Akademisk artikkel om BankID



Like dokumenter
Akademisk artikkel. BankID

Brukerveiledning for identifisering med BankID

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007

ID-tyveriprosjektet. Det må bli vanskeligere å bli kunde i Norge! Hva er gjort og bør gjøres for å redusere risiko og omfang?

Innhold. Helseopplysninger, BankID og risiko. Cracker s pub Trondheim, 5. mars Institutt for matematiske fag, NTNU.

Vilkår ID-tyverisikring og Netthjelp ved misbruk

Fagerjord sier følgende:

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis

Derfor trenger du BankID på nettstedet ditt

Slik tar du nettbanken i bruk

Forskningsmetoder i informatikk

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

Om EthicsPoint. Om EthicsPoint Rapportering Generelt Rapporteringssikkerhet og konfidensialitet Tips og beste praksis

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

IT for medisinsk sekretær Fredrikstad Kai Hagali

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

Test of English as a Foreign Language (TOEFL)

Refleksjonsnotat Web.

Statens legemiddelverk. Generelt om Altinn. EYRA - Digital samhandling med Statens legemiddelverk

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

Kompetansemål fra Kunnskapsløftet

Registrering av nytt medlem Dyptgående beskrivelse

Angrep på demokratiet

transen snasenrot trenissen trondegutten127 hansetrondsen nesnah dnort trendnissen Trond Hansen kosebamsen84 trasen batman trikaahansen02 trusehasen

Sikker på nett. Hva skal man gjøre for å være sikker på nett med PC, nettbrett eller mobil. Carl-Edward Joys Seniornett Asker

Video om xid er tilgjengelig her:

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Enklere bank. snn.no/bruk

Kjære unge dialektforskere,

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Nettbedrageri - den nye arenaen for bankrøvere. Johan Magne Andresen, Ålesund

Nettbanksikkerhet. Erfaringer fra SpareBank 1

Referat fra Temakveld om lobbyvirksomhet Innleder: Håvard B. øvregård, leiar for Noregs Mållag

Norm for dokumentasjon av bruk av kilder i oppgaver av ulik slag ved Vågsbygd videregående skole.

VILKÅR FOR BRUK AV PREODAY APP OG E-HANDELSLØSNING

my good friends uke

INEOS mener at de viktigste aktivaene er de ansatte. Ved å gjøre kommunikasjonskanalene åpne, legges det til rette for et positivt arbeidsmiljø.

WEB VERSJON AV UTTALELSE I SAK NR,06/1340

Brev til en psykopat

Ipsos MMI Erik Griffin 1. november 2012

Brukermanual - Joomla. Kopiering av materiale fra denne Bonefish manualen for bruk annet sted er ikke tillatt uten avtale 2010 Bonefish.

Hvordan lage en hjemmeside

Intervjuguide. Generell disposisjon. 1. Før intervjuet - Forberedelser

PERSONVERNERKLÆRING BARNEVAKTNETT

Oppgaver og løsningsforslag i undervisning. av matematikk for ingeniører

Veiledning til opprettelse av eget passord for sikker netthandel 2 alternative metoder for opprettelse av eget passord

Sikkerhet og internett

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Support, nye funksjoner og tjenester fra Uni Pluss

1. Kjønn. Kartlegging av informasjonssikkerhetskultur - Gran Kommune :25. Først vil vi vite litt om hvem du er. 100% 90% 80% 74,9% 70%

Produktdokumentasjon. Madison Møbler Administrasjonsside og Nettbutikk

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Forskningsmetoder i informatikk

Eksamen er todelt, og har en kvantitativ og en kvalitativ del. Begge skal besvares.

Innholdsfortegnelse Side

Elev ID: Elevspørreskjema. 8. årstrinn. Institutt for lærerutdanning og skoleutvikling Universitetet i Oslo

Forskningsmetoder i informatikk

Diskuter egen vitenskapsteoretiske posisjon

FORSIKRINGSSKADENEMNDAS UTTALELSE NR

Så hva er affiliate markedsføring?

Online booking i Extensor

Brukerveiledning for SI Norge. Publiseringsverktøy for klubbenes hjemmesider

Rundskriv. Forbedret sikkerthet

Nettsikkerhet. Tom Heine Nätt Høgskolelektor Høgskolen i Østfold tom.h.natt@hiof.no

Del 1: Overgang fra gammel hjemmeside til ny hjemmeside

Hvordan skrive tekster som alle forstår ikke bare sjefen? Ove Dalen 9. juni 2011

Brukerveiledning Bruk av siden. Når du går inn på siden får du opp følgende bilde:


Vanlige spørsmål. GallupPanelet. TNS Panel-app. TNS Juni 2015 v.1.3

Testdokumentasjon. Gruppe 9

Bidrar din bedrift til hvitvasking av identitetsdokumenter? Christian Meyer Seniorrådgiver

Erfaringer med elektronisk ID og signatur. Mari Holien, Steinkjer kommune

Det samme som World Wide Web Et lokalnett (LAN) Et verdensomspennende nettverk Startsiden til et nettsted. Hva betyr forkortelsen HTML?

