Regn med at kundene er idioter

Sikkerhetsguru Bruce Schneier forteller det nettbankene ikke tør si.

By Jonas Blich Bakken
Dagens IT
May 6, 2007

— Gi opp sikkerhet hvis svindel er billigere!

Bruce Schneier er det nærmeste man kommer en rockestjerne innen it-sikkerhet. Teknologisjefen i BT Counterpane er mest kjent som frittalende blogger, og nyter usedvanlig stor respekt for sin innsikt i sikkerhet.

Spissformuleringene sitter tett når han snakker, og nylig var han i Oslo på Ciscos sikkerhetskonferanse for å snakke om det eneste middelet han tror på for å få orden på it-sikkerheten – ren egeninteresse.

Dagensit.no møtte ham før konferansen, for å snakke om nettbanksvindel.

Norske nettbanker har det siste halvåret blitt rystet av en serie svindelsaker. Volumene er ikke så store ennå, men bransjen frykter hva som vil komme.

— Det blir ikke bedre – det blir verre, mener Schneier.

Umulig å sikre kundene

Angrepene i Norge har vært rettet mot kundenes datamaskiner.

— Hackerne er opptatt av resultat, og selvfølgelig går de etter det svakeste leddet – brukerne, sier Schneier.

Norske banker oppfordrer derfor kundene til å sikre pc-ene sine, og flere vil dele ut gratis sikkerhetsprogramvare.

Kan dette løse problemene?

— Nei, kundene har ikke mulighet til å vite om de er hacket og de kan ikke fikse det, sier Schneier.

Ved å bryte seg inn på bankkundenes datamaskiner kan hackerne snike til seg det de trenger av informasjon for å opptre som om de var kunden. Schneiers tror ikke dette kan løses med bedre sikkerhetsprogramvare.

— Nei, de har ikke løst problemet så lenge sikkerheten er avhengige av hva som foregår på brukerens datamaskin, sier han.

Problemet er løst før

Forsvarløse kunder og økende svindel høres ikke bra ut, men Schneier er likevel slett ikke bekymret for nettbankenes fremtid. Han sammenlikner nettsvindel med andre, svært gamle samfunnsproblemer.

— Mord er ikke borte, men samfunnet fungerer fint, og vi bruker ikke skuddsikker vest. Poenget er at det skal virke, og det betyr ikke at det er perfekt.

Hvis hackere kan utgi seg for å være kunder er det lett å se for seg nettbanksvindel galoppere ut av kontroll.

Men er det mulig å eliminere kunden som et sikkerhetsproblem?

— Ja, bare se på kredittkortselskapene. De regner med at du oppfører deg som en idiot. Og de stopper svindel hele tiden, selv om ingen verifiserer at personen er riktig, at signaturen stemmer eller at kortet ikke er forfalsket, sier Schneier.

- Men kredittkort blir jo svindlet ganske ofte?

— Ja, det er ikke perfekt. Men man må se etter en god businessmodell, med lav nok svindel til at modellen er lønnsom. Det er alltid det du ser etter, sier han.

Ansiktsløse svindlere

Schneier sier det tok kredittkortselskapene noen år å finne ut av modellen, og at den eneste mulige løsningen har vært å ikke regne med brukeren som en sikringsfaktor. De baserer ikke sikkerheten bare på at brukerens identitet er riktig, men sjekker om selve transaksjonen er mistenkelig. Han har selv erfart at det fungerer.

— Kortet mitt ble kopiert da jeg var til lunsj. Visa stoppet svindelen allerede ved det andre forsøket på å bruke kortet. Jeg er fremdeles imponert. Det viktigste av sikkerhet er det som skjer på bakrommet i bankenes systemer, konkluderer han.

Schneiers løsning

— I USA prøver bankene å presse ansvaret for nettbanksvindel over på kunden. Det kan bli døden for nettbank, sier han.

Schneiers løsning på problemet handler om egeninteresse, at ansvaret må plasseres hos de som kan gjøre noe med saken, nemlig bankene. Virkemidlene er de samme som når man skal håndtere andre problemer, som forurensing: Regulering, straffeansvar og økonomisk ansvar.

— Det handler om insentiver. Gjør det riktig, så kan kapitalismen fungere. Hvis du ikke får dem på plass riktig blir sikkerheten aldri løst.

Må bevise svindel

De norske bankene tar i dag ansvaret for kundenes nettbanktap. Det eneste litt uavklarte spørsmålet er hvor mye som skal til for at bankene stempler kundenes oppførselen som ”grovt uaktsom”, og gir dem ansvaret.

Det finnes dessuten nok av eksempler på at folk har gitt kredittkort til andre for å svindle bankene. Hvis det samme skjer med nettbanker kan vel ikke banken være ansvarlig?

— Nei, men de må bevise at kunden svindler dem. Hvis det er motsatt sitter banken på all informasjonen og vil vinne sakene. Bankene har ekspertisen, mulighetene til å gjøre noe, og må ha ansvaret.

— De aksepterer rotteskit i mat

At bankene tar hele risikoen trenger ikke å bety at sikkerhetsnivået økes maksimalt, mener Schneier.

— Gi opp sikkerheten hvis det er billigere å akseptere svindel, sier han.

- Dette vil neppe myndigheter eller banker si?

— Maksimum tillatt mengde rotteskitt i frokostblanding er ikke null i reglene fra regjeringen. De aksepterer svindel og lever med det. De snakker ikke om det slik, men det er slik de tenker.

— Bare tull å nekte for innbrudd

Problemet med sikkerhet er at det er vanskelig å beregne om det lønner seg, fordi de fleste innbrudd holdes skjult av bedriftene som rammes. Det blir vanskelig å beregne kostnadene.

— Derfor er det vanskelig å få økonomien til å virke, sier Schneier.

Bankene pleier å hevde de blir mindre sikre hvis de snakker om sikkerhetssystemene, og flere nekter å kommentere om de har blitt hacket.

— Ja, og det er bare tull. Poenget er at det ser dårlig ut i pressen. At sårbarheten deres blir kjent er et større problem for dem enn pengene de taper til hackere. Den kan føre til at de taper kunder, mener Schneier.

De samme bankene hevder gjerne at de har store sikkerhetssystemer som ikke synes for brukeren. Schneier tviler på om det alltid er sant.

— Det vil de si og prøve å få journalister til å skrive uansett, så kunder og hackere tror det.

Vanskelig regnestykke

— Er det mulig å kalkulere om investeringer i sikkerhet er lønnsomt?

— Nei, ikke egentlig – de som sier det finner det på

— Men hvis beslutningene skal tas på grunnlag av økonomiske insentiver, hva gjør du da?

— Du gjør det beste du kan – det handler ikke om perfeksjon, men hva som er mest riktig.

earlier story: Schneier Questions Need for Security Industry
later story: Bedre på sikkerhet, verre for brukerne
back to News and Interviews

Photo of Bruce Schneier by Per Ervland.

Schneier on Security is a personal website. Opinions expressed are not necessarily those of Co3 Systems, Inc..