— Vi har funnet hull og svakeheter i systemet som vi mener ikke bør eksistere, sier André N. Klingsheim, som denne uken disputerer for PhD-graden ved Universitetet i Bergen. Klingsheim har deltatt i Professor Kjell Jørgen Holes forskningsgruppe, som siden 2004 har avdekket en rekke sikkerhetshull i datasystemene til norske banker, mobilselskaper og Posten.

Brøt seg inn i bank

Ved å bryte seg inn ulike datasystemer, har de avslørt hvor lett det er å skaffe seg opplysninger som i gale hender kan misbrukes til identitetstyverier.

Et av identifikasjonssystemene Holes forskningsgruppe har klart å bryte seg inn i er BankID, innloggingssystemet som blir brukt av de fleste store bankene i Norge.

Norske myndigheter planlegger nå å innføre nasjonal ID. Gjennom felles pålogging skal innbyggerne via nett kontakte offentlige organer og hente ut opplysninger om seg selv, som selvangivelse og medisinske opplysninger. BankID er en av de heteste kandidatene som leverandør av datasystemet.

Kan ikke erstattes

Før disse planen gjennomføres er det en rekke spørsmål og problemstillinger knyttet til personvern og sikkerhet som må besvares, mener Klingsheim. Han frykter at informasjon av personlig og sensitiv karakter skal komme på avveie.

— Det fins ikke 100 prosent sikre datasystemer. Når systemene blir store og komplekse blir det svært vanskelig å sette seg inn i alle delene, og da har en heller ikke full kontroll, mener Klingsheim.

Han understreker hvor sårbar digital informasjon er.

— Datainformasjon er lett å kopiere. Når det først er tapt, så må det regnes som offentlig, fordi det ofte blir spredd over internett i løpet av få minutter.

Han er skeptisk til hvem som vil ta ansvaret for overtredelser i den nasjonale ID-basen.

— Når det kommer til tap ved nettbank, tar bankene regningen. Men hvordan skal man kompensere tap av sensitive opplysninger, spør Klingsheim.

For mens bankkontouttak kan erstattes, er det vanskeligere å sette en erstatningssum på tap av sensitive opplysninger.

— Når det gjelder slik informasjon kan man ikke risikere uhell. Her bør det vere føre var-prinsippet som gjelder.

Proffe skurker

Informasjon fra store datasikkerhetsselskap rundt om i verden viser at de kriminelle datanettverkene blir stadig mer profesjonelle.

— De har sitt eget illegale marked, der det blant annet foregår kjøp og salg av kredittkort- og annen personlig informasjon. De har tilgang til kunnskapsrike folk, de outsourcer tjenester, de spesialiserer seg og samarbeider. Framgangsmåten ligner på vanlige IT-prosjekt, sier Klingsheim.

— Så hvordan kan bedriftene sikre datasystemene sine?

— Hundre prosent trygge blir systemene aldri, men de bør vite mest mulig om sikkerhetshullene i systemet, og gjøre en risikoanalyse. Det betyr at de må vurdere innbruddsmåtene, og bruke ressurser på å redusere de største risikoene.

UTRYGGE: Dagens datasystem er ikke trygge nok til å håndtere nasjonal ID, mener André N. Klingsheim, som gjennom sitt doktorgradsarbeid har avdekket en rekke sikkerhetshull i datasystemene til ulike nettbanker og Posten.
Sævig, Rune