For omtrent en måned siden skrev digi.no en artikkel om to undersøkelser av nettverkssikkerheten til norske nettbanker og nettbutikker.
Resultatene var ganske nedslående og har blitt lagt merke til av sikkerhetsspesialister i flere selskaper, også i utlandet.
Spesielt gjaldt dette nettbankundersøkelsen. Tre av de åtte testede nettbankene fikk absolutt laveste karakter (F) i SSL-servertesten til Qualys SSL Labs. A+ er den høyeste karakteren som gis.
Bakgrunn: Dårlig sikring i nettbutikkene, også nettbanker får stryk
Skuffende
Leo Moesgaard er sjef for IBMs globale Crypto Competence Center, som ligger i København.
– Det er skuffende at de ikke er oppe på A-. Jeg ville ha forventet dette av i alle fall de store bankene, sier Moesgaard til digi.no.
Moesgaard forklarer at hensynet til brukerne kan være noe av årsaken til at nettbankene ikke holder det høyeste sikkerhetsnivået. Mange brukere har gamle nettlesere som ikke støtter de sikreste teknologiene.
– Men det bør ikke være noen på F. Da har de sovet i timen, og man bør spørre seg om man egentlig har å gjøre med en partner som setter sikkerheten høyt, sier Moesgaard.
De tre nettbankene som fikk dårligste karakter var Bank2, BN Bank og DNB. Etter at digi.no skrev om dette, har to av de tre forbedret sikkerheten betraktelig og oppnår nå karakteren B. Det gjør at BN Bank er alene på bunnen, i alle fall blant de åtte nettbankene som ble testet. Men også dette skal det snart bli en slutt på.
Bankene svarer
Digi.no har denne uken spurt alle de tre bankene om hva de eventuelt gjør for å forbedre sikkerheten ytterligere. Vi fikk litt ymse svar.
– Vi var klar over svakheten allerede før undersøkelsen og har jobbet lenge med vår underleverandør, som tilbyr samme tjeneste til flere andre banker. Vi har tatt det hele alvorlig, selv om risikoen vurderes som liten. Selve sertifikathåndteringen gjøres av en maskinvareenhet som er i ferd med å bli skiftet ut for vårt hoveddomene, av vår underleverandør. Dette vil skje i løpet av noen få dager. Den er allerede tatt i bruk på en mindre domene, hvor den fungerer godt, forteller Vegar Kruke, IT-sjef i BN Bank, til digi.no. Han legger ikke skjul på at det ikke er noe hyggelig å komme sist i en slik rangering.
Verken DNB eller Bank2 svarer særlig konkret på våre spørsmål om tiltakene som er gjort eller planlegges.
– Nettbanksikkerheten i DNB er meget god. Når det gjelder vårt arbeid med IT-sikkerhet, så er det en kontinuerlig prosess der vi hele tiden strekker oss etter å oppnå best mulig sikkerhet, samtidig som vi ivaretar god funksjonalitet for kundene, skriver Vidar Korsberg Dalsbø, kommunikasjonsrådgiver i DNB, til digi.no.
– Som du vet er vi en del av Eika-alliansen og vår nettbank administreres gjennom dette. Vi kommenterer på generell basis ikke konkrete spørsmål rundt sikkerheten i nettbanken. Vi jobber kontinuerlig for at nettbanken skal være både sikker og brukervennlig. Det er vårt ansvar å tilpasse sikkerheten til det til enhver tid gjeldene trusselbildet. Dette innebærer en kontinuerlig utvikling av våre sikkerhetsløsninger. Vår erfaring gjennom de siste årene er at nettbanken er trygg. Dette underbygges av vår svært gode historikk der tap i nettbank er fraværende. Samtidig kan vi minne om at det er banken som har det økonomiske ansvaret for eventuelle tap dersom det skulle oppstå en svikt i sikkerheten, skriver Frode Ekeli, administrerende direktør i Bank2, i en e-post til digi.no.
