8.000 bankkunder, der i januar fik lukket deres netbankadgang og fik ordre på at geninstallere Windows, har været en øjenåbner for, hvad hackere i dag er i stand til. Ofrene kunne se hele deres opsparing forsvinde ud af landet, og debatten raser nu om hvad, der kan gøres for at undgå den slags problemer fremover.
En lektor og en professor i datalogi kritiserer i Politiken netbankernes sikkerhed, som de mener halter, så længe der ikke altid bruges engangs-kodeord. Bankerne skulle have set problemerne komme og været hurtigere til at hæve sikkerhedsniveauet, lyder det.
Men kritikken er forfejlet, mener sikkerhedskonsulent Dennis Rand fra CSIS, som Finansrådet og bankerne fik teknisk hjælp fra under hacker-angrebet.
»Det er fuldstændigt lige meget. Det vil ikke hjælpe noget med de teknologier, hackerne bruger i dag,« siger han.
Med et man-in-the-middle-angreb, som det netbankerne var ramt af, kan en hacker således styre al kommunikation mellem kunden og netbanken og for eksempel lokke kunden til at indtaste en engangskode, der så kan bruges til at tømme kontoen, mens brugeren får en falsk besked om, at regningen til kabel-tv nu er betalt, hvis det var det, brugeren var i gang med.
»Netbankerne gør i dag alt, hvad de kan, og har en høj sikkerhed. Problemet ligger hos brugerne, som må tage ansvar for, at hackerne ikke kan overtage kontrollen med deres computer,« siger Dennis Rand.
Det er ikke noget urimeligt krav at stille den gennemsnitlige dansker, mener han.
»Du kører jo også i bil, selvom du ikke er mekaniker. Men så ved du, at du skal have bilen til service en gang imellem, for at være sikker på, at det er sikkert at køre i den. Der findes masser af teknologier og værktøjer, som folk kan bruge til at gøre deres computer sikker, og det er tit gratis eller i hvert fald billigere end at få bilen til service,« siger sikkerhedskonsulenten og henviser for eksempel til vejledningerne i Netsikker Nu-kampagnen fra IT- og Telestyrelsen.
Kunder, der får deres konto tømt af hackere, får i øvrigt tabet erstattet af banken, så der er ingen økonomiske konsekvenser, kun en forskrækkelse.
Mobiltelefonen kan hæve sikkerheden
I dag tilbyder flere af bankerne engangs-kodeord, enten som et tilvalg eller som den eneste løsning. Danske Bank bruger for eksempel engangskoder til kunder, som kører Linux og OS X. Senere i år vil DanID også lancere den nye digitale signatur, der også er baseret på engangskoder. Da bankernes fælles selskab PBS står bag DanID, forventes bankerne hurtigt at skifte til den nye digitale signatur i deres netbank-løsninger.
Men der er andre måder at forsøge at forbedre sikkerheden for netbankerne på.
For eksempel ved også at bruge mobiltelefonen, så kodeord og bekræftelser sendt pr. sms gør det svært for hackere at lægge sig imellem al kommunikationen fra bank til kunde. Det har den tyske sikkerhedsekspert Magnus Kalkuhl fra antivirusfirmaet Kaspersky tidligere forklaret Version2.
I Tyskland har bankerne i stor stil været ramt af den slags angreb, der nu også giver problemer i Danmark, og der har derfor været meget fokus på at finde på nye modtræk. Ved at lade kunden sende et engangskodeord pr. sms for hver transaktion, vil en hacker også skulle kontrollere denne kommunikationskanal, før angrebet kan lykkes, og det er i dag ikke så nemt for en hacker fra fjerne lande.
Magnus Kalkuhl kaldte det en meget sikker løsning, så længe brugernes mobiltelefon ikke også var inficeret, hvilket han mente kunne blive et problem om tre-fire år.
Hvad mener du, bankerne skal gøre for at hæve sikkerheden og tilliden til netbankerne? Eller er det først og fremmest hos brugeren, problemet ligger?