Brukermanual. VPN tilgang til Norsk Helsenett

Revidert veiledningstekst til dilemmaet «Uoffisiell informasjon»

MieleLogic. - Internett. - Oppvaluering - Kontant

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

NORGES HØYESTERETT. HR A, (sak nr. 2014/1734), straffesak, anke over dom, I. (advokat John Christian Elden) II. (advokat Halvard Helle)

DE ER NOEN JEG ALDRI HAR MØTT SOM TAR SEG AV PENGENE JEG ALDRI HAR SETT.

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Gjennom lydmuren. Jeg har alltid folt meg litt i min egen lille boble. Om a leve med nedsatt horsel. Forsiden

Identitetstyveri. NIRF Nettverk IT-revisjon / Nettverk Misligheter Nettverksmøte v/ seniorrådgiver Tommy Antero Kinnunen

BRUKERVEILEDNING Senter for pasientmedvirkning og samhandlingsforskning (SPS) Oslo universitetssykehus HF 2013

Prosjekt 3 i sikkerhet og hacking

Publiseringsløsning for internettsider

Multi-Faktor Autentisering. Brukerveiledning

Espen Grimmert. Slik bruker du SOSIALE MEDIER PÅ JOBBEN

Slik tar du i bruk nettbanken

Kim Ellertsen, direktør NSR. En ny identitet blir stjålet hvert 4.sekund

ID-tyveri og sikkerhet for egen identitet

Brukerveiledning. Madison Møbler Nettbutikk

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Månedsrapport for november 2007

Komme i gang med Skoleportalen

Å SØKE INFORMASJON. Kompetansemål etter 10. trinn: Læringsmål:

KOM I GANG MED WORDPRESS En enkel guide for å hjelpe deg gjennom det grunnleggende i Wordpress

Netctrl 2.0. Innhold. I dette dokumentet er den nye funksjonaliteten beskrevet.

Transkript:

