De siste ukene har det kommet en rekke advarsler om bruk av Java. Store sikkerhetshull har gjort at et unisont sikkerhetsmiljø har rådet brukerne å slette Java på sine klienter. Senest onsdag ble ett nytt og alvorlig sikkerhetshull oppdaget.
Men for svært mange norske nettbank-kunder er dette ikke et alternativ. Grunnen er at man må ha installert Java på sin maskin for å benytte seg av bankenes felles innlogginsregime: BankID.
Finanstilsynet fører tilsyn med bankene og har et overordnet ansvar for at banknæringen følger lover, regler og retningslinjer. De har også et ansvar for å føre tilsyn med betalingstjenester og bankens IT-bruk.
Opptatt av risiko
Frank Robert Berg er seksjonssjef i Finanstilsynets avdeling for tilsyn med IT og betalingstjenester. Han følger situasjonen rundt Java og BankID tett.
Vi spurte han om det vil være aktuelt for tilsynet å pålegge bankene å tilby et Java-fritt alternativ for sine kunder.
– Tilsynet er opptatt av risiko og at det er tillit til betalingstjenestene. Det er svært uheldig når det oppstår sårbarheter på standardprodukter som inngår som del av tjenester som kundene må installere for å benytte tjenesten fra banken. Det bør være et mål at det foreligger alternativer for kundene, svarte Berg digi.no.
– Kan det være aktuelt at Finanstilsynet henstiller bankene offisielt om å lage alternativer?
– Foreløpig er det ikke en aktuell problemstilling, svarer Berg og tillegger: - Vi har myndighet til å stille nødvendige krav for at betalingstjenester har akseptabel risiko basert på våre vurderinger. Vi er selvfølgelig forsiktig med bruk av en slik hjemmel.
– Hvordan vil du karakterisere situasjonen rundt Java?
– Finanstilsynet vurderer at situasjonen knyttet til bruk av Java er uheldig, når det oppstår hyppige sårbarheter, og har i den sammenheng en dialog med BankID.
Da digi.no konfronterte BankID med de siste hullene i Java for noen uker siden, fikk vi til svart at «Java er sikkert nok» Vi spurte også Finanstilsynet om de slår seg til ro med dette.
– Det er ikke uvanlig at leverandører av masseprodukter slik som Java introduserer sårbarheter ved en ny release. Hvordan leverandøren da håndterer dette og hvor raskt en sårbarhet blir lukket må inngå i en vurdering av risiko. Foreløpig avventer tilsynet hva BankID vil gjøre med henhold til bruk av Java, men vil følge dette tett med tanke på vurdering av risiko for betalingstjenestene, svarer Berg.
Les også:
- [11.01.2013] Kraftig advarsel mot Java
- [20.12.2012] Bedre sikkerhet for Java i nettleseren
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [04.09.2012] – Java er sikkert nok