Dette innlegget er tidligere publisert på Roar Thons LinkedIn-profil, og skrevet av han som privatperson.
Som forbruker jubler jeg over det meste som gjør hverdagen enklere. Apper som hjelper meg å huske hva jeg skal handle på butikken. Teknologi som gjennomfører transaksjonen når jeg handler noe.
Som fagperson er jeg en smule mer skeptisk. Teknologiløsninger som gjør livet lettere for deg og meg, har ofte en lei tendens til å gjøre det enklere for de som virkelig vil misbruke dem. Våre reaksjoner når vi støter på problemer i den forbindelse, bekrefter for meg at vi ikke forstår teknologi og sikringen av den godt nok. Virksomheter og brukere ser ikke ut til fullt ut å ta høyde for den nye virkeligheten som teknologien skaper.
Det enkleste er det beste?
Når anbefalingene om hvordan den enkelte skal sikre sin informasjon bunner ut i rådet om å ikke dele passord, koder og kontonummer med andre, så høres det fornuftig ut. Men fungerer slike råd i enhver tenkelig situasjon? Stanser det alle muligheter til å misbruke informasjonen dersom noen virkelig vil? Når Rema 1000 nylige respons på en innrapportert sårbarhet knyttet til appen Æ, er at de har vurdert det slik at deres brukere ikke bør dele kontonummeret som åpner for at sårbarheten kan utnyttes. Så høres det kanskje greit ut på trykk. Det enkleste er altså å holde kjeft, så vil det gå deg godt? I praksis er det litt mer komplekst enn som så.
Virksomheter som tilbyr forbrukere digitale løsninger velger som oftest en løsning som er «godt nok» når det gjelder sikkerhet. Det enkleste er jo som kjent det beste. Og i Norge så vil det jo helst gå godt, inntil det ikke gjør det lenger.
Kreative mennesker og virksomheter bør aldri undervurdere andre kreative mennesker og virksomheters evne til å misbruke deres utviklede løsninger.
Mange virksomheter burde utvise en betydelig større grad av ydmykhet, når deres valgte digitale løsning og deres anbefalte sikkerhetsråd ikke viser seg å være godt nok. Kreative mennesker og virksomheter bør aldri undervurdere andre kreative mennesker og virksomheters evne til å misbruke deres utviklede løsninger.
Det begynner å bli mange år siden jeg tok opp boliglån. Jeg husker det som en tidkrevende prosess, med minst to fysiske møter med banken. Det var mye informasjon som skulle overleveres og som skulle undertegnes av meg selv og hun som etter hvert ble min kone. Kona, og litt av lånet er der enda, med det er mye som har endret seg. Den teknologiske utviklingen har endret prosessene for hvordan lån, kreditter og kjøp blir gjennomført. Det samme har kravet til identifisering.
Hvor langt skal jeg gå for å beskytte min egen informasjon?
Over fire millioner nordmenn har BankID og daglige gjennomføres det millioner transaksjoner basert på løsningen. Men hvor god er sikkerheten knyttet til å verifisere hvem som virkelig sitter bak PC, mobil og har tilgang til en BankID? Jeg har lite å utsette på sikkerheten til BankID løsningen i seg selv. Men det finnes jo alltid svake punkt og et av de alvorligste, er etter min mening at løsningen lener seg på en urealistisk forventning om at enkeltindivider skal kunne sikre seg mot sine aller nærmeste.
Selv om det ikke skjer så ofte, så finnes det tilfeller hvor de tekniske, menneskelige og prosessuelle sikkerhetstiltakene enkelt og greit blir omgått. Ikke av ukjente kriminelle hackere, ei heller av den rettmessige BankID eieren som blir påført tap og gjeld, men av en eierens aller nærmeste.
Dette er jo håpløs, kortsiktig kriminalitet som nesten alltid vil bli avslørt når lånet skal tilbakebetales. Men hvem har ansvaret når ens nærmeste begår bedrageri ved å misbruke digital ID til å opprette lån i sin ektefelle, samboer eller kjærestes navn?
