– Jeg kan ikke svare sikkert på om norske nettbanker er trygge eller ikke. Bankene nekter nemlig å fortelle oss noe om sikkerhetssystemene de bruker, sier informatikkprofessor Kjell Jørgen Hole til forskning.no.
Simulerte angrep
Hovedfagsstudent Thomas Tjøstheim har simulert en rekke angrep på nettbankene, og han mener å kunne bryte seg inn i personers bankkonti når det kun er fødselsnummer og en firesifret kode som trengs.
– Heldigvis gjorde han ikke dette på ordentlig, det var et simulert angrep. Og vi vet derfor ikke heller om det hadde fungert i virkeligheten. Men ut fra den informasjonen som er tilgjengelig, hadde det gjort det, understreker Hole.
Bankene har opptrådt kjølig overfor forskerne når de ville presentere resultatene og de sikkerhetsmanglene de avdekket, og nekter for at simuleringen viser noen alvorlig risiko.
Uklar strategi
Sikkerhetsstrategien bankene bruker, kalles «security through obscurity» � sikring gjennom tilsløring. Det går ut på at du i størst mulig grad holder informasjon om dine styrker og svakheter hemmelig for fienden.
– Vi mener strategien er feilslått. I dag har vi teknologi som er god nok til at du kan være helt åpen om sikkerhetssystemet du har valgt, og det vil i praksis være umulig å bryte seg inn, sier Hole.
Bekymret
Resultatet av strategien er ifølge forskerne nedslående. De som sitter med mest kunnskap om sikkerhetssystemene, er forbryterne – som ikke trenger å forholde seg til hvilken informasjon som er lovlig tilgjengelig.
Forskerne er også bekymret for rettssikkerheten. Slik situasjonen er i dag, kan bankene lett skylde på at kunden ikke har oppbevart PIN-koden sin trygt nok, og dermed blir kunden ansvarlig.
Annonse