AMUND LÅGBU Akademisk artikkel om BankID Hvilke sikkerhetsmessige konsekvenser kan bruk av BankIDs nettbanktjenester få for bankenes kunder? INNLEDNING I denne artikkelen har jeg valgt å konsentrere meg om konsekvenser for kundene ved bruk av nettjenesten BankID. Jeg har valgt bort en teknisk løsning av oppgaven siden jeg som førsteårsstudent mangler kompetanse om tekniske løsninger. En artikkel som går mer i dybden om hvordan et nettbankprogram fungerer krever mer teknisk forståelse enn hva jeg har innehar dag. Eksperimentet til professor i informatikk, Kjell Jørgen Hole, og hans studenter, står imidlertid sentralt i min artikkel. Jeg har intervjuet Hole over telefon 14.09.2010. Bakgrunnen for at jeg bestemte meg for å ta kontakt med ham var at eksperimentet, deler av denne oppgaven er bygget på, ble utført i 2007. Jeg mente derfor at et intervju med Hole ville gjøre min oppgave mer aktuell. Informasjonen jeg har samlet inn er fremstilt som et kortfattet, kvalitativt intervju i hoveddelen. Jeg valgte et kvalitativt intervju som metode, siden jeg ikke ønsker å generalisere funn, som i en større kvantitativ undersøkelse. Jeg ønsker derimot svar på om det fortsatt er risikoer forbundet med bruk av BankID, eller ikke. Jeg valgte å intervjue ham forholdsvis åpent og formet derfor mine spørsmål underveis i intervjuet, siden jeg som førsteårsstudent ikke har mye innsikt i faget, og siden Hole trolig ville kunne komme med innspill som jeg ikke hadde tenkt på i forkant. Spørsmålene var imidlertid lukket til mitt emne. Intervjudelens begrensninger er blant annet at det ikke er skrevet ned i sin helhet, eller spilt inn med diktafon. Hole har snakket til meg over telefon mens jeg har notert, og det er derfor ikke sikkert at notatene jeg tok under intervjuet er pålitelige. Jeg kan ha notert feil eller tolket ham på en gal måte. Likevel har jeg i størst mulig grad forsøkt å sitere ham ordrett. I intervjuet påpeker Hole at BankID systemet er blitt sikrere for kundene enn det var for noen år siden. Jeg har derfor valgt å undersøke om Holes utsagn stemmer overens med hvordan BankID systemet fungerer i dag. For å løse dette har jeg sett nærmere på informasjon om BankID-løsningens sikkerhet som er offentliggjort på BankIDs egne nettsider. Jeg drøfter dette opp mot Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor, som stiller krav til ulike kategorier nettsteders sikkerhet. Også Cryptomathics rettssak mot BankID samarbeidet er aktuell. For dersom det danske firmaet får gjennomslag i anken, kan det være mulig at systemet ikke lenger kan brukes. Et tenkelig utfall av dette kan være at kundene for en periode blir nødt til å logge seg inn med brukernavn og passord uten å kunne ta i bruk kodekalkulator. Jeg ønsker derfor å gå nærmere inn på hvordan dette kan få følger for bankenes kunder, og vil se nærmere på artikler fra nettet om Holes eksperiment i 2007, og hans utsagn under mitt intervju i september, for å drøfte mulige konsekvenser. Videre sier Hole at alt er mulig for datakriminelle. Jeg vil derfor gå nærmere inn på hva som skal til for å skape sikker nettbankinnlogging og drøfte mine funn med hensyn til kundenes sikkerhet. I konsklusjonen vil jeg svare på problemstillingen og drøfte hoveddelen opp mot denne. Min problemstilling lyder som følger: Hvilke sikkerhetsmessige konsekvenser kan bruk av BankIDs nettbanktjenester få for bankenes kunder? Om problemstillingen: Jeg har valgt å begynne problemstillingen med spørreordet hvilke fremfor hvordan. Dette på grunn av oppgavens omfang. Med teksten hvilke sikkerhetsmessige konsekvenser er jeg bare ute etter å beskrive de sikkerhetsmessige konsekvensene bruk av nettbank kan få for kundene. Jeg ser at en problemstilling med ordlyden hvordan kan BankIDs nettbanktjenester få følger for kundenes sikkerhet ville ha etterspurt en mer forklarende oppgave. Nå følger korte redegjørelser for viktige begreper i problemstillingen. De første tre forklaringene er hentet fra leksikonet på internett som ikke er publisert med dagen de er skrevet. En egen referanseteknikk for disse kildene, som Store Norske Leksikon pålegger referenter å ta i bruk, følger i litteraturlisten.

