DEBATT

– BankID er bra, men bare en liten bit av puslespillet

Sikkerhetsekspert Per Thorsheim mener at bankene bare synes  å fokusere på å få pengene sine tilbake enklest mulig.

Per Thorsheim har jobbet med passord og digital autentisering i mange år. Han er dessuten grunnlegger av PasswordsCon, verdens første og eneste konferanse utelukkende om disse temaene.
Per Thorsheim har jobbet med passord og digital autentisering i mange år. Han er dessuten grunnlegger av PasswordsCon, verdens første og eneste konferanse utelukkende om disse temaene. Foto: Marius Jørgenrud
Per Thorsheim, sikkerhetsekspert
21. aug. 2020 - 05:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Dette er en kronikk. Kronikken gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til tips@digi.no.

Vipps skriver i sitt debattinnlegg at «BankID er tryggere enn du tror». Det kan godt være, men det betyr ikke at BankID er sikkert. Problemet er imidlertid ikke BankID i seg selv, men hele det sikkerhetspuslespillet som BankID egentlig bare er en liten del av. Dessverre synes en samlet finansbransje å dekke seg bak påstanden om at BankID er sikkert, uten at man også ser på de enkelte brukerstedenes nettsikkerhet.

BankID har blitt en sentral suksessfaktor fordi bankene har samarbeidet om løsningen, og fordi de var tidlig ute med dette. Den dag i dag tillater ikke bankene bruk av alternative eID-er for pålogging, selv ikke de som offentlig sektor har godkjent for pålogging til det jeg vil påstå
er mer personsensitive tjenester enn en nettbank representerer. Når bankfilialene har forsvunnet og BankID hos flere banker ble innført uten alternativer tilgjengelig, så skulle det bare mangle at ikke BankID ble en suksess i Norge med mange brukere.

– Vær forsiktig i julehandelen dersom du ser tilbud som er for gode til å være sanne, advarer Telenor Norge.
Les også

Advarer mot nettsvindel: «Alle» blir utsatt for det hver dag

Historie med mangelfull sikkerhet

Jeg husker fortsatt BankID med Java. Java var jo for mange kjent som kanskje det største sikkerhetshullet som fantes på bankkunders maskiner i noen år, og bankene var selv godt kjent med problemet.

Jeg kunne her skrevet mye om BankIDs manglende etterlevelse av internasjonale anbefalinger for passord og pinkoder, eller bankers manglende etterlevelse av statlige anbefalinger for god nettsikkerhet.

Jeg kunne også sagt noe om nettbanker som støtter dårligere kryptering enn hva som er minimumskrav fra internasjonale kortselskaper for alle som tar betalt med kort på nettsidene sine.

Jeg kunne også fortalt om den gangen BankID ble tatt for å ha bygget opp en gigantisk
biometridatabase for alle sine brukere, uten å ha informert om dette tilstrekkelig. Meg bekjent ble den biometriløsningen for å oppdage svindel ved innlogging aldri noen suksess.

Jeg kunne også henvist til Finanstilsynet som allerede i 2013 ga klart uttrykk for bekymring for en kraftig økning i hacking av mobiler og tilgang til våre digitale liv, og påpekte at bankene hadde ansvaret for sikkerheten fra A til Å, om jeg forstod dem riktig.

Biometri versus sikkerhet

Jeg kunne navngitt en norsk finansbedrift som jeg varslet for mindre enn 2 uker siden om at de på sine kundesider fortsatt støttet kryptering som ble «forbudt» å bruke på internett i juni 2015,
fordi den kan avlyttes og misbrukes.

Jeg kunne også skrevet om hvordan Apple over tid la til stadig flere sikkerhetsmekanismer for å demme opp for den økte usikkerheten som introduksjonen av biometri  (fingeravtrykk) medførte. Bruken av biometri er i de fleste tilfeller å anse som en forbedring av brukeropplevelsen, ikke sikkerheten. Dette som en motvekt til at BankID sier at de vil innføre mer biometri, når andre er i ferd med å forlate det av gode årsaker.

– Bankene har alt å vinne på å krever erstatning av offeret

Men det jeg ønsker å få frem her dreier seg ikke om enkeltaktører eller BankID spesifikt. Utfordringene er større enn det. Det virker som om det kommer stadig flere saker hvor folk har blitt utsatt for ID-tyveri, med tilhørende økonomisk tap som de selv må dekke.

At bilder, tekster og videosnutter ligger åpent så alle kan se, betyr ikke at det er fritt frem å bruke det til KI-trening, mener en bredt sammensatt gruppe datatilsyn.
Les også

Ikke rett frem å skrape data

Saker som henlegges av politiet mot de som er svindlet, da de ikke har funnet grunn til mistanke om kriminelt motiv eller handling, men bankene fortsatt krever erstatning av offeret. Saker hvor de kriminelle som utførte ID-tyveriet blir tatt og dømt for handlingen, men bankene krever erstatning av offeret. Saker hvor bankene selv vet utmerket godt at den som ble svindlet ikke var den som utførte handlingen, men holdt til på den andre siden av kloden.

