Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 28. januar 2005.
Netbank-indbruddet hos Nordea i sommeren 2004 har ikke affødt radikale ændringer i bankernes it-
system. Men de taler mere sammen og har samtidig skruet op for informationsindsatsen over for slutbrugere og internetudbydere.
I sommeren 2004 skete det første netbank-indbrud i Danmark. Nordea var offeret, men det har ikke ført til, at hverken Nordea eller de andre danske banker har lavet radikalt om på deres it-systemer.
Nordeas system viste sig at leve op til forventningerne og kunne på mindre end ti minutter bidrage væsentligt til efterforskningen af forbrydelsen. Alligevel er samarbejdet på tværs af bankerne blevet intensiveret. Og bankerne bruger flere ressourcer i et forsøg på at helgardere sig.
Nordeas netbankchef Martin Andersen erkender, at sikkerheden aldrig kommer op på 100 procent. Han mener dog, at der kan gøres meget for at mindske sandsynligheden for, at det går galt. For eksempel offentliggør banken råd og anbefalinger på sin hjemmeside. De skal gøre det nemmere for kunderne ikke at komme i uføre. En anden vigtig del af bankernes rolle er at være meget omhyggelig med registrering af oplysninger i forbindelse med driften af banken. Banken skal for eksempel kunne fastslå, hvilken trafik der er foregået helt ned på delsekundniveau.
Danske Banks it-sikkerhedschef Carsten Stenstrøm mener også, man skal komme problemerne i forkøbet. Det gør banken blandt andet ved at følge udviklingen i det generelle trusselsbillede.
- Vi gør grundlæggende ikke noget nu, vi ikke gjorde før. Men selvfølgelig er vi da endnu mere opmærksomme på potentielle trusler, efter vi har set, at det kan gå galt. Og det har også ført til, at vores sikkerhedssystemer er blevet gået en ekstra tur efter i sømmene. Vi mener, at der fortsat skal være lige meget fokus på såvel at forebygge som en eventuel efterfølgende brandslukning, siger han.
Hvis uheldet alligevel skulle være ude, og der har været indbrud i netbanken, er kunderne godt stillet. Lovgivningen sikrer, at kunderne ikke mister deres penge.
Lovgivningen gør også, at indbrudstyven i en netbank har meget svært ved at komme i nærheden af byttet.
- Pengene kan ikke bare printes ud. Tyven er nødt til at sætte dem ind på en konto, hvorfra de så skal hæves. Selvfølgelig kan det gøres vanskeligere at spore pengene ved eksempelvis at flytte dem til udlandet. Men i sidste ende kan vi altid finde frem til, hvor de er havnet, siger Martin Andersen.
Ifølge både Danske Bank og Nordea er den måske største risiko ved eventuel fremtidig netbank-kriminalitet, at kunderne mister tilliden til netbanker som en sikker måde at foretage banktransaktioner på. Det er også en af grundene til, at finanssektoren arbejder sammen for at sikre erfaringer og for at klarlægge, hvordan forskellige hændelser skal håndteres. Det kunne eksempelvis være at informere netbank-kunder om en sikkerhedsbrist, hvilket Nordea valgte i juni 2004.
Selv om bankerne gør, hvad de kan for at løfte deres del af byrden, vil det i sidste ende være op til den enkelte bruger at opføre sig ansvarligt på internettet, have et opdateret sikkerhedssystem af antivirus og firewalls, og generelt være varsom med at downloade programmer.
Den smøre kan ikke længere kaldes ny, men den er ikke desto mindre stadig gældende. Ser man på Nordea-sagen fra i sommer, var der ikke noget i bankens systemer, der kunne have forhindret det. Og brugeren, hvis konto det gik ud over, havde sikret sig efter bedste evne.
- Det er vigtigt at skelne mellem den risiko, private og virksomheder er udsat for, men at tro på, at nogen kan føle sig 100 procent sikre - den holder ikke. Hvis de kriminelle prøver ihærdigt nok, så skal de nok finde en vej ind systemet, siger Tom Kristensen, kriminalassistent i Rigspolitiets it-sektion.
Han pointerer, at det ikke er realistisk at forhindre en sikkerhedsbrist fuldstændigt - det ville kræve enorme ressourcer. Det er meget svært at beskytte sit system mod en trussel, man end ikke ved eksisterer, og Tom Kristensen mener, at virksomheder bør betragte sikkerhed på linie med en forsikring. Man må prøve at dække sig ind bredest muligt i erkendelse af, at man ikke kan spå om fremtiden.
Boks:
Tyve gode råd mod tyve
En guide fra Dansk IT giver et bud på, hvordan virksomheder kan være med til at sikre bevismateriale, og derved gøre efterforskningsarbejdet nemmere i tilfælde af it-kriminalitet. Guiden indeholder ti råd, der kan være med til at forebygge it-kriminalitet, og ti råd til hvad man kan gøre, hvis skaden er sket:
Det kan man gøre for at forebygge it-kriminalitet:
• Indsæt en kompetent person til at håndtere sagen.
• Integritet - Tag backup af systemet under mistanke.
• Noter systemets/serverens tidsstempling i forhold til
realtiden.
• Tag et øjebliksbillede af aktivitet på aktuelt system
(Netstat, Fport etc.)
• Vær opmærksom på andre systemer, som kan være
interessante (firewall, proxy, routere etc.)
• Opsæt eventuelt netværkssniffer med henblik på analyse af trafikken.
• Identificer mulige logfiler - både på det kompromitterede system og firewall/proxy/routere.
• Undlad selv at tage affære ved at kontakte eksterne
parter.
• Forsøg at klarlægge, om systemet er aktuelt
kompromitteret.
• Tag kontakt til politiet - lokalt for anmeldelse, eller
Rigspolitiets Kriminaltekniske afd. IT-sektionen for
vejledning på telefon: +45 3314 8888.
Det kan man gør, når skaden er sket:
• Udarbejd en it-sikkerhedspolitik, hvor efterforskning er tydeliggjort.
• Udarbejd et regelsæt for, hvornår virksomheden ønsker at anmelde til politiet.
• Identificer en koordinator i virksomheden, som er
kompetent til at styre en given situation.
• Identificer kompetencepersoner, der er eksperter på virksomhedens anvendte systemer - evt. eksterne
sikkerhedskonsulenter hvis nødvendigt.
• Udarbejd et netværksdiagram, så systemernes
sammenhæng let kan klarlægges.
• Opsæt optimal logning/audit - hvis muligt på særskilt log-server med begrænset adgang.
• Overvej eventuelt et IDS-system.
• Synkroniser servere/systemer med tidsserver.
• Identificer procedure for indsættelse af
netværkssniffere.
• Identificer procedure for hurtig databackup.
Guiden kan læses i sin fulde længde på www.dansk-it.dk
