Yngve Espelid gjorde innbrudd i nettbankenes BankID-system som en del av doktorgradsstudiene.
Nå er han hyret inn av BankID for å stoppe andre hackere.
Sikkerheten står i høysetet for å få den livsviktige godkjenningen som innloggingsverktøy til offentlige tjenester på nett. Derfor har myndightene alliert seg med en som vet å trenge seg gjennom elektroniske stengsler.
Under oppsikt
Innbrudd skaper gjerne litt oppstyr. Både Kredittilsynet og Direktoratet for forvaltning og IKT (Difi) holder ekstra oppsikt med de private leverandørene av elektronisk identifikasjon (eID) etter at sikkerhetsforskere flere ganger klarte å ta seg forbi de elektroniske låsene fra BankID, som de fleste nettbanker benytter.
Navnet skjemmer ingen...
For BankID er sikkerheten et ekstra følsomt tema i tiden som kommer.
Årsaken er at Difi er i ferd med å legge grunnlaget for en elektronisk plattform som vil få stor økonomisk betydning for de private leverandørene av eID.
Det lite hippe begrepet er «samtrafikknav».
Frist
I dag finnes det flere private løsninger for eID. De mest utbredte er BankID og Buypass.
I tillegg vurderer staten å utarbeide en egen løsning, Borgerkortet. Ideen er at du skal kunne logge deg på hos kommunen, legen, Lånekassen eller Skatteetaten uavhengig av hvilken elektronisk løsning du foretrekker. Samtrafikknavet skal sørge for at det fungerer.
Fellesportalen er Minside.no, og hvilke elektroniske nøkler som blir godkjent for å låse opp enkeltpersoners dører her, skal Difi vurdere i tiden som kommer.
– Vi skal ha en løsning på plass om halvannet til to år, sier Difi-direktør Hans Christian Holte til Teknisk Ukeblad.
Både BankID og Buypass jobber for å bli godkjent. BankID har stor utbredelse og brukes i første rekke av nettbankene. Buypass kan ha et fortrinn med sin godkjenning som innloggingsverktøy for myndighetenes bedriftsportal Altinn.
Inntekter
De ønsker seg en avtale der de får betalt av staten for hver gang en innbygger logger seg på og benytter en offentlig tjeneste på nettet. Det kan bety store inntekter, og begge virksomhetene bekrefter at de ivrer etter å få innpass.
– For oss er dette veldig interessant, sier informasjonssjef Ann Håkonsen hos BankID-samarbeidet.
– Vi har forventninger om at vi kommer til å være der, sier daglig leder Gunnar Lindstøl hos Buypass.
Difi er i gang med å finne ut hvilke sikkerhetskrav man skal stille til dem som vil være med i samtrafikknavet. Det sentrale er at eID-løsningen er trygg nok til å håndtere fortrolige personopplysninger.
Sikkerhetshull
Dette spørsmålet er for alvor blitt reist av forskere ved Universitetet i Bergen og NTNU i Trondheim det siste året. De ønsket å forske på sikkerhetsteknologiene og fikk innsyn hos BankID. Buypass var ikke interessert i å slippe til utenforstående.
Professor i informatikk Kjell Jørgen Hole og hans team av studenter ved Selmer-senteret, Universitetet i Bergen, fant ganske raskt sikkerhetshuller hos BankID.
– Vi brukte omtrent 100 timer på å ta oss inn i en konto via nettbanken i februar 2007. BankID sørget for å tette dette hullet og rapporterte til Stortinget et snaut år etter at alt var i orden. Det tok oss én dag å komme inn på nytt, sier Hole.
– Derfor stiller jeg spørsmålstegn ved sikkerheten ved hvordan BankID er bygget opp. Det er grenser for hvor godt dette kan bli ved stadig å lappe på den opprinnelige løsningen. Og hvor god blir sikkerheten for sensitive personopplysninger, som elektroniske resepter og bindene kontrakter, sier han til Teknisk Ukeblad.
Nå skal det nye hullet være tettet, men på forsommeren kunne kryptolog Kristian Gjøsteen ved NTNU melde om noe han oppfatter som en grunnlegende svikt: Utro tjenere kan få tilgang til kodenøklene og dermed kontoopplysninger.
– Det skal egentlig ikke mer til enn at du sitter på innsiden, har uærlige hensikter og vet hva klokka er. Dato og tid er informasjon nok til at du kan resonnere deg frem til koden, forklarer Gjøsteen. Han har sett sterke indikasjoner på at slik informasjon er blitt tappet allerede og sikter blant annet til påstandene om at folk på innsiden av en bank har forsynt sladderpressen med Mette Marits handlevaner.
