Datatilsynet forsvarer angrep mot BankID

Computerworld avslørte i forrige uke at professor Kjell Jørgen Hole og hans doktorgradsstudenter ved Universitetet i Bergen siden februar har gjennomført dataangrep mot BankID. Forskningen har vært kritisert fra flere hold, både fra banknæringen selv og Norsk senter for informasjonssikring (Norsis).

Nå får professor Hole støtte av Datatilsynet, som mener debatten har tatt en skremmende retning. Forskningen, som har avdekket sikkerhetshull i BankID, er samfunnsviktig og er å betrakte som varsling, mener avdelingsdirektør Leif T. Aanensen i Datatilsynet.

- Vi må ikke komme i en situasjon der vi avspiser og avfeier denne typen varsling. Vi må ikke være blinde. Først når vi får åpenhet og testet svakheter, får vi de systemene vi ønsker, sier Aanensen til Computerworld.

Han peker på at å komme med dårlige nyheter som professor Hole har gjort, aldri er populært. Slikt blir det bråk av.

- Man kan ikke skyte pianisten om han påpeker unoter i instrumentet, slår Aanensen fast.

LES OGSÅ: Professor hacket BankID

En av dem som har tatt til orde mot professor Hole er direktør i Post- og teletilsynet, Willy Jensen. I en kronikk i Aftenposten sår han tvil om kompetansen til universitetsprofessoren og hans doktorgradsstudenter. Den typen ytringer fra et offentlig tilsyn misliker Aanensen.

- I kronikken referer Jensen til dem som ”tilsynelatende eksperter”, og trekker deres kompetanse i tvil. Det er en tradisjonell måte å forsøke å avvæpne varslere, og helt klart ikke et tilsyns oppgave, sier Aanensen.

Han påpeker også at det er svært underlig av et tilsyn å gå så langt i forsvaret av et kommersielt produkt som BankID er.

- Professor Hole kommer med en del påstander om svakheter. I stedet for å avfeie det, bør de heller etterprøve professorens påstander og dokumentere sikkerheten, sier Aanensen.

Særlig fordi BankID er blant de pki-løsningene som har vært vurdert i arbeidet med en nasjonal, elektronisk id, er det viktig å stille spørsmål ved sikkerheten, mener Aanensen.

LES OGSÅ: Tar avstand fra professor-hack

Datatilsynet har en klar formening om at svakheter bør frem i dagen. Aanensen presiserer at man må påse å holde seg innenfor straffeloven, men at forskningen er svært viktig.

- De benytter seg her av det som kalles ”responsible disclosure”, som vil si å holde virksomheten informert. Det har de altså gjort, men til slutt har de sett at de må informere brukerne. Det syns jeg er ryddig, men man må være varsom med metodene man bruker.

- Men kunne man brukt noen annen metode? Må man ikke bruke de samme teknikkene som hackere gjør for å vise sårbarhetene?

- Nei, man kan vel egentlig ikke bruke andre metoder. Her må man ta et valg, og finne ut av hva som er forsvarlig. Slik jeg har forstått det har de brukt egne konti, så ingen andre er rammet av dette, sier Aanensen.

Han ønsker at universitetsmiljøene kommer mer på banen og jobber med spørsmål som sikkerhet og personvern, og at det må være rom for det i samfunnet.

- Dette er en professor i it-sikkerhet og hans forskergruppe ved en ansvarlig institusjon. Det er en ganske annen situasjon enn noen på gutterommet. Hvis ikke de skal blåse i fløyta, hvem gjør det da? Jeg vil heller at Hole gjør det, enn en id-tyv, sier Aanensen til Computerworld.