Det at den norske BankID-løsningen for sikker pålogging er basert på en Java-applet som kjøres i nettleseren til brukerne, gjør at sikkerhetsproblematikken knyttet til Java-plattformen påvirker ekstra mange akkurat i Norge. Kunder av mange norske banker er nødt til å benytte BankID for å få tilgang til nettbanken.
I lys av sikkerhetsproblemene har BankID blitt stadig mer kritisert for sitt valg av Java-teknologien, men det er sjeldent at kritikerne kommer med forslag til alternative løsninger.
– Vi synes at Java fortsatt er egnet for sikker innlogging, sier Hege Steinsland, kommunikasjonsdirektør i BankID, til digi.no.
– Java var bestevalget for BankID fordi det nådde flest brukere. Men Java er ikke hellig for oss. Vi vurderer alternativer, men det tegner seg ikke noe klart alternativ. En overgang til en ny plattform vil dessuten være et stort løft, og det vil kunne være sikkerhetsutfordringer der også, mener hun.
Bankkundene er sikret
Til tross for faren for skadevare som sårbarhetene i Java medfører, mener Steinsland at de norske BankID-brukerne er godt sikret.
– Det er bankene de kriminelle går etter. Uansett hva slags Java-versjon kundene har, vil de få tap dekket av banken sin. Bankene påtar seg et veldig stort ansvar her, og de klarer å holde nettbanksvindelen på et veldig lavt nivå ved hjelp av et godt forsvarsverk som stadig er under utvikling.
Steinsland innrømmer at den siste tidens Java-problemer har vært en vekker, men mener det uansett er en viss risiko ved å være på Internett. Hun får støtte fra Nordea, Norges nest største bank.
– Det er en utfordring med et system som ikke virker på alle enheter, og det er en utfordring å ha en løsning fra en tredjepart (Java, red. anm) som brukeren må oppdatere selv. Vi har til tider utfordringer knyttet til pålogging, men vi har hatt svært lite problemer med sikkerheten i løsningen, og vi har ikke hatt utfordringer med dette som har endt med at kunder har opplevd innbrudd, sier kommunikasjonsdirektør i Nordea, Rune Kibsgaard Sjøhelle, til digi.no.
Han understreker også at dersom noen kunder skulle oppleve tap som følge av datainnbrudd så vil dette bli dekket av bankene.
Men ingen av dem nevner andre former for tap som brukerne kan få dersom pc-en blir invadert av skadevare via Java-plattformen.
Mobil og nettbrett
Men det faktum at stadig flere velger vekk pc-en til fordel for nettbrett og smartmobil, gjør at også BankID har måttet komme med alternative løsninger, siden Java i nettleseren ikke støttes av de fleste slike enheter.
– Vi har likevel begynt å bevege oss vekk fra Java, ved at BankID lagres i SIM-kortet, forteller Steinsland.
– Telenor, Djuice og Talkmore har dette. Flere banker og mobiloperatører skal tilby dette i tiden framover.
Senest den 14. august kunngjorde NetCom på selskapets Facebook-side at selskapet planer å tilby støtte for BankID innen utgangen av året.
– Vi har også utviklet en app til iOS, mens en Android-versjon kommer i løpet av kort tid, forteller Steinsland.
Applikasjonen for iOS kom i sommer, men den krever at bankene støtter den på sine respektive nettsteder. Foreløpig er det tilsynelatende bare Digipost som støtter BankID-applikasjonen.
Råd
Steinsland ber kundene lytte til råd fra bankene. Nå er rådet å holde pc-programvare oppdatert, og for øvrig følge med på om det skjer noe under innloggingen som er uvanlig.
– I tillegg må hver kunde selv gjøre en vurdering av egen sikkerhet ut fra råd som gis av NorSIS og andre eksperter, sier Steinsland.
Ikke alle pc-brukere er like flinke til å holde programvaren oppdatert. Spesielt i Windows, hvor det ikke er noen felles oppdateringsløsning for tredjepartsapplikasjoner, kan mange brukere med fordel benytte et verktøy som varsler brukerne om nye versjoner av de det meste som er installert på pc-en. I likhet med NorSIS anbefaler Steinsland oppdateringsverktøyet Secunia Personal Software Inspector.
Men dette hjelper dessverre ikke mot angrep som utnytter sårbarheter som finnes i den aller nyeste versjonen, slik vi har sett de siste ukene.
Saken ble oppdatert 11.15 med en presisering om at Java ikke er «hellig» er BankID
Les også:
- [31.01.2013] Tror sårbar Java er trygg
- [11.01.2013] Kraftig advarsel mot Java
- [20.12.2012] Bedre sikkerhet for Java i nettleseren
- [28.09.2012] – Dette er svært uheldig
- [26.09.2012] Ny kritisk Java-sårbarhet
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [03.09.2012] Java-sandkassen knekket på nytt
- [31.08.2012] Oracle gir ut nødoppdatering til Java
- [30.08.2012] Fikk vite om Java-sårbarhet i april
- [29.08.2012] Teknisk Ukeblad annonse-hacket
- [28.08.2012] Nå bør du deaktivere Java
- [16.05.2012] Trang fødsel for mobil BankID
- [20.02.2012] BankID vil ikke vrake Java
