KORTNYTT

Nettbanker nekter å oppgi sikkerhetssystem

8. juni 2006 - 11:39

(NTB): Forskere fra Universitetet i Bergen klarte ikke å finne ut om norske nettbanker er sikre nok. Bankene nekter å samarbeide med forskerne.

Forskningen, som ble gjort i 2003 og 2004, hadde som mål å finne ut om bankene hadde gode nok sikkerhetssystemer.

- Jeg kan ikke svare sikkert på om norske nettbanker er trygge eller ikke. Bankene nekter nemlig å fortelle oss noe om sikkerhetssystemene de bruker, sier informatikkprofessor Kjell Jørgen Hole til forskning.no.

Hovedfagsstudent Thomas Tjøstheim har simulert en rekke angrep på nettbankene, og han mener å kunne bryte seg inn i personers bankkonti når det kun er fødselsnummer og en firesifret kode som trengs.

- Heldigvis gjorde han ikke dette på ordentlig, det var et simulert angrep. Og vi vet derfor ikke heller om det hadde fungert i virkeligheten. Men ut fra den informasjonen som er tilgjengelig, hadde det gjort det, understreker Hole.

Bankene har opptrådt kjølig overfor forskerne når de ville presentere resultatene og de sikkerhetsmanglene de avdekket, og nekter for at simuleringen viser noen alvorlig risiko.

Sikkerhetsstrategien bankene bruker, kalles «security through obscurity» - sikring gjennom tilsløring. Det går ut på at du i størst mulig grad holder informasjon om dine styrker og svakheter hemmelig for fienden.

- Vi mener strategien er feilslått. I dag har vi teknologi som er god nok til at du kan være helt åpen om sikkerhetssystemet du har valgt, og det vil i praksis være umulig å bryte seg inn, sier Hole.

Resultatet av strategien er ifølge forskerne nedslående. De som sitter med mest kunnskap om sikkerhetssystemene, er forbryterne - som ikke trenger å forholde seg til hvilken informasjon som er lovlig tilgjengelig.

Forskerne er også bekymret for rettssikkerheten. Slik situasjonen er i dag, kan bankene lett skylde på at kunden ikke har oppbevart PIN-koden sin trygt nok, og dermed blir kunden ansvarlig. (NTB)

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.