DEBATT: BankID og sikkerhet

Jo, BankID kan være farlig


BankID-bruker foran en PC-skjerm.
BankID-bruker foran en PC-skjerm. (Foto: Kurt Lekanger, Digi.no)


  • FinTech

Dette debattinnlegget gir uttrykk for skribentens meninger. Debattinnlegg kan sendes til tips@digi.no

Gry Nergård skriver: «BankID er ikke farlig, men å dele passordet til den er det.»

Jo, BankID, som representant for alle digitale ID-er jeg kjenner til, er i seg selv farlig for meg og deg som bruker, nettopp på grunn av måten den er implementert på og hva den gir mulighet til.

Hvis jeg har kontroll på PC-en eller mobilen du betaler regninger med, kan jeg ta opp et lån i ditt navn, med din BankID, og overføre pengene til min konto. Jeg vil sannsynligvis ha en uke, kanskje opptil 14 dager på meg, før du merker det.

Hvor mange BankID-koder avleverer du i løpet av 14 dager? Sannsynligvis er det mer enn nok til å overdra huset ditt, bilen din og å ta opp mer lån enn hva du klarer å betale ned resten av ditt yrkesaktive liv. Og hva som verre er - jo flere tjenester som tar i bruk BankID som gyldig identifikasjon, jo mer trøbbel kan jeg lage for deg.

Per Gunnar Hansø er Ingeniør og har jobbet som utvikler siden 1996. I dag utvikler han løsninger for bilbransjen, men uttaler seg her som privatperson. Foto: Privat

Hvor sikkert er BankID?

Dette problemet er der fordi BankID ikke gjør annet enn å verifisere at den riktige brikken lager en nøkkel på det tidspunktet en transaksjon blir gjort. Det stilles ingen krav til hvilken transaksjon nøkkelen blir brukt til, bare den blir brukt på riktig tidspunkt. Den samme nøkkelen kan brukes til enten å logge inn, ta opp lån, eller by på et hus, bare den blir brukt når transaksjonen finner sted.

Du er selvfølgelig 100 prosent sikker på at det ikke er noen andre som har tilgang til PCen din og kan kontrollere den?

Den som stadig vekk må oppdateres og startes om for å tette de mest graverende sikkerhetshullene?

Den som er koblet til internett nesten hele tiden den er på?

Den som kan styres like godt fra internett som fra tastaturet?

Et internett der hvem som helst av de omtrent 5 000 000 000 unike brukerne verden over kan prøve å ta kontroll på nettopp din PC akkurat nå mens du leser disse ordene?

Et internett der det avdekkes botnet med millioner av kaprede enheter hvert år?

Så nei, BankID (og hvilken som helst annen digital ID-løsning som er implementert over samme tekniske lest) er ingen garanti for ikke å bli svindlet, selv om det gjør at det kreves mer innsats av svindleren enn uten BankID.

Men akkurat dette er et teknisk problem som har en relativt grei teknisk løsning. Jeg kan si mer om både problemet og løsningen, men det er ikke det store og grunnleggende problemet som Solveig Schytz nevner. Jeg skal komme tilbake til det, men jeg vil beklageligvis plage deg med mer teknikk først. Eller strengt tatt er det vel strategi.

Når suksess blir en sårbarhet

For strategien «Én digital ID - bruk den til alt» er en sårbarhet i seg selv.

Det er ikke bare nettbanken, nettbutikken, skatteetaten, legen eller NAV som bruker BankID, men også AltInn og en del arbeidsplasser begynner nå å kreve at du bruker din egen, personlige BankID for å gjøre jobben din. Dersom du sitter i et styre, så må du fort finne fram din egen BankID for å signere dokumenter der. Er du lærer og skal sette standpunktkarakterer, må du ha den med deg på jobb. Osv osv.

Debatten om BankID

I forbindelse med arbeidet med ny Finansavtalelov er det flere aktører som vil ha mer sikkerhet ved bruk av BankID, blant annet ved at bankkundene blir varslet når det tas opp lån i deres navn. Her er debatten så langt:

14. Aug: Solveig Schytz, Venstre: BankID er farligere enn du tror
18: Aug: Hanne Kjærnes, Vipps: BankID er tryggere enn du tror
21. Aug: Per Thorsheim: BankID er bra, men bare en liten del av puslespillet
21. Aug: Gry Nergård, Finans Norge: BankID er ikke farlig, men å dele passordet til den er det
24. Aug: Per Thorsheim: Som helhet er kanskje ikke BankID så sikker som man skulle tro

Du må i praksis etterhvert ha med deg BankID-brikken din over alt. Det betyr videre at du blir tvunget til å bruke den på forskjellige enheter, på forskjellige nettverk, på forskjellige steder og i forskjellige situasjoner.

Da er det ikke lenger like lett i alle situasjoner å sikre at kodebrikken ikke blir tatt, eller at ingen ser eller sniffer passordet ditt. Et høyoppløselig høyhastighets-kamera trenger bare å se fingrene dine skrive passordet én gang, samme hvor fort du skriver, og mobilen som filmer kan befinne seg på andre siden av rommet eller utenfor vinduet.

Når da alle eggene er lagt i samme kurv, hvem er det da som råder over ditt digitale liv?

Det er problemet Solveig Schytz tar opp.

Les også

Det grunnleggende problemet

Det grunnleggende problemet er at din BankID ikke er deg, men at bankene likevel tillegger din BankID samme juridiske myndighet som du har. Dette selv om din BankID kan brukes av en annen, uavhengig av om du vet det gjøres eller ikke, eller til og med om det gjøres mot din vilje.

Alle ting som har med sikkerhet å gjøre har litt "Kiwi-problem" over seg. Trygt. Kjapt. Billig. Velg to.

For å gjøre digital ID helt trygt, er den ultimate løsningen å knytte den til deg på en slik måte at dere er uadskillelige og ingen kan se hvordan du bruker den. Og selv om noen klarte å operere den ut av deg, kunne den ikke brukes av andre. Det er kanskje teknologisk mulig i dag, men billig blir det ikke.

Inntil kyborg-samfunnet er en realitet, må systemene bygd på samme lest som BankID ta høyde for at de bare med en viss sannsynlighet kan vite hvem som trykker på knappene. Hvis det er store beløp eller store konsekvenser involvert, må det andre eller flere sikkerhetsmekanismer til, ellers blir risikoen urimelig stor.

Slik sett er det ikke sikkert det er rimelig at man får ta opp lån på over 50 000 uten personlig oppmøte i banken. Kanskje heller ikke forplikte seg til å kjøpe en eiendom til flere millioner uten personlig oppmøte og legitimering. Eller hvis man får det, så er det ikke juridisk bindende, og risikoen ligger hos den profesjonelle part.

Det er menneskene vi må bygge systemene rundt, og lover må ta vare på menneskene oppe i all teknologien vi omgir oss med. Systemene må ta høyde for at mennesker ikke er ufeilbarlige, og lovene må inkludere slike vanskelige og menneskelige tema som ansvarlighet, hensikt, rimelighet forventning, rettferdighet, troverdighet osv.

Hvis vi som samfunn lager oss systemer som ikke tar høyde for at mennesker feiler, og lover som ikke tar vare på enkeltmennesker som blir utsatt for urett, så lager vi oss et helvete der hvem som helst kan miste alt bare på grunn av uflaks.

Det blir som et omvendt lotteri der du må være med, og der du risikerer å tape alt du har og bli dømt til slaveri, når som helst.

Det er ikke et samfunn jeg ønsker å fremme.

Hva med deg?

Les også

Kommentarer (21)

Kommentarer (21)
Til toppen