Stoler du på bankenes egne sikkerhetseksperter?

Nettbankens eksperter krangler om en nettbank er sikker eller ikke. Satser du kontoen på at den første har rett?

Før helgen brakte digitoday.no et intervju med Per Hansen, leder for IT Sikkerhetsforum og administrerende direktør i IT-sikkerhetselskapet PDI Consult AS. Hansen gjentok et synspunkt han hevdet overfor Aftenposten i fjor sommer: Han stoler ikke på IT-systemene hos bankene, og bruker følgelig ikke nettbank.
Foranledningen til Hansens uttalelse til Aftenposten var det berømte tilfellet i august, da Gjensidige NOR måtte innrømme at 800.000 brukerkontoer var oppbevart slik at de i flere måneder hadde vært åpent tilgjengelige for innsyn fra uvedkommende. Forholdet ble ikke avslørt av noen intern revisjon - da ville vi sannsynligvis aldri hørt om det - men av en nysgjerrig og datakyndig ungdom. Datatilsynet uttrykte hard kritikk, og ba om en skriftlig redegjørelse. I pressen ble det hevdet at sikkerhetsløsningene var "egentlig sikre nok", men at andre feil - "slurvete programmering, dårlig kvalitetssikring og feil i oppsettet av maskinene" - gjorde det mulig å omgå dem. Forklaringen kan sammenliknes med en gullsmedforretning som kjøper en solid safe, men lar låskoden stå på "00000000", og endrer den først når en ungdom oppdager tilfellet og sladrer til Dagbladet.
Leverandører av sikkerhetsutstyr forklarer gjerne at ingenting kan sikres hundre prosent, og at prinsippet er at det skal være et klart misforhold mellom den innsatsen en uærlig person må yte for å få tak i det du vil sikre, og den verdien de sikrede gjenstandene kan forventes å ha for uvedkommende. Samtidig er et stort og synlig sikkerhetsapparat også et skilt om at her oppbevares betydelige verdier. Det er bedre å oppbevare diamanter i en tilfeldig vott i en skuff, enn i en safe med døra på gløtt. Ikke noe frister mer enn et åpent bankvelv. Den digitale utgaven av et åpent bankvelv er nettopp en nettjeneste med solide sikkerhetsapplikasjoner, men som ellers er preget av "slurvete programmering, dårlig kvalitetssikring og feil i oppsettet av maskinene".


Partiske myndighetspersoner som motsies av uavhengige eksperter, er et mønster som går igjen i vårt samfunn. Det viser seg oftest at det er de uavhengige ekspertene som har rett. Det har NSB erfart gjennom alt for mange tragedier de siste årene. Forsvaret er i ferd med å gjøre den samme erfaringen i forhold til ammunisjon kledd med anriket uran. Teleoperatørene prøvde i det lengste å påstå at GSM-telefoner ikke kan avlyttes. De måtte som kjent krype til korset før jul.


Følgelig er det all grunn til å ta Per Hansen alvorlig når han fortsatt står på sitt, flere måneder etter at nettbankene øyensynlig har gått gjennom sine systemer enda en gang for å tette sikkerhetshull som offisielt aldri har eksistert. Han vet at det ikke er selve sikkerhetsmekanismene det kommer an på, men helheten i IT-systemet. Svake ledd kan smis overalt i kjeden, og i kraft av sitt kjennskap til det som foregår bak kulissene, vet Hansen hvor nære de kan være ved å briste.

Forestill deg hva som kan skje med en ekspert i datasikkerhet som blir svindlet etter å ha brukt en nettbank. Forsikringsselskapet stiller med solid juridisk ekspertise, og får et lett bytte. Er det ikke en avgrunn mellom påstått fagkompetanse innen datasikkerhet og bruk av nettbank? Burde ikke den påståtte eksperten vist bedre? Kan dette kalles annet enn uaktsomhet? Hansen risikerer ikke bare redusert erstatning. Han risikerer å bli stilt til latter og miste alle sine kunder.

De som driver nettbanker og andre elektroniske betalingssystemer må erkjenne at det finnes en faktisk risiko ved å bruke disse systemene, og de må klargjøre hva brukerne kan gjøre for å operere mest mulig risikofritt med sine elektroniske pengeoverføringer. Alle vet at det er større risiko for å bli ranet når du bruker minibanken på Egertorget i Oslo klokka tre om natta, enn ved dagtid. Ifølge Hansen er det tilsvarende større risiko for å bli ranet hvis koplingen din til nettbanken går over DSL eller kabelmodem i et borettslag, enn over vanlig analogt modem på den private linjen. Slike fakta bør ikke forbeholdes lesere av Internett-basert fagpresse.

Internett er et svært sammensatt miljø. Eksperimenter med ubeskyttede PC-er som overvåkes i det stille, viser at det tar bare noen få timer før de utsettes for systematiske kapringsforsøk av folk som trenger datakapasitet til et eller annet formål, men som ikke vil gå åpent ut med sine ønsker. Eksperimenter med digitale "honningkrukker" - servere med tiltrekkende tjenester og stille overvåking - har vist hvordan den faglige kompetansen rager over den etiske bevisstheten i visse miljøer.


Det er følgelig ganske sannsynlig at elektroniske betalingstjenester - både til forbrukere og til bedrifter - overvåkes og utprøves systematisk av kriminelle miljøer for å teste dem for eventuelle svakheter, nettopp for å kartlegge tilfeller av "slurvete programmering, dårlig kvalitetssikring og feil i oppsettet av maskinene" som fortsatt må antas å finnes i nettbankene.

Ingen forlanger at nettbankene skal forklare i detalj om sine sikkerhetsopplegg. Men så lenge påstandene om at nettbankene er "sikre nok" forblir ukvalifiserte og oppfattes som kontroversielle eller usanne i det uavhengige datasikkerhetsmiljøet, kan det ikke ventes annet enn at tilliten fra brukerne vil svikte.

Til toppen