- Jeg får ikke logget på nettbanken nå i kveld, skriver en Nordea-kunde på bankens Facebook-side.
Samme melding kan snart møte svært mange flere Nordea- kunder, hvis ikke sikkerheten oppgraderes snarest. Teknologien Nordea bruker for å holde kommunikasjonen med kundene hemmelig regnes nemlig som så utdatert og usikker at Google ikke lenger mener det som forsvarlig å la brukerne sine gå videre.
Ikke god nok for Visa
Krypteringsteknologien Nordeas nettbank krever at du bruker kalles RC4, en gammel teknologi med en rekke kjente svakheter. Den er derfor ikke godkjent for bruk med Mastercard og Visa, påpeker sikkerhetsekspert Per Thorsheim i God Praksis.
- Det betyr at krypteringen er bedre når du for eksempel kjøper kinobilletter enn i nettbanken Nordea, sier han.
Varslet lenge
Både Google og Microsoft har lenge varslet at de vil slutte å støtte teknologien, så Nordea har hatt god tid på seg påpeker Thorsheim.
– Dette viser er at Nordea ikke har fulgt med i timen og oppdatert systemene sine jevnlig, sier han.
Foreløpig er det kun brukere av Googles ”Chrome Canary”- nettleser som blir blokkert fra å bruke Nordeas nettside, en spesialnettleser for de som vil ha den aller nyeste teknologien. Men denne oppdateringen vil trolig videreføres til den vanlige Chrome-nettleseren over nyttår, påpeker Thorsheim.
Microsoft har også varslet at de vil kutte støtten for teknologien "tidlig i 2016".
Strykkarakter
Nordea får strykkarakteren ”F” av Ssllabs.com, bransjens mest anerkjente test av nettside-kryptering. Testen påpeker en rekke svakheter hos Nordeas nettbank. Blant de andre norske storbankene er DNB best, med toppkarakteren A+. Thorsheim mener bankene minimum bør ha ”A-”.
Fem A-er og en stryk
DN har testet krypteringen i storbankens nettbanker på Ssllabs.com. Alle fikk A, med ett unntak.
(Kinobestilling via bestill.nfkino.no får karakterer C)
Kunden trygg
Nordea innrømmer at dette ikke er bra nok, men mener kundenes sikkerhet er ivaretatt gjennom flere sikkerhetsmekanismer, ikke bare såkalt SSL-kryptering.
- Sikkerhetsarbeidet i våre nettbanker består av flere aspekter hvor SSL-kryptering er en av flere viktig elementer. Vi har i tillegg automatisk overvåkning, samt manuelle rutiner som gjennomgår alle transaksjoner i våre systemer, sier kommunikasjonsrådgiver Grete Christine Kruse, i en epost.
Hun sier arbeidet med nye krypteringsløsninger har pågått over lengre tid.
- Det har dessverre har tatt lengre tid enn det vi ønsket. Vi har byttet leverandør, og testing av nye løsninger har tatt lengre tid på bakgrunn av at vi ønsker å ivareta kundenes totalopplevelse av våre tjenester, sier hun.
Hun lover at en oppgradering skal på plass kommende helg, der anbefalte krypteringsløsninger legges til og støtten for utdaterte RC4 fjernes.
Thorsheim regner ikke med at Nordea-kunder er blitt utsatt for svindel som følge av svakhetene, og han tror ikke at interessen for å overvåke folks kommunikasjon med banken er spesielt stor blant de som kan ha kapasitet til dette.
Men han mener dette er relativt enkelt rutinearbeid, som ikke burde ha krevd så mye tid å gjøre riktig.
- Det er vanskelig å se noen logisk grunn til at de ikke ønsker å oppdatere systemene sine over tid, sier han.
Les også:
Varsler nye bunnivåer for oljeprisen
Utleie-krakk i Stavanger (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.