Til tross for at den virkelige bedrageren erkjenner de faktiske forhold, forfølger enkelte finansaktører BankID eieren fordi vedkommende «må ha gitt fra seg» passord/kode og dermed utvist uaktsomhet. Selvsagt bør denne type situasjoner undersøkes nøye for å avklare hendelsesforløpet så godt som mulig. Jeg besitter heller ikke detaljert informasjon om de sakene hvor dette skjer. Men jeg stiller likevel spørsmålet, hvor enkelt er det å beskytte slik informasjon for sine nærmeste?
Hvor godt skal jeg vokte brikke, PC, mobil, nettbrett mot risikoen som min kone utgjør? Er det uaktsomt av meg å la henne låne nettbrettet jeg benytter til mine økonomiske digitale transaksjoner? Om ikke. Hvor langt skal jeg gå for å sikre enhetene når jeg er fraværende eller sover? Bør jeg ha safe? Bør hun også ha safe til sine enheter for å sikre seg mot misbruk fra min side? Kan hun være i samme rom som meg når jeg selv foretar digitale transaksjoner med BankID?
Zero trust fungerer dårlig i et samliv med et annet menneske!
Sikkerhetstiltak som er effektive mot en målrettet trusselaktør er ofte avanserte og dyre tiltak. Kari og Ola vil aldri kunne leve med slike tiltak. Det forutsetter blant annet en tankegang som er lite egnet til å fungere i et samliv med et annet menneske. Zero trust er et begrep innen IT sikkerhet som jeg har sans for. Men du kan ikke leve privatlivet ditt slik. Du kan ikke si ja i kirken, og samtidig si til din ektefelle at; «forresten, jeg har null tillit til deg»
Å vise tillit, betyr ikke at vi skal fortelle våre nærmeste om hvilke passord eller koder vi bruker i det daglige. Det kan være uaktsomt i rettslig forstand. Men selv om rådet om å aldri gi fra seg passord/koder etterleves til punkt og prikke. Hvor enkelt er det å få tak i den informasjonen for en som f.eks. befinner seg i samme husstand?
Jeg vil ikke beskrive alle metoder og lett tilgjengelig utstyr jeg kunne ha benyttet for å skaffe tilgang til min kones passord, kode og annen nødvendig informasjon, uten at hun selv var klar over at jeg hadde skaffet meg den tilgangen. Men de er mange, og det er enkelt.
Det å bruke BankID er ikke et frivillig gode, men en nødvendighet for å bruke grunnleggende tjenester i samfunnet. Derfor bør sikkerhetstiltakene og systemet ta høyde for de konsekvensene som oppstår når noen greier å misbruke løsningen. Jeg må presisere at jeg ikke stiller tvil om det rent sikkerhetsmessige ved BankID. Men virksomheter som benytter løsningen bør ta inn over seg hvor "enkelt" den kan misbrukes, om man i det daglige er tett nok på en annen bruker.
Aksepter risikoen eller gjør noe med den.
De fleste virksomheter bør akseptere hvor lite effektiv rådet om «å aldri oppgi» er ovenfor en ektefelle som handler med forsett. Aksepter hvor enkelt det er for en nærstående å få tak i den informasjonen som er nødvendig for misbruk, uten automatisk å hevde at offeret har utvist uaktsomhet.
Om virksomhetene ikke aksepterer den risikoen, så gjør noe med den. Forbedre løsningen, rutinene og prosessene for å forhindre eller fange det opp. Om risikoen aksepteres for at dette faktisk kan skje, så ta ansvar for den aksepterte risikoen, og ikke forsøk å overfør den til offeret.
"For at delingsøkonomien skal lykkes er vi avhengig av å stole på hverandre. Det sørger BankID for" sa daglig leder i BankID, Jan Bjerved, under åpningen av BankID-dagen 2017.
Jeg er helt enig. Tillit er ekstremt viktig for at vi skal kunne ta i bruk alt det fantastiske som teknologien kan gis oss av positive effekter. Men jeg kunne like gjerne ha sagt at; «For at ekteskapet skal lykkes er vi avhengig av å stole på hverandre»
