Finantsinspektsioon: makseasutused on sõltuvad majavälistest IT-teenusepakkujatest

Finantsinspektsioon kaardistas järelevalve all olevaid makseasutusi hinnates muu hulgas nende IKT-valdkonna riskide haldust. Ülevaatest järeldus, et makseasutustes on suhteliselt vähe enda IT-töötajaid ning suur on sõltuvus majavälistest IT-teenusepakkujatest.

Finantsinspektsiooni kaardistusest selgus, et makseasutuste enesehinnang oma organisatsiooni IT-võimekusele oli üldiselt kõrge. Finantsinspektsiooni esialgsel hinnangul on üheks võimalikuks riskiks IT laialdane edasiandmine ja vastavate teadmistega oma töötajate vähesus väiksemates makseasutustes. Samuti esines mitmel makseasutusel mõningaid puudujääke riskikontrollide rakendamises.

Finantsinspektsiooni juhatuse liikme Andres Kurgpõllu hinnangul on arvestades finantssektori tehnoloogia pidevat arengut ülioluline, et IT-riskid oleksid maandatud ning makseteenused toimuksid turvaliselt. "Finantsinspektsiooni kaardistusest joonistus välja makseasutuste suur sõltuvus välistest IT-teenusepakkujatest ning selleks, et võimalikke riske paremini maandada, võiksid need teenusepakkujad olla hoolikalt valitud ja teenusepakkujaga seotud riskid hästi maandatud," märkis Kurgpõld. Ta lisas, et kui siiski kasutatakse teenust piiratud ringilt teenusepakkujatelt, siis tuleb arvestada ka kontsentratsiooniriskiga.

Finantsinspektsioon kasutab kaardistust eelseisvate järelevalvetoimingute kavandamisel. Inspektsioon teeb järelevalvet riskipõhiselt ning kõik järelevalve teostamiseks vajalikud menetlused ei ole avalikud.
Finantsinspektsiooni kaardistus tugines MERAS § 63-5 lõikele 2, mille alusel hinnati makseasutuste operatsiooniriske, sealhulgas turvariske ning neile riskidele reageerimiseks rakendatavate turvameetmete ja kontrollimehhanismide piisavust.