Et lag sikkerhetsforskere ved universitetet i Bergen, under ledelse av professor Kjell Jørgen Hole, har på nytt klart å bryte seg inn i to nettbanker. Det skjedde på nyåret ved hjelp av bankenes system for identifikasjon, BankID.
Professor Hole og kryptolog Kristian Gjøsteen, har dermed nå ved to anledninger avdekket alvorlige sikkerhetshull ved BankID-systemet.
Kredittilsynet ble også denne gangen umiddelbart varslet og sikkerhetshullet ble tettet i midten av januar.
Det var en doktorgradsstudent som testet de nye sikkerhetssystemene i BankID:
- Resultatet var nedslående, forteller professor Kjell Jørgen Hole.
- Studenten brukte bare en arbeidsdag på å utvikle et nytt dataprogram som viste at BankID fortsatt var usikkert.
- Forbrukerrådet ber nå om en tredjeparts kontroll av sikkerheten rundt elektronisk signatur/nasjonal ID.
- Dette kontrollorganet bør på plass snarest, og bør også være operativt og med i bestemmelsene om hvem som får tildelt ansvaret for en elektronisk signatur /nasjonal ID, sier Forbrukerrådets direktør, Erik Lund-Isaksen.
- Kontrollorganet må også ha sanksjonsmuligheter, understreker Lund-Isaksen. Da vil man også tydelig ha plassert ansvar. Så lenge sanksjonene ikke er på plass, vil bankene først og fremt tenke på brukervennligheten.
Etter at professor Hole i fjor høst viste at hackere kan få tilgang til nettbankene ved hjelp av bankenes eget system for identifikasjon, skrev Finansnæringens Hovedorganisasjon og Sparebankforeningen et brev til Stortingets finanskomite, der det ble slått fast: ”BankID er sikkert, og kundene kan være helt trygge når de benytter BankID”.
- Når bransjen går til det skritt å sende brev til Stortinget, blir vi særs oppmerksomme med hensyn til sikkerheten, så lenge det ligger i kortene at den lanserer BankID som løsning for nasjonal, digital signatur, sier Erik Lund- Isaksen.
- Forbrukerrådet tar ikke stilling til hvilken teknisk løsning som bør velges som nasjonal ID. Vi mener imidlertid at den løsningen som velges bør være gjenstand for en nøytral tredjeparts kontroll for å oppnå betryggende sikkerhet rundt systemet, opplyser Erik Lund-Isaksen.
I dag er BankID et lukket system, der næringen ikke har vært villig til å gi eksterne tilgang til å kontrollere sikkerheten.
- For BankID brukt kun som sikkerhetssystem for nettbanker er dette for så vidt greit, dersom bankene tar det økonomiske ansvaret for eventuelle sikkerhetsbrister - også for kundenes tap, mener Forbrukerrådets direktør.
Bankene har imidlertid lansert sin egen BankID som kandidat til nasjonalt ID/signatur-system. Da vil BankID bli brukt bredere, og sannsynligheten for identitetstyveri ved eventuelle sikkerhetsbrister øker.
Forbrukerrådet mener at BankID derfor allerede nå bør tillate tredjepartskontroll av sikkerheten i systemet. Forbrukerrådet stiller for øvrig det samme kravet om nøytral tredjepartskontroll til andre aktuelle systemer for nasjonal elektronisk ID.
Tips en venn om denne artikkelen
Utskriftsvennlig versjon av siden
Elektronisk signatur: Digitale signatur som kan brukes til å knytte personer til digitale dokumenter eller legitimere personer på internettet, såkalt e-legitimasjon.
© forbrukerportalen.no Har du kommentarer til nettstedet, send e-post til webredaksjonen.
Ansvarlig redaktør for innholdet på forbrukerportalen er Julie Bianca Dahl. Ansvarlig redaktør for Forbruker-rapporten er Jarle Oppedal.
Nyhetsbrev og syndikerte nyheter (RSS og ATOM)