Sikkerhet: Sikkerhet, sannsynlighet for at ulykker unngås; fravær av situasjoner eller tilstander som kan forårsake personskade og død, eller skade eiendom eller miljø. Sikkerhet er ofte brukt som motsetning til risiko. Store Norske Leksikon(2010) Konsekvens: I følge Knut Erik Tranøy er Konsekvens, følge, følgeriktighet; samsvar mellom prinsipp og handling; et utsagn som er en logisk følge av ett eller flere andre utsagn. Store Norske Leksikon(2010) Nettbank: Nettbank, banktjenester som utføres via Internett... Nettbank innebærer at rutinepregede transaksjoner kan gjennomføres etter selvbetjeningsprinsippet, og innebærer store besparelser for både bank og kunde. Store Norske Leksikon(2010) BankID: BankID er en... elektronisk legitimasjon for... identifisering og signering på nett. (BankIDs hjemmeside, lest 2010) HOVEDDEL Intervju med Kjell Jørgen Hole Jeg tok kontakt med Hole over telefon. Professoren fra Bergen var tidlig ute med å informere meg om at nettbankene i all hovedsak benytter seg av sikrere programvare nå enn da han gjennomførte sitt eksperiment for tre år siden. Det har skjedd mye siden 2007. Nå benytter de fleste bankene seg av en annen påloggingsmetode enn de gjorde før, sier han. Hva mener du med det?, spør jeg. I dag må brukeren i de aller fleste tilfeller logge seg inn med en engangskalkulator i tillegg til at det tastes inn et brukernavn og passord. Deretter blir brukeren på nytt spurt om å taste inn en kode fra kalkulatoren når det skal utføres en betaling. Slik var det ikke for tre år siden. Vil du fortsatt være i stand til å stjele en annen brukers identitetskoder, slik du viste at du kunne gjøre i 2007? Hvordan systemet fungerer i dag vil jeg være forsiktig med å uttale meg om, svarer han og tillegger senere Selv om jeg vet lite om hvor sikkert dagens system fungerer, er alt mulig. Men når bankene ser at tapene er små, kan de anse systemet som sikkert nok, påpeker Hole, som også hevder at Norge har vært mindre belastet med id-tyverier enn andre land. En utfordring med BankIDsystemet er imidlertid at det kan være mer usikkert for kundene dersom systemet svikter og kundene blir nødt til å logge seg inn på nettbankkontoer bare ved hjelp av brukernavn og passord, poengterer professoren. I følge NTB (2010) er nettopp kan nettopp dette være aktuelt i dag. For nettbankløsningen har en usikker fremtid. Det danske firmaet Cryptomathic gikk i år til sak mot BankID samarbeidet. Hole informerer meg at firmaet krevde 40 millioner kroner i erstatning, og i tillegg at de norske bankenes bruk av programvaren måtte opphøre. Firmaet hevdet, i følge Hole, at BankID Samarbeidet hadde stjålet deres patenterte systemer. Selv om Cryptomathic ikke fikk gjennomslag for sine krav, informerer professoren at saken ennå ikke er avgjort. Det danske firmaet har anket dommen. Dersom påstandene stemmer får vi en riktig krise. Da har vi med ett et system med flere millioner brukere som er ulovlig, avslutter han. Teori og drøfting Hemmelighold kontra åpenhet. Forfatterne av boken Web Security, Privacy and Commerce, Garfinkel og Spafford, hevder at et internettbasert betalingssystem kan bygges opp på tre, ulike måter; anonymt, privat eller identifiserende. Et anonymt system vil gjøre det matematisk umulig for andre å identifisere en bruker, dersom denne ønsker å tilbakeholde slik informasjon. Programmere har imidlertid aldri klart å utforme et slikt system. Et privat system er utformet slik at de ansatte i banken ikke kjenner identiteten til brukeren, men det er likevel mulig for disse å få kjennskap til brukerens identitet ved å konferere med de som vedlikeholder systemet. I et identifiserende system er all informasjon om brukeren tilgjengelig for de ansatte i banken. (Garfinkel og Spafford, 2002) I mai 2005 publiserte nyhetssiden Computerworld en artikkel om den til da mest omfattende datasvindelen i amerikansk historie. Identitetsopplysninger fra 676.000 bankkunder i New Jersey var tappet til selskapet DPL, som de ansatte selv hadde startet. Svindelen var imidlertid ikke utført av folk med IT-bakgrunn. De ansatte hadde full tilgang til kundenes identitetsopplysninger og lekket disse videre til sitt eget selskap. (Computerworld)

