Den gode, slemme og stygge

Den gode, slemme og stygge

Banker har et dilemma. Hvem er gode, slemme eller stygge i forbindelse med elektronisk bankvirksomhet?

"The good, the bad and the ugly" kan stå som en passende beskrivelse for moderne bankvirksomhet. Kundene skal være de gode, kriminelle de slemme, men hvem er stygge?

Spør man bankene er det sikkerhetsforskere som jobber for å avsløre svakheter i bankenes sikkerhetsregime. Som bankene ser det, jobber forskerne med å dirke opp hvelvet med pengene, bare for å bevise at låsen på hvelvet er for dårlig.

Sikkerhetsforskerne gjør det for å skape blest om dårlig sikkerhet og for å skape grunnlag for bedre sikkerhetsforskning. Problemet er om offentlig forskning på svakheter blir allment kjent slik at kriminelle kan dra nytte av forskningen.

Ansvarlige for sikkerhet deler seg derfor i to. Noen er tilfredse med at det varsles om dårlig sikkerhet. Andre misliker måten sikkerhetsproblemer blir avslørt på.

Sikkerhetsforskning kan være kontroversielt. Forskningen er ofte basert på scenarier som eksempelvis "Man in the Middle", på reaksjon mot hendelser, på bruk av protokoller i praktiske omgivelser. Bankene i Norge misliker at sikkerhetsforskere jobber med å bevise svakheter. Bankene vet de er der.

Det er derfor bankene sikrer seg bare til et visst punkt. De vet at profesjonelle forbrytere vil kunne rane banken for penger. Det de garanterer er at innskyterne ikke skal lide.

Ikke fullkommen

De vet også at it-sikkerheten ikke er fullkommen, men den skal være så god at det bare er profesjonelle som klarer å gjøre skade. De garanterer at brukere av nettbankene ikke skal bli skadelidende. Sikkerhets-professor Kjell Jørgen Hole ved UiB er derfor uglesett av bankene, men verdsatt av Datatilsynet og fornyingsministeren.

Spørsmålet er om forskning på innbrudd i to nettbanker er til gavn eller skade for sikkerheten og tiltroen til bankvesenet?

Kjent problemstilling og 100 timers hard jobbing gjorde forskerne i stand til å overføre penger til utenforståendes konti. Spørsmålet er om slike innbrudd blir en intern hemmelighet? Spørsmålet er også om hva slags sikkerhetsregime banker trenger i fremtiden når vi alle skal være våre egne saksbehandlere? Når er overføringer mellom konti svindel, når er det legitimt?

For svindel starter i det små. Overser en nettbankbruker overføring av et lite beløp, er det ikke langt før svindlerne forsøker seg med større. Fisking av opplysninger via Pay-pal er et eksempel. Det er når man protesterer på en overføring at fiskingen blir forsøkt.

Bankenes sikkerhetsfolk bør være paranoide. Professor Hole har bevist at de ikke har vært nok paranoide. Hullet som Hole utnyttet, har vært i nettbankløsningen i mer enn et halvt år. Først nå er det tettet.

Hvor mye?

Paranoide sikkerhetsfolks innspill skal veies mot sannsynlighet og kostnader. Hvor mye sikkerhet skal vi bygge inn? Hva vil det koste? Hva koster alternativene? Deretter må bankenes ledelse gjøre et valg.

Sannsynligvis skjønner ikke beslutningstagerne helt konsekvensene før noen forsøker å gjøre innbrudd. Egne sikkerhetsfolk er ikke nødvendigvis de beste til å fortelle en historie om mulige scenarier.

Sikkerhetsguru Bruce Schneiers vurderinger om konsekvensene av, og sannsynligheten for, sammenbruddet relatert til kostnadene er noe beslutningstagerne bør legge seg på minnet.

Ifølge Schneier teller vi en, to, tre, mange. Mange er grunnlag for nye sikringstiltak. Derfor har Payment Card Industry blitt paranoide, hvilket vil føre til nye sikringstiltak i 2008 for alle nettbutikkers korthåndtering.

Kostnadene må veies opp mot økonomiske tap, dårlig omtale i media, tap av omdømme og eventuelt tap av kunder. Derfor er en økonomisk garanti nødvendig. Alternativt blir slagordet "sikkert som banken" en vits.

Det forskere ikke nødvendigvis forstår er at selv om sikkerheten ved elektronisk betaling ikke er fullkommen, kompenseres det delvis ved et sikkerhetsregime som omfatter alle rutinene rundt håndtering av hendelser.

Forutsetningen er at en kunde som har vært utsatt for svindel, reagerer øyeblikkelig.