Storm i vannglass

- Det har aldri vært noen fare ved Internett-banktransaksjonene, sier Sturle Lyberg i Bankenes Betalingssentral til digi:data i en kommentar til presse- og fjernsynsoppslag om skandale i Internettbanker.

Presse og fjernsyn har slått opp stort angående brudd på sikkerheten i forbindelse med Bankenes Betalingssentrals (BBS) bankløsning på Internett. Løsningen er utviklet av BBS i samarbeide med Telenor og brukes av Landsbanken, som kjørte igang sin Internettbanktjeneste 1. oktober, og Kredittkassen som kjører igang sin tjeneste 15. oktober.

- Saken har blitt blåst opp utover alle proposjoner, sier Sturle Lyberg, Informasjonsdirektør i Bankenes Betalingssentral. Saken dreier seg om to datastudenter som har fått tilgang på informasjon fra en logg for siste betaling som er utført gjennom vår løsning. Feilen er reell, men det har aldri vært fare for kompromittering av selve transaksjonen. Informasjonen som feilaktig har vært tilgjengelig, er mottakers navn, adresse, kontonummer og eventuelt kommentar fra avsender. Dette er uheldig og skal ikke skje, men det er mer et personvernproblem enn et sikkerhetsproblem, sier Lyberg.

- Registeret som lagrer deler av informasjonen fra siste transasksjon lå feilaktig tilgjengelig hos Telenor Online og ikke beskyttet hos BBS som det skulle, sier Kjell Kråkenes, produktansvarlig for Landsbankens Internett-banktjeneste. Studentene som tydeligvis har god kjennskap til HTML kode, brukte nettleseren til å se kildekoden på hjemmesiden, noe som er vanlig på Internett. Integriteten ved selve transaksjonene var aldri i fare. For å logge seg inn på løsningen trenger man brukernavn og passord. For å komme helt inn på kontonivå for å utføre transaksjoner, brukes digipass, en sekssiffret kodegenerator, hvis kode må tastes inn før man får gjort noe som helst, sier Kråkenes.

- Vår banktjeneste på Internett er minst like sikker som alle våre andre tjenester, sier Lyberg. Når vi hørte om problemet satte vi umiddelbart inn 10-12 personer for å fikse problemet. Innen Dagsrevyen var over var feilen rettet opp, og vi registrerte over 1000 brukere som forsøkte å gjenskape feilen uten at de lykkes.

Jeg synes det er svakt at BBS ikke har fått luket unna slike barnesykdommer ved sin løsning. Allikevel synes jeg det er viktig å nyansere når det gjelder det som har skjedd. Feilen som skjedde kan sammenlignes med at papirbekreftelsen på at noen har betalt meg via giro havner i naboens postkasse. Det er selvfølgelig meget uheldig, men jeg kan ikke si at jeg mister søvn på grunn av det. Hvis noen ønsker å sanke kontonummer og navn på er det bare å saumfare postkasser rundt omkring ved månedsskiftet når kontoutskrifter sendes ut. Å stjele folks post kan sammenlignes med å lage et program som stjeler informasjon ved å logge alle banktransaksjonene fra Internett, som er enkelt i henhold til det de to datastudentene sier til Dagens Næringsliv. Forskjellen på Internett er at det raskt lar seg gjøre å fikse slik at kontoinformasjonen ikke lenger er tilgjengelig, slik BBS også har gjort.

Fortsatt får jeg min kontoutskrift i postkassen hver måned og min søvn hver natt.

Til toppen