I min problemstilling ønsker vi å beskrive konsekvenser for kundene ved bruk av BankID. Dersom alle opplysninger om kundene er tilgjengelige for de ansatte i en bank, er det mulig at de ansatte selv kan utgjøre en sikkerhetsrisiko. For som Garfinkel og Spafford skriver, er et fullstendig anonymiserende datasystem ikke utformet ennå. Jeg ser, med hensyn til eksempelet fra New Jersey, at dersom bankens ansatte har tilgang til kundenes passord og identitetsopplysninger, kan det få konsekvenser for brukernes sikkerhet. De ansatte kan, som i det overnevnte eksempelet, misbruke tilgjengelige opplysninger. BankID BankID er en utbredt sikkerhetsbarriere norske kunder må logge seg inn på for å få tilgang til en betalingstjeneste i landets nettbanker. I følge BankID Samarbeidets egne nettsider har tre av fem nordmenn over 14 år i dag tilgang til BankID. Firmaet skriver videre at av alle de norske kundene som har tilgang til tjenesten, har over 60 prosent benyttet den seg av den. BankID (2010). På BankIDs nettsider blir jeg informert om at: i en nettbank fungerer BankID ved at en kunde logger seg på tjenesten med bruk av et 11-sifret personnummer, et personlig passord og med koder fra ulike typer sikkerhetskort. Firmaet informerer videre at BankID er et elektronisk sertifikat som blir lagret ved Bankenes Betalingssentral, og ikke hos hvert enkelt bankfirma, slik det ble gjort i New Jersey i USA. Typen av sikkerhetskort bankene benytter seg av varierer fra nettbank til nettbank. Alt fra kort med trykte koder, elektroniske kodekalkulatorer som utformer egne koder og kort med kortlesere er i bruk. BankID(2010). BankID Samarbeidet hevder at tjenesten tilfredsstiller sikkerhetsnivå fire, som de forklarer er det høyeste sikkerhetsnivået for en nettbanktjeneste. På BankIDs sider er det linket videre til regjeringen.no s nettsider og Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. BankID (2010). Sikkerhetskrav I det overnevnte rammeverket stilles det ulike krav til en netttjenestes sikkerhet blant annet for å motvirke datakriminalitet. For det første stilles det krav til autentiseringsfaktor. En statisk autentiseringsfaktor kan være et passord som ikke endres fra gang til gang, men forblir det samme når kunden gjentatte ganger logger seg inn på en nettside. En dynamisk autentiseringsfaktor endrer seg når kunden benytter seg av en tjeneste mer enn bare én gang. Det stilles også krav til uavviselighet, som er et begrep som sier noe om det kan dokumenteres om kunden står bak en handling, eller ikke. I tillegg må en sikkerhetsløsning i enkelte tilfeller være offentlig godkjent. (Fornyings- og administrasjonsdepartementet, 2000). Nivå fire, som BankID Samarbeidet på sitt nettsted hevder de oppfyller, er det høyeste kravet til sikkerhet i rammeverket. Kundenes autentiseringsinformasjon er lagret og ikke kopierbar. For å oppfylle kravene må sikkerhetsløsningen ha minst to autentiseringsfaktorer, hvorav én av dem er dynamisk. Det stilles krav om at brukeren av en slik tjeneste skal møte opp personlig før bruk og legitimere seg minst én gang. Løsningen skal også være offentlig godkjent, og det skal fremgå av historikken hvem som har tatt systemet i bruk. (Fornyings- og administrasjonsdepartementet, 2000). Med hensyn til informasjonen som er gitt på BankIDs sider virker det som om BankID oppfyller noen av standardene for det høyeste sikkerhetsnivået. For ved bruk av tjenesten må kunder logge seg inn med statiske autentiseringsfaktorer, som i dette tilfellet kan være kundens personnummer og private passord, som ikke endres fra gang til gang. At brukeren må benytte seg av en kodekalkulator vil også kunne oppfylle ett av kravene for sikkerhetsnivå fire i rammeverket. For ved å benytte seg av en slik kalkulator vil kunden kunne logge seg inn med en dynamisk autentiseringfaktor som endres fra gang til gang. Risikoer knyttet til oppgraderinger og nyetableringer I intervjuet med Kjell Jørgen Hole uttrykker han bekymring for rettssaken mot BankID Samarbeidet. Han hevder at dersom det danske firmaet Cryptomathic får gjennomslag i sin anke av saken, om deler av programvarens opphavsrett, vil BankID kunne bli ulovliggjort. Om så skjer er det tenkelig at bankene vil kunne bli nødt til å skaffe til veie et nytt system for å erstatte det gamle, endre det eksisterende systemet, eller for en periode ta i bruk en eldre form for påloggingsmetode. Michelle Potter, med flere, skriver i boken E-Commerce, E-Government, and Mobile Commerce at å endre et system kan være en sikkerhetsrisiko i seg selv. Barclays Bank i Storbritannia fikk erfare nettopp dette da den britiske banken ved én anledning oppgraderte sitt datasystem. Etter oppgraderingen rapporterte flere av Barclays Bank s kunder at de kunne se andre kunders kontoopplysninger. Sikkerhetsbristen ble ikke rettet før ett døgn etter at den hadde oppstått. I mellomtiden hadde saken fått mediadekning, noe som kunne gitt datakriminelle tid til å utnytte feilen til sin fordel. Bokens forfattere hevder imidlertid at det som regel oppstår færre feil ved oppgraderinger av ekisterende systemer, enn det gjør når et nytt datasystem lanseres. (Michelle Potter et al. 2006). For BankIDs kunder kan derfor en ulovliggjøring av BankID innebære en sikkerhetsrisiko. For dersom systemet ikke lenger kan brukes, slik det fremstår i dag, må det i beste fall endres. En slik systemendring vil, i følge Potter, kunne føre med seg feil som datakriminelle kan utnytte. Dersom BankID som sytem ikke lenger kan brukes vil dette utgjøre en større sikkerhetsrisiko, for dersom det må utarbeides et nytt system kan et et slikt være enda mer utsatt for feil.

