BankID, en autentiseringstjeneste som brukes av de fleste norske banker og offentlige digiale tjenester, har kommer under lupen i det siste fordi de bruker Java, en teknologi som har alvorlige sikkerhetshull. Både norske og utenlandske myndigheter anbefaler alle internettbrukere å unngå å bruke Java, og gjerne fjerne det helt fra sine maskiner.
Men for de 2,86 millioner norske BankID-brukerne er ikke dette så lett. Foreløpig finnes det ingen alternativ løsning som alle kan bruke.
- Java-varianten er den eneste varianten som kan brukes av alle BankID-brukere foreløpig. Vi har også en tjeneste som heter BankID på mobil og en egen app for Iphone, men disse alternative løsningene krever støtte fra mobiloperatører og brukerstedene, sier daglig leder i BankID Odd Erling Håberget.
Han understreker at det jobbes kontinuerlig med å få BankID på mobil til å bli tilgjengelig uavhengig av mobiloperatør, men siden tjenesten legges inn på brukerens sim-kort kreves det tett samarbeid og tilpasninger fra operatørenes side. Appen for Iphone og Ipad kan brukes av alle som har en kodebrikke, men krever at nettstedet man logger på har støtte for appen.
Problemet med Java er todelt. Det ene er at Java ikke kan brukes på nettbrett og smarttelefoner. Men svært mange nordmenn ønsker å bruke nettbanken på slike enheter. BankID har laget en egen app som lar brukerne logge på nettbanker og offentlige tjenester uten Java, men kun for de som har et Apple-produkt.
- En app for Android vil komme i løpet av tredje kvartal i år, sier Håberget.
For at en bank eller et offentlig nettsted skal kunne tilby BankID på mobil eller støtte BankID-appen må de gjøre en del tilpasninger i sine egne it-systemer. De må ikke betale BankID for funksjonaliteten, men det koster tid og penger å gjøre de nødvendige tilpasningene i de sikkerhetskritiske systemene.
Kommer ikke unna
Det vil si at svært mange nordmenn må fortsette å bruke Java inntil videre.
- I Norge er det nesten bare BankID som bruker Java mot private brukere. Java er utbredt som plattform for bedriftssystemer, men hadde det ikke vært for BankID ville de fleste private pc-er i Norge vært Java-fri, sier sikkerhetsekspert Per Torsheim i God Praksis til DN.no.
Han får støtte fra offentlig hold.
- Vi ønsker oss en Java-fri løsning, sier fagdirektør i Direktoratet for forvatning og IKT (Difi), Tor Alvik.
Han jobber til daglig med ID-porten, som håndterer pålogging og identifikasjon for offentlige tjenester som Skatteetaten og NAV. BankID er ett av alternativene man har for pålogging til offentlige tjenester.
- Vi støtter appen til Apple og den kommende Android-appen for de som vil bruke nettbrett og smarttelefon, men vi ønsker oss en pålogging for alle, som er systemuavhengig, sier Alvik.
Kommer «senere»
BankID holder imidlertid kortene tett til brystet og vil ikke si så mye om sin egen produktutvikling. Håberget sier det er mer komplekst enn noensinne å finne en universell teknisk løsning.
- I dag finnes det mange ulike plattformer som vi må støtte, nye kommer til og enkelte forsvinner. I tillegg må vi kalkulere inn en levetid for den teknologien vi velger. Da BankID er en eID-løsning som tilfredsstiller offentlige krav på høyeste sikkerhetsnivå, er sikkerhetskravene til nye løsninger essensielle. Samtidig ønsker vi oss løsninger som ivaretar brukervennlighet. I prosjektet gjør vi vårt beste for å forene disse hensynene, sier Håberget.
- Når kan norske brukere vente seg en Java-fri BankID?
- Vi kan dessverre ikke annonsere noen dato ennå. Før vi kan snakke konkret om hvilke alternativer vi har, må vi være overbevist om at løsningene er sikre nok og brukervennlige nok, sier Håberget.
Som en sveitserost
- Java er en av de mest sårbare teknologiene på internett. Alle de mest populære hackerverktøyene har ferdige løsninger som utnytter sikkerhetshull i Java, sier teknologidirektør Christophe Birkeland i Norman, et norsk selskap som er et av verdens ledende innen it-sikkerhet.
- Da BankID ble introdusert var Java et godt valg fordi det var regnet som sikkert, men tidene har forandret seg, sier Birkeland.
BankID kan ikke garantere at neste generasjon løsning vil være immun mot lignende situasjoner som den som har oppstått rundt Java.
- Uansett hvilke alternativer vi faller ned på må vi anta at også nye løsninger vil ha sårbarheter. Kampen mot trojanere og sårbarheter vil ikke være slutt med Java-frie alternativer. De vil bare anta nye former, sier Håberget.
Birkeland i Norman påpeker at det er viktig å være klar over hvilke trusler man i realiteten er sårbar overfor som nettbankbruker.
- Selv om noen skulle bruke Java som bakdør inn på din pc betyr ikke det at du automatisk risikerer å få kontoen tømt. Det er ikke slik at hackingen foregår mens man bruker BankID, den kan forekomme når som helst så lenge Java er installert og man surfer på internett. De fleste hackerne er ute etter å bruke pc-en din anonymt til å angripe andre eller til å sniffe opp brukernavn og passord eller annen verdifull informasjon, sier Birkeland.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.