BEDRIFTSTEKNOLOGI

Stoler du på bankenes egne sikkerhetseksperter?

Nettbankens eksperter krangler om en nettbank er sikker eller ikke. Satser du kontoen på at den første har rett?

9. jan. 2001 - 06:00
digitoday.noPer Hansen
IT SikkerhetsforumPDI Consult AS
Gjensidige NORDatatilsynet


Partiske myndighetspersoner som motsies av uavhengige eksperter, er et mønster som går igjen i vårt samfunn. Det viser seg oftest at det er de uavhengige ekspertene som har rett. Det har NSB erfart gjennom alt for mange tragedier de siste årene. Forsvaret er i ferd med å gjøre den samme erfaringen i forhold til ammunisjon kledd med anriket uran. Teleoperatørene prøvde i det lengste å påstå at GSM-telefoner ikke kan avlyttes. De måtte som kjent krype til korset før jul.


Følgelig er det all grunn til å ta Per Hansen alvorlig når han fortsatt står på sitt, flere måneder etter at nettbankene øyensynlig har gått gjennom sine systemer enda en gang for å tette sikkerhetshull som offisielt aldri har eksistert. Han vet at det ikke er selve sikkerhetsmekanismene det kommer an på, men helheten i IT-systemet. Svake ledd kan smis overalt i kjeden, og i kraft av sitt kjennskap til det som foregår bak kulissene, vet Hansen hvor nære de kan være ved å briste.

Forestill deg hva som kan skje med en ekspert i datasikkerhet som blir svindlet etter å ha brukt en nettbank. Forsikringsselskapet stiller med solid juridisk ekspertise, og får et lett bytte. Er det ikke en avgrunn mellom påstått fagkompetanse innen datasikkerhet og bruk av nettbank? Burde ikke den påståtte eksperten vist bedre? Kan dette kalles annet enn uaktsomhet? Hansen risikerer ikke bare redusert erstatning. Han risikerer å bli stilt til latter og miste alle sine kunder.

De som driver nettbanker og andre elektroniske betalingssystemer må erkjenne at det finnes en faktisk risiko ved å bruke disse systemene, og de må klargjøre hva brukerne kan gjøre for å operere mest mulig risikofritt med sine elektroniske pengeoverføringer. Alle vet at det er større risiko for å bli ranet når du bruker minibanken på Egertorget i Oslo klokka tre om natta, enn ved dagtid. Ifølge Hansen er det tilsvarende større risiko for å bli ranet hvis koplingen din til nettbanken går over DSL eller kabelmodem i et borettslag, enn over vanlig analogt modem på den private linjen. Slike fakta bør ikke forbeholdes lesere av Internett-basert fagpresse.

Internett er et svært sammensatt miljø. Eksperimenter med ubeskyttede PC-er som overvåkes i det stille, viser at det tar bare noen få timer før de utsettes for systematiske kapringsforsøk av folk som trenger datakapasitet til et eller annet formål, men som ikke vil gå åpent ut med sine ønsker. Eksperimenter med digitale "honningkrukker" - servere med tiltrekkende tjenester og stille overvåking - har vist hvordan den faglige kompetansen rager over den etiske bevisstheten i visse miljøer.


Det er følgelig ganske sannsynlig at elektroniske betalingstjenester - både til forbrukere og til bedrifter - overvåkes og utprøves systematisk av kriminelle miljøer for å teste dem for eventuelle svakheter, nettopp for å kartlegge tilfeller av "slurvete programmering, dårlig kvalitetssikring og feil i oppsettet av maskinene" som fortsatt må antas å finnes i nettbankene.

Ingen forlanger at nettbankene skal forklare i detalj om sine sikkerhetsopplegg. Men så lenge påstandene om at nettbankene er "sikre nok" forblir ukvalifiserte og oppfattes som kontroversielle eller usanne i det uavhengige datasikkerhetsmiljøet, kan det ikke ventes annet enn at tilliten fra brukerne vil svikte.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra