Debatten om netbanksikkerhed, der har kørt i flere medier, er efter min mening afsporet i forhold til den virkelige verdens ufordringer med it-sikkerhed. Jeg har arbejdet med it-sikkerhed i 20 år og har været med til at udvikle flere større sikkerhedsløsninger til de såkaldte eksterne logins, som netbanker sikkerhedsmæssigt er nært beslægtet med.
Når bankerne og embedsmænd fra IT- og Telestyrelsen går ud og påstår, at det er brugernes ansvar at holde softwaren på deres computere opdateret, for at beskytte sig mod hackerangreb og dermed også f.eks. tyveri fra netbanken, så er det i mine øjne en uansvarlig ansvarsfraskrivning.
Det er ikke, og må aldrig blive, Hr. og Fru Jensens ansvar, at deres netbank er sikker, hertil har de slet ingen forudsætninger. Sagt på en anden måde, hvordan skal Hr. Jensen vide, hvordan han opdaterer et plug-in til sin browser, når han ikke ved, hvordan man skifter toner i sin printer?
Når bankerne går ud og påstår, at deres netbanker er sikre, og det må være brugernes ansvar at have opdateret antivirus, firewall, browser, medieafspiller, og filter mod spam og spyware, da er det kun et udtryk for, at de ikke vil erkende, at sikkerheden i deres netbanker ikke er god nok i forhold til det reelle trusselsbillede. Det er et forsøg på at fjerne fokus fra dem selv og rette skytset mod de intetanende netbank-kunder og derved påvise, at sikkerhedsproblemet ikke ligger hos dem.
It-sikkerhed er den moderne verdens raketvidenskab, og mine kollegaer og jeg arbejder dagligt med udfordringer af den højeste kompleksitet. Husk på, at de gode hackere er lige så dygtige som os, men med lagt stærkere finansielle bagmænd og dermed udstyr. De er faktisk - med al respekt - langt dygtigere end mange af de offentlige eksperter, der både rådgiver brugerne og beslutningstagerne på dette område. Disse eksperter har ikke kæmpet krigen i skyttegraven og har derfor ganske enkelt ikke den nødvendige praktiske viden til at udtale sig om, hvad der er bedst for henholdsvis banken og brugerne. Og i en sådan krig er det desværre altid brugerne, der taber.
Det er min helt klare overbevisning, at hvis man som bank tilbyder en netbanksløsning, er det bankens ansvar, at sikkerheden er god nok til, at brugerne ikke behøver bekymre sig om andet end stakken af ubetalte regninger, der skal betales via systemet. Hvis en bank, styrelse, virksomhed eller politiker påstår andet, så er de ikke deres eget ansvar bevidst.
--------------
David Hald er direktør for it-sikkerhedsfirmaet SMS Passcode.
Premium
Efter blåstempling af dataaftale mellem EU og USA: Her er topadvokats råd til alle danske organisationer