Avslører utrygge datasystemer

Ny doktorgrads-avhandling slår fast at det var sikkerhetshull i nettbankene.

Kriminelle datanettverk blir stadig mer profesjonelle og dyktige. Samtidig er sikkerheten i mange datasystemer for dårlig og gjør det enkelt å hente ut informasjon som kan misbrukes.

- Den største trusselen er ikke hackere på gutterommet som går inn i datasystemer for å imponere venner. Nå kommer truslene fra kriminelle nettverk som organiserer seg på en profesjonell og forretningsmessig måte. De stjeler og omsetter informasjon som kan brukes i forbindelse med ID-tyveri i stort omfang, sier Andrè. N. Klingsheim.

Selv har han påvist at det er lett å skaffe seg norske personnumre, og at det er mulig å bryte seg inn i norske nettbanker. Kunnskapen han har skaffet seg har resultert i en doktorgradsavhandling, og kommende uke disputerer han for PhD-graden ved Universitetet i Bergen (UiB).

Trygt i bank

Klingsheim har deltatt i professor Kjell Jørgen Holes forskningsgruppe, som har brutt seg inn i norske nettbanker og påvist for dårlig sikkerhet i datasystemene. Han har også hentet ut fødselsnumre både fra mobilselskaper og fra Posten.

- Vi konstaterte at det fantes sikkerhetshull i systemene. Det gjorde vi oppmerksom på, og det er blitt gjort endringer som gjør systemene tryggere, sier Klingsheim.

- Vil du si nettbank er trygt?

- Jeg bruker nettbank selv og er avslappet når det gjelder sikkerheten. Bankene velger selv hvilket sikkerhetsnivå de vil legge seg på og sier til kundene: Vi tar regningen hvis pengene forsvinner. Så lenge de tar regningen hvis noe skjer, blir dette en risikovurdering for bankene.

Nasjonal ID

Klingsheim er mer bekymret for sikkerheten i det systemet som blir valgt som nasjonal ID.

Myndighetene har lovet at alle skal få en form for elektronisk ID i løpet av neste år. Flere tilbydere kjemper om å bli leverandør av dette identifikasjonssystemet. BankID som brukes av bankene er en av dem.

Fare for misbruk

- Nasjonal ID skal kunne brukes ved all kontakt med offentlige organer og i andre sammenhenger. Du skal kunne hente ut opplysninger om deg selv fra ulike registre, levere selvangivelsen og få tilgang til medisinske opplysninger via nett.

- Faren for misbruk vil være mye større når én elektronisk ID velges for en rekke forskjellige løsninger. Bankene erstatter tapet hvis penger blir borte fra en konto. Men hvem skal en kreve erstatning fra, og hvordan beregner man erstatningen, hvis sensitive opplysninger kommer på avveie, spør Klingsheim. Han håper myndighetene tar seg god tid til å sørge for at sikkerhet og personvern er ivaretatt før systemet tas i bruk.

Analyserer sikkerhet

Klingsheims doktorgradsavhandling tar for seg de sikkerhetshull som ble avdekket i nettbankene. Han beskriver hvordan det var mulig å hente ut store mengder fødselsnumre fra mobiloperatører. Den tar også for seg sikkerheten knyttet til trådløse nettverk og bruk av mobiltelefon som informasjonskanal.

Når han har disputert for doktorgraden onsdag, legger han foreløpig den akademiske karrieren til side og blir daglig leder i et selskap han har startet sammen med andre eksperter på datasikkerhet med tilknytning til UiB.

- Selskapet NoWires Group tilbyr hjelp med risikoanalyse av datasystemer. Vi har spisskompetanse på å avdekke sikkerhetsrisikoer i systemers arkitektur/design, forklarer Klingsheim.

- Risikoanalyse er ikke en engangsoppgave, det må følges opp kontinuerlig. Sikkerhet må bygges inn fra bunnen av og gjennomsyre hele systemet. Risikoanalyser er derfor et viktig verktøy allerede når et system er under planlegging. (©NTB)

Til toppen