Passord - en risiko? I følge Potter, med flere, er bruk av passord sentralt når informasjon skal sikres på internett. Forfatterne skriver videre at passord ofte kan være en sikkerhetsbarriere som datakriminelle lett kan overvinne. De hevder at passord kan gjøres sikrere ved at brukeren av et datasystem krypterer passord på en måte som gjør dem vanskeligere å knekke enn ved bruk av ord og uttrykk fra brukerens dagligliv. Imidlertid er det sjelden brukere krypterer passord med ord som ikke eksisterer i virkeligheten. En undersøkelse har vist at bare ti prosent av databrukere pleier å kryptere passord slik at kodene blir vanskelige å knekke.(michelle Potter et al. 2006). Hvis jeg følger den overnevnte tankerekken i kapittelet om risikoer ved nyetableringer og oppgraderinger, er det mulig at brukere av BankID må gå over til en eldre metode for pålogging til nettbanken sin dersom BankID skulle bli ulovliggjort. Et tenkt scenario er at kundene da må logge seg inn uten engangskalkulator, og bare benytte seg av et personlig passord og personnummer, som er statiske autentiseringsfaktorer som ikke endres fra gang til gang. Dette kan gjøre det lettere for datakriminelle å bryte seg inn på brukerens nettbank, siden brukerne da ikke benytter seg av dynamiske autentiseringsfaktorer (jamfør kapittelet om sikkerhetskrav, og hva som skal til for å skape best mulig påloggingssikkerhet). Dette er bare et tenkt scenario, og det er ikke sikkert at det er dette som blir utfallet dersom Cryptomathic får medhold i anken. En annen utfordring ved passordbruk, som også eksisterer ved bruk av BankID i dag, er at kundene må bruke et personlig passord når de logger seg på en nettbank. Dette statiske passordet er det mulig at brukeren benytter seg av også på andre internettsteder, noe som kan innebære en risiko for kunden. I Potters bok står det skrevet at slike statiske passord ofte er utformet på en måte som gjør dem lettere å huske for databrukeren.(michelle Potter et al. 2006). Derfor kan det også være at datakriminelle, som klarer å oppnå tilgang til en brukeres statiske passord når denne benytter seg av BankIDs påloggingsmetode, kan sikre seg tilgang til andre nettsteder som kunden benytter seg av. Som Potter skriver er de aller fleste statiske passord kryptert i liten grad, og det kan derfor også hende at brukerne logger seg på med samme passord flere steder. I motsatt fall kan datakriminelle få tilgang til et personlig passord når brukeren benytter seg av en annen internettside, for så å bruke dette ved pålogging med BankID. Derfor kan dårlig krypterte statiske passord svekke kundenes sikkerhet ved bruk av BankID i dag, selv om denne påloggingsmetoden også er sikret med dynamiske autentiseringsfaktorer. Vanlige former for datakriminalitet I mittt intervju med Kjell Jørgen Hole sier han at alt er mulig for datakriminelle som er ute etter å stjele bankkunders identitetsopplysinger. I boken E-Commerce, E-Government, and Mobile Commerce er de vanligste formene for identitetstyverier på nettet listet opp. Enkelte av disse kan kriminelle benytte seg av for å narre banksystemer, bankansatte eller bankens kunder. I følge forfatterne av boken er phishing, misbruk av ansatte, utnyttelse, posing og spyware vanlige former for identitestyverier. Phishing foregår ved at de datakriminelle designer en falsk nettside som ligner et selskaps offisielle nettside som kundene blir narret til å benytte seg av. Misbruk av ansatte foregår ved at de ansatte selv utnytter sin posisjon i en virksomhet til å selge eller gi ut hemmelighetsstemplet informasjon, slik som i eksempelet fra New Jersey. Posing brukes blant annet av kriminelle som uten tillatelse representerer (for eksempel) en av bankens kunder. Spyware er et program som, ofte i skjul, samler personlig informasjon om et offer. Dette kan installere seg selv på en datamaskin samtidig med at annen programvare lastes ned. (Michelle Potter et al. 2006). På et generelt grunnlag blir identitetstyverier, med hensyn til datakriminalitet, videre definert som elektronisk ervervelse av personlige informasjon til bruk i kriminell aktivitet på, eller utenfor Internet. Dette er den vanligste formen for internettrelatert kriminalitet i Statene. (Michelle Potter et al. 2006). Holes eksperiment i 2007 og kriminelle nettverk I følge Mats Lillesund (2007) utførte professor i informatikk ved Universitetet i Bergen, Kjell Jørgen Hole, og hans doktorgradsstudenter, i 2007 IT-angrep mot to norske banker. For å kunne bevise at nettbankenes sikkerhetsprogram for pålogging, BankID, ikke var godt nok beskyttet benyttet de seg av teknikker for kodeknekking på et utvalg av passordbeskyttede konti. I korte trekk besto angrepene av å opprette fiktive nettsider som var tilnærmet identiske med bankenes innloggingssider. Hole og hans studenter valgte deretter å fungere som mellommenn mellom brukerne av nettjenestene og bankene, ved at de selv tastet inn informasjon som brukerne oppga på de fiktive sidene, såkalt phishing som er beskrevet i vår tekst om datakriminalitet. Mats Lillesund (2007) skriver videre at etter at Hole hadde vært i medias søkelys senhøsten 2007, offentliggjorde BankID Samarbeidet at de hadde gjennomgått metodene for nettbankpålogging, og at disse nå var sikrere. Kjell Jørgen Hole motbeviste utsagnet ved å på ny knekke en kode til en nettbankkonto over et halvt år etter at BankID hevdet at problemet var løst. Om BankID fortsatt er en usikker påloggingsmetode, slik Hole beskrev den som i 2007, er usikkert. Da jeg intervjuet ham 14. september i år uttalte Hole at han da ikke var sikker på om han var i stand til å på ny knekke en brukers påloggingskoder ved bruk av BankID. Han uttalte også at systemet i dag er sikrere enn det var da han utført sitt eksperiment, siden påloggingssystemet er endret med utstrakt bruk av dynamiske autentifiseringsfaktorer.

