Stort sprik i bankenes sikring mot snoking

Du behøver ikke å hete Ari Behn eller Mette-Marit for å være bekymret for dine personopplysninger.

I kjølvannet av oppslagene om Se og Hør-boka til Håvard Melnæs har det kommet frem at det er en god del som ikke stemmer hos norske banker når det gjelder rutiner og systemer som sikrer kundene mot snoking.

- Det virker om en del banker ikke har tatt god nok høyde for dette. Det handler om å sikre seg utover grunn-nivået, du må legge lista mye høyere enn det. De har rett og slett ikke sørget for nok sikkerhet, sier Dag Honningsvåg, norgessjef for CA, til Computerworld.no.

Trenger tilgangskontroll

CA, tidligere Computer Associates, utvikler it-systemer for rollebasert tilgangskontroll, såkalt IAM eller Identity and Access Management. Selskapet mener det er ingen teknologisk grunn til at tilgangskontroll ikke er ordnet på en god måte.

Datatilsynet bekrefter at alle bankene ikke gjør en god nok jobb. Tilsynet har sist høst har vært på kontroll hos en del aktører, og fant sprikende resultater.

- Vi fant relativt store forskjeller mellom de ulike bankene. Noen hadde tatt dette på alvor, mens andre har et langt stykke å gå, sier Leif Aanensen i Datatilsynet.

2000 saksbehandlere har tilgang

Sentral i problemstillingen er hvem som får tilgang til opplysningene dine i banken eller hos forsikringsselskapene. For de fleste er det et ønske om å få kundebehandling i alle filialer til en bank, uten å vente. Det betyr at alle saksbehandlere som jobber i skranken har tilgang til opplysningene dine.

- Alle som sitter i skranken må ha tilgang, mener vi. I Nordea er det rundt 2000 personer. Men vi har veldig stor tillit til folk vi ansetter, sier informasjonssjef i Nordea, Kjell Flø.

Om kundene har like stor tillit til systemet Nordea og DnB Nor håndterer etter Se og Hør-avsløringene er ikke sikkert. Og tillit er det bankene vil slite med fremover, hvis de ikke greier å overbevise kundene om at opplysningene behandles riktig.

Mangler rutiner

- Det slutter ikke hos kundebehandlere. De fleste store virksomheter har noenlunde kontroll på det. Men hva med de som drifter systemene? Det er sjelden det legges gode rutiner på dette nivået, og det er vanlig at driftansatte får tilgang til all informasjon i databasen, sier Ralph Norén i CA.

Ifølge Norén er det ikke teknologien det står på, men viljen hos virksomheter til å ivareta sikkerheten.

- Man må gjennomføre aksesskontroll. I utgangspunktet trenger en saksbehandler bare tilgang til en viss informasjon. Applikasjonen må filtre bort resten. Mange har de riktige verktøyene, men vet ikke hvordan de skal sette opp rollebasert tilgang. Dette koster litt ekstra i starten, men i drift er vedlikeholdet relativt enkelt, sier Norén.

Ingen rangering

Det ville hjelpe kundene mye hvis de som et supplement til bankenes egen kontroll kan få informasjon om hvor mange som gjør oppslag på deres konto. I en pressemelding ber George Apenes, leder i Datatilsynet, om at kunder og pasienter må få tilgang til loggene som viser hvor ofte det er gjort oppslag på dem. Ved mistanke om snoking kan kunden selv kreve dette nærmere undersøkt.

- Det snakkes mye om kjendiser og de kongelige, men det gjelder like mye for deg og meg. Vi tror snoking ovenfor familiemedlemmer og bekjentskapskrets er et omfattende problem. Vi har likevel vanskeligheter med å dokumentere dette. Det ville gi meg en bedre tryghet når jeg kan se om det er gjort mange oppslag på mine opplysninger de siste månedene, akkurat som jeg kan se mine egne logger i nettbanken. Dette ville være et tillitsvekkende tiltak fra bankenes side, sier Aanensen i Datatilsynet.

Aanensen og Datatilsynet var overaskket over de store forskjellene de fant mellom bankene sist høst.

- Er det mulig for kundene å finne ut hvilke banker som er best på dette og hvilke som er dårlige?

- En kunde kan selvfølgelig ringe banken og spørre hvordan de behandler opplysninger. Vi valgte å ikke gå ut med dette fordi vi fikk inntrykk at de fleste banker er opptatt av å få dette ordnet. Det finnes ingen rangering som kan gi kundene opplysninger om hvilken bank som er bedre eller dårligere, sier Leif Aanensen i Datatilsynet.

- Noen sier at nordmenn er naive når det gjelder personvern. Hva mener du om det?

- Det er ikke populært å beskylde nordmenn som gruppe for noe som helst, men jeg tror at de er relativt lite opptatt av personvern. Personvernundersøkelsen som ble gjennomført av Transporøkonomisk Institutt i 2005 dokumenterer forsåvidt det. Jeg vet at man i Tyskland, og land i Sør-Europa, er mye mer bevisst på dette temaet.