Nedslående sikkerhet i nettbankene

Nedslående sikkerhet i nettbankene

Ingen av nettbankene får godkjent karakter i vår sikkerhetsevaluering. Noen av løsningene inneholder direkte pinlige feil.

I løpet av det siste halve året har organisert nettbanksvindel også nådd Norge. Etter at angrepene startet før jul er minst seks banker til sammen tappet for flere hundre tusen kroner. Mens bankene lapper sikkerhullene, er det kundene som får skylda.

LES OGSÅ: Slik ble Sparebank1 hacket

LES OGSÅ: Neste generasjon phishing

- Den beste måten å sikre nettbanken på, er å oppgradere sikkerheten på kundenes pc-er. Gå på kurs og lær pc-bruk, oppfordret konserndirektør for it i Sparebank1, Eivind Gjemdal etter angrepene i januar.

Teknisk sett ble det nemlig ikke gjort innbrudd i nettbanken under angrepene, men i brukernes pc-er. Med et oppdatert operativsystem og nettleser, brannmur og antivirus-programvare ville det ikke vært mulig å gjennomføre svindelen.

Vår sikkerhetsevaluering av nettbankene avslører imidlertid at det er mye bankene selv bør gjøre for å bedre sikkerheten i sine løsninger.

Lappeteppe

Postdoktor Vebjørn Moen ved Selmersenteret, forskningssenteret for kodeteori og kryptologi ved Universitetet i Bergen, har bistått Computerworld i sikkerhetsevalueringen av nettbankene. Han mener sikkerhetsløsningene i nettbankene kan sammenlignes med et lappeteppe.

Vi har testet nettbankene til DnB NOR, Postbanken, yA Bank og forsikring, Sparebank1, Fokus Bank, Skandiabanken og Sparebanken Vest.

Sjekk sikkerhetstesten av din nettbank her

- Nettbankene bærer preg av at de ser et problem, løser det og legger løsningen på toppen av systemet de har fra før. Problemet er at når de legger flere sikkerhetsløsninger oppå hverandre, blir det verken brukervennlig eller sikkert, sier Moen.

Skandiabanken er et eksempel på en løsning som begynte brukervennlig med en fast engangspin og sertifikat, men innførte i all hast engangskoder når nettbankangrepene sto på ved juletider. Når man innførte kort med engangskoder tok man også i bruk engangskodene via sms til innlogging.

Flere av nettbankene har feil som utgjør en alvorlig sikkerhetsrisiko, blant annet når det gjelder phishing, virus/trojanere og tjenestenekt.

- Flaut

Jungelen av ulike påloggingsløsninger er ikke særlig bedre i andre banker, men det mest overraskende er at flere ikke har luket bort elementære sikkerhetsfeil som "cross site scripting" og SSL-konfigurasjon.

- Dette er noe som ikke skal finnes på en nettbank. Vi snakker om gamle angrep som de aller fleste webutviklere vet om, og må være et resultat av dårlig testing. Det er rett og slett flaut, mener Moen.

Dersom angripere lykkes med å ta seg inn i nettbanken har ikke bankene lovfestet ansvar for kundenes penger, men har så langt valgt å kompensere kunder som har lidt tap.

Mye tyder imidlertid på at bankene er i ferd med å stille strengere krav til kundenes aktsomhet og sikkerheten på klientsiden. Det er urettferdig dersom ikke bankene klarer å løse sine egne problemer, mener Moen.

- Det finnes ikke hundre prosent sikre systemer, men bankene kan ta i bruk bedre sikkerhetsteknologi. Det er dyrt og teknisk krevende, og de må gjerne la være så lenge de selv tar risikoen for tap. Et annet alternativ er å tilby kundene bedre sikkerhet mot betaling. Siden ingen nettbanker er sikre i dag, burde det kanskje finnes et marked for det, bemerker Moen.

Sjekk sikkerhetstesten av din nettbank her

Les om:

Sikkerhet