Avslører utrygge datasystemer

– Den stør­ste trus­se­len er ikke hac­ke­re på gutte­rom­met som går inn i da­ta­sy­ste­mer for å im­po­ne­re ven­ner. Nå kom­mer trus­le­ne fra kri­mi­nel­le nett­verk som or­ga­ni­se­rer seg på en pro­fe­sjo­nell og for­ret­nings­mes­sig måte. De stje­ler og om­set­ter in­for­ma­sjon som kan bru­kes i for­bin­del­se med ID-ty­ve­ri i stort om­fang, sier André. N. Klings­heim til NTB.

Selv har han på­vist at det er lett å skaf­fe seg nor­ske per­son­num­re, og at det er mu­lig å bry­te seg inn i nor­ske nett­ban­ker. Kunn­ska­pen han har skaf­fet seg har re­sul­tert i en dok­tor­grads­av­hand­ling og torsdag 24/9 dis­pu­te­rer han for doktor­gra­den ved Uni­ver­si­te­tet i Ber­gen (UiB).

Les også: Omtale av Klingsheims avhandling hos UiB og

Lars Helge Netlands avhandling om sikkerhetsrisiko i datasystemer (UiB)

Trygt i bank

Klings­heim har del­tatt i pro­fes­sor Kjell Jør­gen Holes forsk­nings­grup­pe, som har brutt seg inn i nor­ske nett­ban­ker og på­vist for dår­lig sik­ker­het i da­ta­sy­ste­me­ne. Han har også hen­tet ut fød­sels­num­re både fra mo­bil­sel­ska­per og fra Pos­ten.

– Vi kon­sta­ter­te at det fan­tes sik­ker­hets­hull i sy­ste­me­ne. Det gjor­de vi opp­merk­som på, og det er blitt gjort end­rin­ger som gjør sy­ste­me­ne tryg­ge­re, sier Klings­heim.

– Vil du si nett­bank er trygt?

– Jeg bru­ker nett­bank selv og er av­slap­pet når det gjel­der sik­ker­he­ten. Ban­ke­ne vel­ger selv hvil­ket sik­ker­hets­ni­vå de vil leg­ge seg på og sier til kun­de­ne: Vi tar reg­nin­gen hvis pen­ge­ne for­svin­ner. Så len­ge de tar reg­nin­gen hvis noe skjer, blir det­te en ri­si­ko­vur­de­ring for ban­ke­ne.

" Mer bekymret for Na­sjo­nal ID

Klings­heim er mer be­kym­ret for sik­ker­he­ten i det sy­ste­met som blir valgt som na­sjo­nal ID.

Myn­dig­he­te­ne har lo­vet at alle skal få en form for elek­tro­nisk ID i lø­pet av nes­te år. Fle­re til­by­de­re kjem­per om å bli le­ve­ran­dør av det­te iden­ti­fi­ka­sjons­sy­ste­met. Bank­ID som bru­kes av ban­ke­ne er en av dem.

Større konsekvens ved mis­bruk

– Na­sjo­nal ID skal kun­ne bru­kes ved all kon­takt med of­fent­li­ge or­ga­ner og i andre sam­men­hen­ger. Du skal kun­ne hen­te ut opp­lys­nin­ger om deg selv fra ulike re­gist­re, le­ve­re selv­an­gi­vel­sen og få til­gang til me­di­sin­ske opp­lys­nin­ger via nett.

– Faren for mis­bruk vil være mye stør­re når én elek­tro­nisk ID vel­ges for en rek­ke for­skjel­li­ge løs­nin­ger. Ban­ke­ne er­stat­ter ta­pet hvis pen­ger blir bor­te fra en kon­to. Men hvem skal en kre­ve er­stat­ning fra, og hvor­dan be­reg­ner man er­stat­nin­gen, hvis sen­si­ti­ve opp­lys­nin­ger kom­mer på av­veie, spør Klings­heim?

Han hå­per myn­dig­he­te­ne tar seg god tid til å sør­ge for at sik­ker­het og per­son­vern er iva­re­tatt før sy­ste­met tas i bruk.

Ana­ly­se­rer sik­ker­het

Klingsheims dok­tor­grads­av­hand­ling tar for seg de sik­ker­hets­hull som ble av­dek­ket i nett­ban­ke­ne. Han be­skri­ver hvor­dan det var mu­lig å hen­te ut sto­re meng­der fød­sels­num­re fra mo­bil­ope­ra­tø­rer. Den tar også for seg sik­ker­he­ten knyt­tet til tråd­lø­se nett­verk og bruk av mo­bil­te­le­fon som in­for­ma­sjons­ka­nal.

Når han har dis­pu­tert for dok­tor­gra­den ons­dag, leg­ger han fore­lø­pig den aka­de­mis­ke kar­rie­ren til side og blir dag­lig le­der i et sel­skap han har star­tet sam­men med and­re eks­per­ter på da­ta­sik­ker­het med til­knyt­ning til UiB.

– Sel­ska­pet NoWires Group til­byr hjelp med ri­si­ko­ana­ly­se av da­ta­sy­ste­mer. Vi har spiss­kom­pe­tan­se på å av­dek­ke sik­ker­hets­ri­si­ko­er i sy­ste­mers ar­ki­tek­tur/de­sign, for­kla­rer Klings­heim.

– Ri­si­ko­ana­ly­se er ikke en en­gangs­opp­ga­ve, det må føl­ges opp kon­ti­nu­er­lig. Sik­ker­het må byg­ges inn fra bun­nen av og gjen­nom­sy­re hele sy­ste­met. Ri­si­ko­ana­ly­ser er der­for et vik­tig verk­tøy al­le­re­de når et sy­stem er un­der plan­leg­ging.

Kilde: ©NTB