Duell i nettbank-kampen

- Er sikkerheten rundt pålogging av norske nettbanker sikker nok?

Kjell Jørgen Hole, Universitet i Bergen:

- Min forskningsgruppe har påvist flere sikkerhetsproblemer i forbindelse med pålogging i norske nettbanker. I mars i år informerte vi banknæringen om et alvorlig sikkerhetshull i BankIDs påloggingsrutine. BankID-koordinatoren hevder at dette hullet ble tettet i november. Sikkerheten har med andre ord vært utilfredsstillende i store deler av 2007.

Kjell Jørgen Hole

Knut Kvalheim, Bankenes Standardiseringskontor:

- Bankene i Norge har generelt gode autentiseringsløsninger for pålogging i nettbank. Man har vært tidlig ute med å ta i bruk tofaktor autentisering, sammenlignet med land som USA og England. Som en følge av dette har det vært få svindelforsøk mot banker og bankkunder i Norge. Tap i nettbankene er minimale.

Knut Kvalheim

- Kan man forsvare å hacke it-systemer av samfunnsmessig betydning for å få svakheter frem i lyset?

Hole: - Forskere har et samfunnsansvar for å evaluere sikkerheten i systemer av nasjonal betydning. Det er selvfølgelig viktig å informere eierne av systemene om forskningsresultatene på en forsvarlig måte. I tilfeller hvor systemeier ikke tar innover seg alvorlige sikkerhetshull kan det være nødvendig å demonstrere sikkerhetshullet i praksis. En slik demonstrasjon "tvinger" eieren til å utbedre sikkerheten. I tillegg blir kundene informert om risikoen de tar ved bruk av systemet.

Kvalheim: - Vi setter stor pris på at forskere og andre tar kontakt og påpeker eventuelle svakheter i systemene. Bankene vurderer risikobildet løpende og tar med seg innspillene i sitt arbeid. Imidlertid vil man sette inn størst ressurser der man ser at risikoen er størst, og det at sårbarheter påpekes vil ikke alltid endre risikovurderingen. Vi vil også bemerke at det tar lenger tid å gjennomføre tekniske endringer i komplekse systemer med mange avhengigheter enn på en forskerlab.

- Er norske banker gode nok i sin informasjon om banksikkerheten til norske forbrukere?

Hole: - Risikoene ved bruk av nettbanker bør kommuniseres tydelig til brukerne. Bankene har lenge hevdet at løsningene deres er sikre nok. Vår forskning har derimot avdekket et stort sprik mellom hva kundene blir fortalt og det reelle sikkerhetsnivået i nettbankene.

Kvalheim: - Vårt inntrykk er at bankene har høy bevissthet rundt informasjon om sikkerhet. For eksempel er norske bankkunder "godt oppdratt" til å være skeptiske til epost fra banker som ber om personopplysninger. Bankene gir også råd til sine kunder om sikring av egen datamaskin og oppbevaring av kodekort og passord. Flere banker gir dessuten sine kunder mulighet for å laste ned gratis sikkerhetsprogramvare og tar på den måten en aktiv rolle.

- Hvor går grensen mellom brukervennlighet og sikkerhet - hva bør veie tyngst?

Hole: - I tilknytning til nettbanksystemer må førsteprioritet være å tilby et tilfredsstillende sikkerhetsnivå for alle involverte parter. Dernest kan løsningen tilpasses slik at den blir mest mulig brukervennlig.

Kvalheim: - Hvis nye sikkerhetstiltak fører til at vi stenger en stor andel av bankkundene ute fra nettbanken, vil det gjerne bli brukt litt ekstra tid på å finne alternative løsninger. Det er en betydelig utfordring å lage sikkerhetsløsninger som skal fungere for store brukergrupper og på ulike plattformer. En løsning som ikke er tilgjengelig for mange nok brukere, kan banknæringen ikke leve med. På den andre siden ser vi at kundene er positive til nye sikkerhetstiltak og aksepterer litt ekstra " bry", som for eksempel å taste inn ekstra sikkerhetskoder for å verifisere transaksjoner.

- Hvem bør ha det økonomiske ansvaret når nettbanken tappes for penger?

Hole: - Et nettbanksystem må samle bevismateriale som kan benyttes av både banker og kunder i eventuelle tvister. Håndteringen av dette bevismaterialet må være underlagt strenge krav, og innhentes, oppbevares og tilbys av en uavhengig tredjepart. På bakgrunn av denne informasjonen er det opp til rettsvesenet å fordele ansvar.

Kvalheim: - Det økonomiske ansvaret er regulert av Finansavtaleloven. Ved eventuell svindel i nettbank vil personkunden aldri lide noe økonomisk tap så lenge kunden ikke har vært grovt uaktsom eller har handlet med forsett. Banken må da selv dekke tapet. Så vidt vi er kjent med har ingen norske bankkunder lidt tap som følge av nettbanksvindel. Bankene har dekket eventuelle tap og disse har vært minimale i Norge.