27-05-2021

Advarer bedrifter mot å bruke BankID som hvilepute

Det hjelper ikke å sette en lås på fordøra, hvis bakdøra er vidåpen, sier partner i rådgivningsselskapet Otte, Torgeir Andrew Waterhouse.

sikkerhet illustrert på mac.foto

Introduksjonen av BankID via app gir norske bedrifter nye muligheter til å bruke systemet til å sikre seg mot hvem som har tilgang til sensitiv informasjon. 

Over 2,9 millioner nordmenn bruker i dag BankID til innlogging på blant annet nettbanker og offentlige tjenester. De neste årene vil vi se at innloggingskontrollen vil bli brukt på mange nye felt, ifølge Waterhouse. 

- Faren for at dataangrep gjør at bedrifter har økt behov for å kontrollere hvem som får se sensitiv informasjon, hvem som kan endre denne og hvem som kan ivareta tilgjengeligheten. Et eksempel er risikoen som ligger i at andre får tilgang til din jobbmail. Det betyr at du snart kan bli bedt om å registrere deg via BankID for å kunne lese og sende e-post fra sin firmakonto. Da er det naturlig å bruke mobil, som du har med deg hele tiden. 

- Appen har flere fordeler sammenlignet med tradisjonell BankID på mobil, fordi den kan oppdateres med nye funksjoner, se hvor noen befinner seg når de forsøker å logge inn, og gi deg muligheten til å sperre tjenesten hvis telefonen kommer på avveie, sier han.

Nye trusler stiller nye krav til BankID

Siden hackernes metoder blir stadig mer avanserte, må også autentiseringssystemene utvikle seg.

Phishingsider som er tilnærmet identiske med bankenes innloggingssider er en av mange måter som blir brukt for å få tak private personopplysninger.

For å opprettholde brukernes tillit er det derfor viktig at systemet utvikler seg både administrativt og teknologisk ifølge Waterhouse.

- Administrativt er det viktig at man avklarer hvem som sitter med ansvaret dersom noe går galt. Debatten etter høyesterettsdommen mot Easybank i 2020 viser at dette er uklart i dag. Teknologisk må man nok gå gjennom flere trinn i fremtiden, når man skal logge seg inn via BankID.

– I dag snakker vi om tofaktor-autentisering, men jeg tror det etter hvert blir få tjenester hvor man ikke bruker multifaktor-autentisering. Hvert steg reduserer risikoen for at noen kan misbruke din identitet, men samtidig er det viktig at innloggingen er praktisk.

- Mobilappen vil gjøre det mulig å legge til krav om biometri som fingeravtrykk eller ansiktsgjenkjenning, og man kan også for eksempel be om at du må gjøre noe ekstra etter hver tiende innlogging. Jeg tror imidlertid ikke den fysiske kodebrikken vil forsvinne helt. For noen virksomheter vil det være en ekstra sikkerhet å kontrollere tilgangen til denne, sier han.

Advarer bedrifter mot å bruke BankID som hvilepute

Waterhouse advarer imidlertid norske bedrifter mot å tro at BankID løser alle deres problemer knyttet til uønskete inntrengere.

- Bedrifter må passe seg for å bruke dette som en hvilepute. Selv om BankID gjør det vanskeligere å komme seg inn hoveddøra, finnes det ikke noe system som er 100 % sikkert. Når denne innloggingen blir brukt på flere felt, øker også risikoen for misbruk.

- Det hjelper heller ikke å sette en solid lås på hoveddøra, hvis bakdøra er vidåpen. Har du et elendig sikkerhetssystem ellers, vil angriperne uansett finne en vei inn.

Han får støtte av IT-sikkerhetsekspert Thomas Tømmernes i Atea.

Thomas Tømmernes i Atea

Thomas Tømmernes er IT-sikkerhetsekspert i Atea.

– Helhetlig sikkerhetstankegang er like viktig som BankID for bedrifter

– BankID som produkt nyter godt av skyhøy tillit i befolkningen og derfor godt egnet når man skal bruke et multifaktor-system i forbindelse med pålogging. Men, som Torgeir sier, er det liten effekt å innføre strenge tiltak på enkelte punkter om man ikke har gjort en analyse av nå- situasjonen og satt opp en tiltaksliste. Dette er en av grunnene til at vi snakker om viktigheten av skallsikring.

– Alt for mange virksomheter i både offentlig og privat sektor tar for lett på dette i dag. Ofte er det for eksempel dårlig passordhygiene i form av korte og svake passord, det må settes krav til at passordene må være lange nok til at det er snakk om tiår for å knekke de. Når det gjelder e-post så vil jeg si at en må se på både sikkerheten rundt pålogging og det at sensitivt innhold som sendes på e-post skulle vært sikret mye bedre.

Et av de viktigste grepene bedrifter kan gjøre, er ifølge Tømmernes å installere verktøy som følger med på alle vinduer og dører slik at man raskt kan oppdage og respondere om uvedkommende prøver å komme seg inn i systemet.

– Sørg for å ha sikkerhet på flere nivåer, f.eks: tilgang inn til bedriften, tilgang til systemene kun for de som trenger tilgang og at informasjonen sikres. Samtidig som alt kontinuerlig logges for bedre deteksjon og kontroll. Da er man langt bedre beskyttet enn om man kun stoler på BankID alene, sier han.