En kombination af teknologi og lovgivning har givet islandske Landsbankinn et ekstra forsvar mod kriminelle, som forsøger at lænse kundernes konti gennem phishing-angreb af den type, der har ramt danske netbankkunder det seneste år.
»Vi har meget bedre indsigt i transaktionerne end tidligere, så vi hurtigere kan opsnappe og stoppe en mistænkelig transaktion,« siger it-sikkerhedschef Hákon Åkerlund fra Landsbankinn til Version2.
Banken har implementeret et sikkerhedssystem fra RSA, som udnytter login-mønstre fra 250 millioner andre brugere af den samme teknologi over hele verden. RSA benytter mønstergenkendelse i et Big Data-system til at gøre sikkerhedssystemerne bedre til at opdage, når der foregår noget usædvanligt.
»Alle transaktioner i netbanken bliver registreret og får tildelt en risikoværdi. Hvis systemet opdager noget mistænkeligt, så kan vi bede om noget ekstra information for at bekræfte, at det faktisk er dig, der foretager transaktionen,« fortæller Hákon Åkerlund.
Det kan eksempelvis være, hvis du overfører et stort beløb midt om natten, så kan du blive bedt om at give en ekstra oplysning via en mobiltelefon eller på anden måde bekræfte, at det virkelig er dig, og det er en transaktion, du ønsker at foretage.
Hvis systemet er i stand til at opdage en mistænkelig transaktion, så kan det forhindre den type svindel, som det seneste års tid har ramt flere danske netbankkunder. I de angreb har de kriminelle snydt brugerne til at oplyse brugernavn, adgangskode og en NemID-kode og derefter haft adgang til brugerens netbank.
Tidligere benyttede Landsbankinn et system med tokens, der genererede engangskoder, som brugerne skulle benytte til at logge på. Det er et system, som bygger på nogenlunde samme princip som NemID i Danmark.
Den metode giver imidlertid ingen beskyttelse mod man-in-the-middle-angreb af den type, vi har set mod danske netbanker. Landsbankinn har også benyttet det nye system til at ændre de sikkerhedskrav, der stilles, når brugerne logger på.
»Sikkerheden er større end før, men vi har alligevel kunnet gøre det enklere for brugeren at komme ind på netbanken. Efter vi har implementeret det, har vi set en vækst på 100 procent i brugen af mobilbanken og på 30 procent for privatkunder i netbanken,« siger Hákon Åkerlund.
Forenklingen betyder, at brugeren kun skal bruge det niveau af autentifikation, som er nødvendigt til den aktuelle risikovurdering, som systemet har tildelt sessionen.
Det har dog krævet en omstillingsproces, hvor brugerne skulle lære, at netbanken kunne opføre sig forskelligt fra session til session.
»Vi har forsøgt at informere brugerne med detaljerede forklaringer på vores hjemmeside, og i begyndelsen havde vi også udvidet åbningstiden i vores callcenter,« fortæller Hákon Åkerlund.
Præcis hvilken adfærd, systemet holder øje med og kategoriserer som mistænkelig, bliver holdt hemmelig for at gøre det vanskeligere for kriminelle at imødegå mønstergenkendelsen.
Grundprincippet i Landsbankinns løsning er dog, at den etablerer et grundlæggende mønster for brugerens normale adfærd. Når noget falder uden for dette grundmønster, optrappes sikkerheden ved eksempelvis at spørge om en ekstra kode eller et telefonopkald til kunden.
Ud over den tekniske løsning er de islandske banker også hjulpet i kampen mod netbanksvindlere gennem strenge islandske regler, som gør det næsten umuligt at overføre valuta til udlandet.
De islandske regler for pengeoverførsler til udlandet betyder blandt andet, at det normalt tager længere tid at føre penge ud af landet, og det giver bankerne længere tid til at reagere på et indbrud i en netbank og stoppe overførslen.
Især kreditkortfirmaer har i mange år benyttet mønstergenkendelse til at forsøge at identificere, om et kreditkort er blevet stjålet. Det specielle i den løsning, som Landsbankinn har implementeret, er, at mønstergenkendelsen kan ske på baggrund af et langt større datasæt end blot bankens egne transaktioner.
Hvis en gruppe kriminelle udfører et phishing-angreb mod en netbank i Sverige, som benytter RSA's system, så vil mønstret fra det angreb kunne hjælpe med at stoppe et tilsvarende angreb i eksempelvis Island.
»Vi er et lille land, men vi kan få information fra de andre kunder, der bruger RSA's system, som vi så kan tilføje til vores egen risikovurderingsmotor,« siger Hákon Åkerlund.
Han understreger, at alle oplysninger bliver opbevaret anonymt i RSA's system, og kunder som Landsbankinn har ikke adgang til oplysningerne, kun til mønstrene.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