Datakriminelle
Når trauste forskere kan komme seg inn i den idiotsikre banken, hvor trygg er da penger og personopplysninger for mer rutinerte datakriminelle? Hole og Gjøsteen følte at bankene ikke tok deres forskningsfunn seriøst nok og vakte oppsikt da de valgte å gå ut med hard kritikk i mediene om forholdene.
BankID-samarbeidet svarte med en pressemelding der de forsikret om at systemet er trygt nok. Men nå er uansett ekstern ekspertise hentet inn for en gjennomgang av sikkerhetsrutinene. Se egen sak i denne reportasjen.
Kontrollen med slike løsninger har Kredittilsynet og Post- og teletilsynet (PT) ansvaret for. PT har kritisert forskerne for å skape ugrunnet frykt. Kredittilsynet følger derimot BankID med argusøyne, etter at en rekke svakheter ble avdekket allerede i 2005:
Ufullstendig IT-strategi, mangelfull organisering, roller og ansvar, samt ufullstendige risikovurderinger.
Puster i nakken
Flere mangler ble også funnet under et tilsyn på tampen av fjoråret. I et brev fra mai i år kommer det frem at Kredittilsynet puster BankID i nakken.
– Kredittilsynet har i sine merknader tatt BankID-samarbeidets foreslåtte tiltak til etterretning, men vil gjennom ulike aktiviteter sikre en oppfølging av at tiltakene blir gjennomført, redegjør seniorrådgiver Anne Karen Seip ved IT-tilsyn hos Kredittilsynet i en e-post til Teknisk Ukeblad.
Etter at forskerne i Bergen tok seg inn i nettbanken, er det opprettet et formelt samarbeid med Kredittilsynet.
– Vi har etablert et faglig samarbeid med Selmersenteret ved Universitetet i Bergen for å sikre oss rådgivning på særlige kompetanseområder, sier Seip.
Også Difi har nærkontakt med forskerne for å få detaljkunnskap om sikkerhetsutfordringene. Difi-sjef Holte er ikke villig til å legge ut i detalj om hva de er på jakt etter.
– Men jeg kan bekrefte at vi og Fornyingsdepartementet hadde et møte med Trondheimsmiljøet i juni, sier Holte.
Strengere
Nå viser det seg også at direktoratet stiller spørsmålstegn ved tilsynet av de private leverandørene. Holte vil heller ikke her gå i detalj. Forskerne mener det er en svakhet i at PT godkjenner løsningene kun på basis av dokumentasjon som leverandørene selv legger frem.
– Er ikke tilsynet strengt nok i dag?
– Jeg vil ikke bruke de ordene, men jeg vil si at vi skal se skikkelig på dette og gjøre våre faglige vurderinger, svar hans Christian Holte.
Hacker sjekker
Når bankene for alvor skal sjekke sikkerheten i BankID-systemet, har de hyret inn en av studentene i Bergen som hacket de elektroniske låsene.
Bankenes Standardiseringskontor har ansvaret for sikkerheten i systemet. Og her har daglig leder Knut Kvalheim hyret inn eksterne eksperter fra blant annet IT-selskapene EDB Business Partner og Bouvet for en grundig gjennomgang av sikkerheten og en omlegging av rutinene.
Blant ekspertene er Yngve Espelid hos Bouvet. Han er en av studentene som tok seg inn i nettbanken sammen med professor Hole i Bergen.
– Jeg tok doktorgraden i metoder innen applikasjonssikkerhet, og et element i denne forskningen var å identifisere svakheter i ulike systemer. Det er spennende å kunne være med på denne jobben for BSK, sier Espelid.
Tyv
– Hvordan er det å være leid inn som tidligere ”tyv”?
– Jeg syns det er veldig bra at de gjør en skikkelig jobb med å gå gjennom sikkerheten, sier han.
– Og hvor trygg kan oppdragsgiver være på at du ikke sørger for å bli en rik mann i denne situasjonen?
– Slike oppdrag baserer seg på tillit og profesjonalitet, i tillegg til de formelle taushetserklæringene, svarer Yngve Espelid.
Trygg på kompetansen
Hos BSK var Kvalheim i utgangspunktet ikke klar over at han hyret inn en av dem som brøt seg inn i forskningens navn.
– Nei, jeg visste det ikke da, men ble fort klar over det. Og det er greit. At en av konsulentene i selskapet har fortid i Selmer-sentret tilla vi ikke noen spesiell vekt verken i positiv eller negativ forstand.
– Kan det være en fordel å ha en hacker til å sjekke sikkerheten?
– He-he, vi er i alle fall trygge på at vi har leid inn selskap som sitter med den rette kompetansen. Det var jo ut fra kompetanse at vi valgte Bouvet, sier Kvalheim.