- Varsku her!

- Varsku her!

Ingen liker å bli tatt med buksene nede, særlig ikke når man forsøker å skjule rosa elefanter på trusa.

Debatten rundt sikkerheten i BankID har de siste ukene tilspisset seg. Computerworld avslørte at professor Kjell Jørgen Hole og hans doktorgradsstudenter ved Universitetet i Bergen siden februar har gjennomført dataangrep mot to nettbanker med BankID. Formålet var å avdekke og belyse svakheter i løsningen.

Med en tenkt phising-mekanisme og et "man in the middle"-angrep, fikk Hole overtatt nettbanksesjonen og dermed kontroll over konti, riktignok deres egne i og med at dette var en test. Hacket ble demonstrert for sikkerhetseksperter som jobber mot bank, og banknæringen var selv informert om svakhetene. Likevel var sikkerhetshullet der frem til november.

BankID-systemet brukes ikke bare av bankene, men også av flere kommuner, Posten og andre nettsteder som krever sikker innlogging. Det viser at det er ikke lenger kun er bankene, med en kalkulerte risiko i kroner og øre, som kan bli rammet, men også nettsteder hvor annen personlig informasjon finnes.

En svakhet i en av Norges mest sentrale sikkerhetsløsninger, som også er vurdert som en nasjonal elektronisk ID, var altså oppdaget. BankID forsikret om at den feilen var rettet. Men i stedet for å rose forskerne i Bergen for å ha lagt arbeid ned i sikkerhetstesting, går Norsk senter for informasjonssikring og bankene ut og tar avstand fra denne type forskning. Også Post- og teletilsynets direktør Willy Jensen kritiserer Hole for å ta feil av BankID.

Det reagerer Datatilsynet på, og støtter Hole. Det gjør også it-minister Heidi Grande Røys, som forsvarer forskningen som et viktig samfunnselement. Når sjefen for norsk it-politikk er såpass klar på at Norge må ha mer av slik sikkerhetstesting, sender det et tydelig signal til utdanningsinstitusjonene. Dette vil vi ha mer av!

Det er viktig at varslere får tale fritt, og at denne typen sikkerhetstesting og forskning på systemer kan bli gjennomført av ansvarlige institusjoner som Universitetet i Bergen. Det nytter ikke å stikke hodet i sanden og tro at om ingen snakker om det, så vil det heller ikke oppdages. Dette er internett. Det er anarki og et sikkerhetsmessig mareritt. Vi trenger nabokjerringa, som i dette tilfellet er professor i Bergen.

Les om:

Debatt