og nettforbindelse.