Bør være åpent
Helt uavhengig av disse uttalelsene forteller Moesgaard til digi.no at sikkerhet helst skal være åpent.
– Det er ikke bra å hemmeligholde noe bare for å skjule det.
I møtet med IBM traff digi.no også Frode Reien og Henrik Thorsen, som er ansvarlige for IBMs zSystems, altså stormaskiner, på henholdsvis norsk og nordisk nivå. Ifølge Reien er dette maskiner som er designet fra grunnen av for kryptering og sikkerhet, i motsetning til mer dagligdagse systemer.
– Det er mulig å kryptere alt hele veien, sier Thorsen. Det som kanskje har hindret dette tidligere, er at klientenhetene har vært for svake. Men det er ikke lenger et problem.
– Det er slik at prosessorer, fra alle leverandører, får mer støtte for kryptering for hver generasjon. Men det er en evig utvikling at med høyere sikkerhet desto større krav. For bedrifter er det en forretningsavveielse om man vil bruke høyeste nivå, da man risikerer å miste brukere. Men sikkerhet er en reise. Man er bare nødt til å fortsette. Hackerne blir stadig mer sofistikerte, blant annet fordi de har stadig mer datakraft tilgjengelig, sier Thorsen.
Ikke uten VPN
Men selv når nettbankene har sikkerheten på topp, er det ikke gitt at forbindelsen er trygg. Hvor sikkert er for eksempel en åpen WLAN-sone?
– Jeg vil aldri besøke en nettbank fra Starbucks eller på hotellet, sier Moesgaard. Men som IBM-medarbeidere har vi tilgang til VPN (Virtual private network), noe som gjør det hele litt mer trygt, sier han. Han påpeker at selve VPN-trafikken er sikker nok. Problemet kan være knyttet til installasjonen og oppkoblingen.
– Sikkerheten forutsetter at VPN-klienten er riktig satt opp. Dersom et firma har satt den opp, er det stort sett greit, mener Moesgaard.
Nettbutikker
Den tidligere nevnte digi.no-artikkelen tok også for seg sikkerheten hos nettbutikker, hvor mange i beste fall bare krypterer trafikken til selve betalingsleddet.
– Sannheten er at de fleste kan sette opp en nettbutikk ganske enkelt. Den kan settes opp raskt, men hvor sikkert er det? Som bruker bør man sikre seg at det er en S i forbindelsen, sier Thorsen. I enkelte av dagens nettlesere er ikke dette alltid så lett å se. Men de fleste nettlesere viser et bilde av en hengelås i adressefeltet dersom forbindelsen er av typen HTTPS, hvorav den siste bokstaven er S-en som Thorsen viser til.
Moesgaard legger til at han pleier å se etter hvem som står bak nettbutikkene, i alle fall de nordiske, og om de har blitt godkjent eller sertifisert av for eksempel et kjent kortselskap eller tjenester som Trygg E-Handel.
– Jeg kjøper en del innenlands og fra Tyskland. De stoler jeg gjerne på, men følger med på betalingen og varene som kommer. Jeg er mer varsom med de store, kinesiske nettbutikkene, sier han, og advarer om at det kan være nettbutikker som får masse falsk ros, det vil si at de publiserer positive tilbakemeldinger som tilsynelatende kommer fra kunder, men som egentlig er forfattet av helt andre.
IBMs tilbud
På spørsmål om hva IBM kan tilby, svaret fra Thorsen og Reien at selskapets tyngde er hos de store bedriftene.
– Vi kan analysere og fortelle hvordan man kommer fra A til B, vi forstår ende-til-ende-flyten, sier de. Blant annet kan de vurdere om gammel programvare bør fjernes. De kan også gå videre til leverandører og få dem til å lage sikkerhetsfikser for sårbarheter.
– Det gjelder ikke bare IBMs produkter, men alt som er installert på samme plattform, sier Moesgaard.