Netbanker ruster sig mod fremtidens trusler 

Forbrydere, der forsøger at stjæle penge gennem netbanker, bliver stadig mere kreative og raffinerede i deres metoder. Nye farer dukker hele tiden op, og især inden for de seneste år er trusselsbilledet mod netbankerne vokset voldsomt. Det stiller store krav til IT-sikkerheden i bankerne – nu og i fremtiden.

   Bankerne bruger i dag flere timer på at udtænke metoder til at forsvare banken og kunderne mod angreb fra hackere end for bare få år siden. Den øgede opmærksomhed på IT-sikkerhed er simpelthen nødvendig i en tid, hvor forbryderne bliver mere og mere opfindsomme, når det gælder om at finde metoder til at stjæle penge over netbank. Det mener Jacob Øst Hansen, som er sikkerhedschef hos Nordea i Danmark. 

   - Det generelle trusselsbillede mod bankerne er steget. Indtil nu har de danske banker stort set været forskånede for angreb, fordi vi har haft et bedre sikkerhedsssystem end for eksempel amerikanske banker. Nu løfter sikkerhedsniveauet sig gradvis i de udenlandske banker, og hvis vi vil bevare forspringet, kan vi ikke bare sidde med hænderne i skødet. Vi ved, at der er en masse kriminelle ude i den store verden, som hele tiden forsøger at gøre deres angreb mere sofistikerede, siger han. 

Et skridt foran

   Udfordringen for bankerne er, at de hele tiden skal være et skridt foran forbryderne. Det nytter ikke at konkludere, at trusler som for eksempel phishing ikke er et problem for Danmark. Phishing går ud på at bankkunden modtager en mail, som tilsyneladende kommer fra banken. I mailen bliver kunden bedt om at indtaste bruger-ID og kodeord, fordi banken har haft nogle problemer med sine IT-systemer. Men i virkeligheden sendes oplysningerne til en kriminel, som har lavet en nøjagtig kopi af en mail fra banken.

   Det er blevet sagt, at Danmark ikke er interessant for phishing-forbrydere, fordi de som regel kommer fra udlandet. Kunden vil fatte mistanke ved den mindste stavefejl i mailen, og det er ikke besværet værd, når angrebet ligeså godt kan rettes mod et engelsktalende land. Samtidig har de danske banker et ekstra lag af sikkerhed, fordi bruger-ID og kodeord alene ikke kan bruges til noget – adgang kræver også den særlige ”nøgle” som ligger på kundens computer.

Teori kan blive til virkelighed

   Alligevel skal phishing tages meget alvorligt, mener Jyske Banks afdelingsdirektør for IT-sikkerhed, Torben Anholm.

   - Kombineret med noget andet kan phishing blive meget farligt, også for danske banker. Der dukker hele tiden nye teknikker op, som vi skal være opmærksomme på, siger Torben Anholm, som nævner ”man in the middle attack” – en teknik, der går ud på, at en kriminel laver en identisk kopi af bankens hjemmeside.

   Kopien dukker op, når kunderne logger på netbanken. Ligheden narrer dem til at tro, at de trygt kan rykke rundt pengene, men i virkeligheden giver den falske hjemmeside forbryderen adgang til at ændre på de ting, kunderne fortager sig. Torben Anholm kender ikke eksempler på den type angreb mod danske banker. Men den teoretiske mulighed er der.

   - Nogle gange kan man måske godt tænke, at noget er for langt ude til at kunne ske i virkeligheden, men vi kan ikke løbe risikoen for, at det sker, uden vi er forberedte, forklarer Torben Anholm.

   Fremtidens skærpede trusselsbillede betyder, at bankerne hele tiden skal vide, hvad der rykker på sig i forbrydernes verden. Jyske Bank holder sig opdateret ved, at IT-sikkerhedsafdelingen deltager i konferencer om IT-sikkerhed i udlandet, overvåger internationale nyhedskilder og følger med i fora på internettet, hvor forbryderne selv færdes.

   Hos Nordea bliver der brugt ressourcer på at få konsulentfirmaer til at overvåge og advare om trusler. Desuden samarbejder de danske banker om at bevare et højt sikkerhedsniveau i netbankerne generelt. Bankerne har indberetningspligt til interesseorganisationen Finansrådet, hvis en kunde har været udsat for noget mistænkeligt – for rammes én bank, kan det svække tilliden til hele branchen.

Brugervenlighed eller sikkerhed

   De højere krav til sikkerhed harmonerer dog ikke altid med kundernes forventninger til, hvor let det skal være at bruge netbanken. 

   - Kunden vil gerne have mulighed for at gå i banken hvor som helst og når som helst. Men det er meget nemmere at beskytte kunden, hvis vedkommende kun arbejder fra sin egen computer, end hvis vi også skal give mulighed for at bruge netbanken fra arbejdet eller internetcaféer, siger Torben Anholm fra Jyske Bank.

   Løsningen er i første omgang ”light” udgaver af netbanken, hvor kunden fra fremmede computere kan udføre sikre handlinger som at tjekke saldo og kommende betalinger.

For at få idéer til fremtidens krav om øget, men sikker, mobilitet i netbankerne, kigger Nordea blandt andet til England. Her har man i et pilot-projekt udstyret kunder med en slags ”lommeregner”, hvorpå kunden indtaster beløb og kontonummer. Lommeregneren udregner på basis heraf en engangskode, som kunden indtaster på pc’en sammen med betalingen. Uden korrekt engangskode kan betalingen ikke udføres, og hvis der ændres i beløb eller kontonummer af en ”man in the middle”, virker engangskoden ikke mere. Systemet er helt uafhængigt af sikkerhedsniveauet på kundens pc.

   - Alligevel vi er ikke sikre på, at det er den rigtige løsning, for kunderne vil måske finde det besværligt altid at gå rundt med lommeregneren og at skulle indtaste betalingsoplysninger både på lommeregner og på pc, konstaterer Jacob Øst Hansen.

Hardware er løsningen

   Netop løsningen med at bruge hardware uafhængigt af selve computeren ser ekstern lektor på IT Universitetet og ekspert i IT-sikkerhed, Freddie Drewsen, som den bedste løsning til at sikre fremtidens netbanker.

   Problemet ligger i følge ham ikke hos bankerne men hos kunderne, fordi de aldrig kan vide helt sikkert, hvad der ligger på deres private computere. Han henviser til den metode, der kaldes keylogger eller trojansk hest: Hackeren trænger ind på en computer, ved at brugeren henter noget ned fra internettet som for eksempel en screensaver. Samtidig med screensaveren installeres et program, der usynligt læser alt hvad brugeren foretager sig, eller som henter følsomme filer ned fra computeren. Oplysningerne bliver sendt til den kriminelle, som derefter kan skaffe sig adgang til brugerens netbank.

   - Det ville være passende, hvis en internetbruger installerede 70 sikkerhedsopdateringer om året på sin hjemmecomputer. Men det tror jeg, de færreste gør, og derfor opstår hullerne, som de kriminelle kan benytte sig af. Hvis man ligger nøglen på eksternt hardware, for eksempel et USB stik, fjerner man forbrydernes mulighed for at finde oplysningerne på computeren, mener IT-eksperten.