Imidlertid legger Hole til at dette også kan komme av at Norge har vært lite belastet med identitetstyverier, og at når bankene ser at tapene er små, vil de anse at systemet fungerer tilfredsstillende. Faren ved en slik tankegang kan være at systemet ikke er rustet for et massivt dataangrep i fremtiden. For hvis bankene anser små, økonomsike tap som tilfredsstillende, kan det fortsatt være huller i systemet som datakriminelle kan utnytte. Leif Martin Kirknes (2009) skrev i fjor en artikkel om datakriminelles kapasitet til å bryte seg inn i nettbanker og erverve sikkerhetsbelagte identitetsopplysninger. Artikkelforfatteren skriver at de kriminelle styrer over 100 millioner datamaskiner i verden som tilsammen har mer datakraft enn alle eksisterende supercomputere til sammen. I følge denne artikkelen samarbeider maskinene i et system kalt Botnet. I artikkelen står det spesifisert at Botnet blant annet kan brukes til tyverier av bankkunders bankdetaljer. Brukerne av de fleste maskinene i Botnet er ikke klar over at deres maskin inngår i det kriminelle nettverket. Også bedrifters datamaskiner er infisert. I hvor stor grad Botnet har tilgang til firmamaskiner er ikke fullstendig kartlagt Utfra denne artikkelen ser jeg at det finnes datakriminelle som kan være i stand til å iverksette et massivt angrep mot norske nettbanker. At systemet fungerer som det gjør i dag kan derfor komme av, slik Hole uttalte til oss, at Norge har vært lite utsatt for nettbanksvindel. Det er tenkelig at systemet i fremtiden vil kunne bli angrepet i mye større grad enn det er blitt til nå. SAMMENDRAG OG KONKLUSJON I min problemstilling etterspør jeg hvilke sikkerhetsmessige konsekvenser som bruk av nettbanktjenesten BankID kan få for bankenes kunder. Jeg ser at BankID i dag oppfyller kravene som Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor stiller til en slik nettjeneste. I følge BankIDs eget nettsted oppfyller tjenesten kravene til det sterkeste sikkerhetsklassifikasjonen. (Om rammeverkets krav er for strenge eller milde har vi ikke valgt å ta hensyn til). Dette kan være i kundenes favør siden deres identitetsopplysninger vil være bedre sikret mot datakriminalitet enn om de var lettere å få tilgang til. I tillegg hevdes det på firmaets nettsider at BankID er et elektronisk sertifikat som er lagret ved Bankenes Betalingssentral. Dette kan også være til fordel for kundene, siden deres identitetsopplysninger for pålogging ikke er lagret hos hver enkelt bank. Med hensyn til eksempelet fra New Jersey ser jeg at de bankansatte selv kan være en sikkerhetsrisiko. At kundene må benytte seg av dynamiske i tillegg til statiske autentifiseringsfaktorer ved bruk av tjenesten er også fordel for kundenes sikkerhet. Det vil da kunne være vanskeligere for datakriminelle å taste inn de riktige passordene for å få tilgang til kundenes nettbank. Imidlertid ser jeg at det er en viss usikkerhet knyttet til påloggingstjenesten. Det danske firmaet Cryptomathic har anket avslaget firmaet fikk i rettssaken mot BankID i år. De hevder at deler av programvaren som BankID benytter seg av er patenterte systemer som det danske firmaet har utviklet. For dersom Cryptomathic får medhold i anken, krever de at BankIDs virksomhet, slik den foregår i dag, må opphøre. Som jeg har gått inn på i hoveddelen, vil dette kunne få følger for kundene. For dersom så skjer er det tenkelig at tjenesten må forandres, eller opphøre. I eksemplet fra Barclays Bank i Storbritannia ser jeg at en forandring, eller nyinnføring av et system kan få følger for bankkundenes nettbanksikkerhet. For i den britiske banken rapporterte flere kunder at de kunne se andre kunders hemmeligholdte opplysninger. Dersom media, slik de gjorde i Storbritannia, får greie på dette og setter det på dagsorden før feilen er rettet, vil kundene kunne oppleve en enda dårligere sikkerhet med hensyn til deres oppbevaring av bankopplysninger. Ut fra eksperimentet som professor i informatikk, Kjell Jørgen Hole, frontet i media i 2007 kan det også virke som om det finnes huller i nettbanktjenestens sikkerhetssystem. Hole fortalte media at han og hans studenter hadde vært i stand til å logge seg på andre kunders nettbankkontoer ved en metode som kalles for phishing. Om han kunne ha vært i stand til å benytte seg av denne formen for datasvindel i dag, vil han ikke uttale seg noe om i mitt intervju med ham 14.september i år. Imidlertid hevdet han i september i år at det fortsatt kan være huller i nettbanktjenesten, og at alt er mulig for datakriminelle. Dette passer godt overens med teorien jeg har brukt om åpne, private og anonymiserende systemer. For i følge Garfinkel og Spafford er et fullstendig anonymiserende datasystem ennå ikke utformet. Hole hevder også at Norge har vært lite utsatt for nettbanksvindel, og at små tap for bankene ikke bør fremprovosere en endring av dagens system for nettbankpålogging. Jeg så derfor nærmere på det kriminelle nettverket Botnet, som i følge artikkelforfatteren av et dokument på Computerworld, har mer datakapasitet enn alle verdens superdatamaskiner til sammen. At BankID muligens opprettholder et system med huller, kan derfor være lite til hjelp for kundenes sikkerhet. Dette kan også være en tveegget avgjørelse, for hvis bankene bestemmer seg for å endre systemet hver gang de blir klar over at et smutthull l, kan selve endringsprosessen føre til flere feil som igjen kan få konsekvenser for brukernes sikkerhet. Jeg vet imidlertid ikke om det eksisterer huller i BankIDs system, men bruker dette som argument siden både Hole og forfatterne Garfinkel og Spafford hevder at det ikke ennå er utarbeidet et fullstendig vanntett system. Det blir derfor vanskelig å si noe om BankID er et system som gavner brukerne sikkerhetsmessig, eller ikke. Derfor har jeg også valgt bort dette spørsmålet i min problemformulering. Mulige konsekvenser ved bruk av BankID-systemet har jeg nå i stedet forsøkt å besvare i denne sammendrags- og konklusjonsdelen av oppgaven.

