DEBATT: BankID

– Som helhet er kanskje ikke BankID så sikker som man skulle tro

Per Thorsheim svarer Gry Nergård i Finans Norge.

BankID for mobil.
BankID for mobil. (Foto: Kurt Lekanger)

Per Thorsheim svarer Gry Nergård i Finans Norge.

  • FinTech

Dette debattinnlegget gir uttrykk for skribentens meninger. Debattinnlegg kan sendes til tips@digi.no

Dette er en kronikk. Kronikken gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til tips@digi.no

Stortinget skal behandle nytt forslag til finansavtalelov. Der foreslås det at bankene som hovedregel må dekke tapet ved svindel. Det skulle da bare mangle at ikke den profesjonelle leverandøren av finansielle tjenester ikke hadde det ansvaret, så fremt det ikke kan fremlegges bevis for at kunden har utvist grov uaktsomhet eller er kriminell og har handlet bevisst for å begå svindel?

Jeg har bistått og uttalt meg i en rekke «BankID»-saker, hvor de kriminelle er tatt, tilstått og straffet for svindel, men allikevel krever bankene sine penger tilbake fra kunden. Jeg legger til at politiet i saker har etterforsket og konkludert med intet straffbart forhold avdekket, uten at det hindrer bankene fra å ødelegge livet til den som er uskyldig rammet av svindel.

Per Thorsheim er sikkerhetsrådgiver og ekspert på passord og personlig sikkerhet.. Bilde: Marius Jørgenrud

Finans Norge uttaler også at BankID tilfredsstiller det høyeste sikkerhetsnivået i Europa for slike løsninger. Det stemmer nok, men som jeg allerede har påpekt i en annen kronikk: BankID er bare en liten bit av puslespillet. Jeg har i mange år dokumentert svakheter og sårbarheter hos norske finansinstitusjoner og rapportert dem inn på en fornuftig måte slik at de kunne utbedres.

Debatten om BankID

I forbindelse med arbeidet med ny Finansavtalelov er det flere aktører som vil ha mer sikkerhet ved bruk av BankID, blant annet ved at bankkundene blir varslet når det tas opp lån i deres navn. Her er debatten så langt:

14. Aug: Solveig Schytz, Venstre: BankID er farligere enn du tror
18: Aug: Hanne Kjærnes, Vipps: BankID er tryggere enn du tror
21. Aug: Per Thorsheim: BankID er bra, men bare en liten del av puslespillet
21. Aug: Gry Nergård, Finans Norge: BankID er ikke farlig, men å dele passordet til den er det

Hvor ligger min BankID lagret?

Jeg har som eksempel påpekt overfor en stor bank at de har bedt om å få tilsendt kopi av pass, og lister med oversikt over ansatte inkl fødselsnummer, på epost. Dette er ikke BankID sin feil, men et eksempel på utfordringer som gjør at helheten ikke blir så sikker som Finans Norge kanskje vil tro.

Nergård stiller spørsmålet«hvem skal betale for din uforsiktighet?», og legger til «er det rimelig at bankens øvrige kunder, de som passer godt på sin egen BankID, skal betale for dette?». Her er det viktig å presisere at i motsetning til pass og førerkort som jeg oppbevarer trygt hjemme hos meg, så jeg vet ærlig talt ikke hvor min BankID ligger lagret.

Det jeg tror er at min elektroniske ID (eID) ligger lagret sentralt hos Bank- og finansnæringens infrastrukturselskap, og så har jeg en kodebrikke og et passord som gjør at jeg kan bruke den sentralt lagrede eIDen min. Hvor i skyen det nå enn måtte være.

Støtter ikke DNSSEC

Nergård gjør også et poeng over at man må kunne stole på at du er du når man skal legitimere seg eller underskrive avtaler elektronisk. Websiden til BankID Norge for å logge seg på «Min BankID» støtter fortsatt gammel kryptering som kortselskapene gjennom PCI-DSS standarden forbød å bruke fra og med 1. juli 2018. Siden støtter heller ikke DNSSEC, en internett standard som bruker nettopp elektroniske signaturer for å garantere at man kommer til riktig adresse på Internett.

DNSSEC ble satt i produksjon i Norge i 2014, og brukes i dag av majoriteten av norske domener, dog med unntak av de aller fleste i norsk finansbransje. Et overveiende flertall av norske forbrukere er i dag beskyttet av DNSSEC, men det fordrer at sidene og tjenestene man benytter på Internett også har tatt dette i bruk.

Les også

Bankene har gitt ut BankID til folk med falsk ID

Jeg kunne brukt mange spaltemeter på tilsvarende eksempler, men la meg sitere en setning fra BITS rundskriv Nr 1/2017: «Bits er kjent med at det har forekommet hendelser der BankID har blitt utstedt til feil person på bakgrunn av falsk eller manipulert legitimasjon.» Altså har bankene som utsteder BankID blitt lurt. Det må vel kalles grov uaktsomhet fra deres side?

Om jeg må velge mellom å stole på den jeg deler livet mitt med eller en samlet finansbransje med BankID, så håper jeg svaret er opplagt. Dog skal det sies at uansett om man vet identiteten til den man samhandler med eller ikke, så betyr ikke det at vedkommende ikke kan være en skurk. Det er det mange som erfarer i sine liv hver eneste dag.

Nergård skriver også at banken ikke kan bevise noe som helst om hva som har skjedd innenfor husets fire vegger. Tja. BankID har jo i mange år brukt biometri for å avgjøre om det er eieren av en BankID som logger seg på basert på hvordan man skriver, eller om det MEST SANNSYNLIG er noen andre. Kan jeg spørre Finans Norge hva nettopp den loggen har vist i samtlige saker hvor en kunde hevdet sin uskyld, men ble dømt til å betale erstatning?

Denne debatten dreier seg ikke bare om BankID. Den dreier seg om viktige endringer som er foreslått i ny finansavtalelov. Utallige svindelsaker, det faktum at bankene ikke tillater andre eIDer som er godkjent på samme nivå som BankID og alle iboende svakheter på internett må tas med til vurdering. Jeg er ikke i tvil om at prinsippet om at man er uskyldig inntil noe annet er bevist må forbli riktig rettsprinsipp. Ellers ser jeg ingen grunn til å stole på BankID, og vil ringe banken for å spørre hvor nærmeste filial holder til.

Les også

Kommentarer (5)

Kommentarer (5)
Til toppen