Bankene kjører hardt på at det er overveiende sannsynlig at den som er svindlet enten er kriminell, eller er dum og har seg selv å takke når man har blitt svindlet.

Per Thorsheim, sikkerhetsekspert.

Bankene kjører hardt på at det er overveiende sannsynlig at den som er svindlet enten er kriminell, eller er dum og har seg selv å takke når man har blitt svindlet. Dette kjører man på som argument mot unge som eldre, og det er alt for ofte offerets ansvar å bevise sin uskyld. Bankene har alt å vinne på å kreve sin erstatning fra offeret, da det å gå etter de kriminelle sjelden vil føre til at bankene får pengene sine tilbake.

I sak etter sak så benyttes begrepet «overveiende sannsynlig» mot offeret i vurderingen av dennes uaktsomhet. Bankene skjuler seg bak påstanden om at BankID er sikkert, og de viser ingen interesse i å forklare hvordan kriminelle enkelt kan tilegne seg nordmenns fødselsnummer, passord eller BankID koder.

Kredittvurdering og kodebrikke i posten

Når verdier digitaliseres, oppstår nye trusler som ledere ikke kan overlate til IT-avdelingen alene, mener IT-sikkerhetsrådgiver Gøran Tømte. – Dette må handle om risikovurdering, og den skal ikke tillegges IT-avdelingen, skriver han.
Les også

La løsepengeangrep bli veien til bedre sikkerhet

Ei heller vil bankene forklare hvor lett kriminelle kan bruke programmer (virus) eller maskinvare på kunders maskiner for å lese og endre alt som kunden skriver inn og ser på skjermen. Ei heller nevnes det at vi alle som standard er åpne for å kredittvurderes: en svakhet som burde vært sperret som standard for lenge siden, når vi vet hvilke konsekvenser det får gjennom ID-tyveri og kriminelles opptak av dyre forbrukslån i ofrenes navn.

Jeg kan ringe hvem som helst og få det til å se ut som om det er nettopp din bank som ringer.

Per Thorsheim, sikkerhetsekspert.

Banker har også lagt frem telefonlogger som bevis på at offeret selv har kontaktet banken og bedt om å få tilsendt ny kodebrikke i posten. Det ene er feiltakelsen om at en kodebrikke sendt med post kan regnes som sikkert, det andre er det komplette fraværet av kunnskap om at det er svært enkelt å ringe hvem som helst, og få det til å se ut som om samtalen eller tekstmeldingen kommer fra hvem som helst.

Norsk presse skrev om det allerede i 2006, i 2020 finnes et fortsatt ingen gode løsninger hos norske teleoperatører for å forhindre det. Jeg kan ringe hvem som helst og få det til å se ut som om det er nettopp din bank som ringer.

– Bankene bør selv påvise skyld

Mats Koteng, digital hendelsesleder mnemonic
Les også

Mnemonic-leder: KI er fortsatt ikke en fare for it-sikkerheten

Sist, men ikke minst: når finans og IT-sikkerhetsbransjen legger frem sine rapporter om digital sikkerhet og angrep, så snakkes det mye om profesjonelle kriminelle miljøer som jobber internasjonalt, i bedriftslignende strukturer på tvers av landegrenser for å begå svindel og annen økonomisk kriminalitet. Norge er sågar hjemsted for Nordisk Finans Cert, en organisasjon som bistår nordiske finansinstitusjoner med trusseletterretning, hendelseshåndtering og informasjonsdeling for å bekjempe slike internasjonale kriminelle miljøer. Like fullt holdes tante Olga ansvarlig for å ha latt seg lure på nett, epost, telefon og SMS.

Jeg har jobbet privat og profesjonelt i over 25 år med å forbedre sikkerhet og personvern der jeg kan, også når det gjelder ID-tyveri og de konsekvenser det medfører. Jeg har selv kommet tett på personlige tragedier forårsaket av profesjonelle svindlere, og har også selv blitt utsatt for kortsvindel på nett. Min målsetning er å få gjennom strengere krav til bevisførsel fra bankene for å påvise skyld, og bli kvitt dagens «prinsipp» om at offeret er skyldig inntil det motsatte er bevist. Jeg tror det krever endringer i dagens lovverk for å få det til. Bankene synes bare å fokusere på å få pengene sine tilbake enklest mulig.

Leder for Altibox' cyberforsvarssenter, Tor-Inge Tjemsland, sier at omkring 70 norske bredbåndskunder har fått sine nettverksrutere overtatt av kriminelle aktører.
Les også

70 norske bredbåndskunder brukt til å gjennomføre Ddos-angrep

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.