LITTERATURLISTE Michelle et al.(2006) Encyclopedia of E-Commerce, E-Government, and Mobile Commerce. USA, Idea Group Reference. Fornyings og administrasjonsdepartementet (2000) Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Oslo, Departementenes servicesenter) Garfinkel, S. og Spafford, G. (2002) Web Security, Privacy & Commerce. USA, O Reilly & Associates. Store Norske Leksikon, snl.no, 20.09.2010, http://www.snl.no/sikkerhet, http://www.snl.no/konsekvens og http://www.snl.no/konsekvens Potter M. m fl. Encyclopedia of E-Commerce, E-Government, and Mobile Commerce. USA, Idea Group Reference, 2006. Store Norske Leksikon, snl.no, 20.09.2010, http://www.snl.no/sikkerhet, http://www.snl.no/konsekvens og http://www.snl.no/konsekvens Lillesund, Mats (2007). URL: http://www.idg.no/computerworld/article77078.ece (lest dato: 19.09.10) NTB (2010). URL: http://www.dagensit.no/article1845166.ece (lest dato: 19.09.10) BankID (2010). URL: https://www.bankid.no/dette-er-bankid/ (lest dato: 19.09.10) BankID (2010). URL: https://www.bankid.no/presse-og-nyheter/nyhetsarkiv/2010/tre-av-fem-har-tilgang-til-bankid/ (lest dato: 19.09.10) Kirknes, Leif Martin (2009). URL: http://www.idg.no/computerworld/article144697.ece BankID (2010). URL: https://www.bankid.no/dette-er-bankid/slik-fungerer-bankid/ (lest dato: 19.09.10) Lillesund, Mats (2007) URL: http://www.idg.no/computerworld/article77078.ece (lest dato: 19.09.10)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding