Det er efterhånden en noget fortærsket sandhed, at den menneskelige faktor er det svageste led i virksomhedernes it-sikkerhed.
En virksomhed er ikke mere sikker end de medarbejdere, der benytter dens systemer, og som den seneste sag med MobilePay-svindel viser, er selv de systemer, vi stoler mest på, ikke 100 procent sikre.
En tidligere chefredaktør på Computerworld blev for nylig offer for et udspekuleret scam-opkald, og han blev frarøvet 80.000 kroner via MobilePay.
Det er ikke nyt, at der svindles med MobilePay, men sagen understreger alligevel en vigtig pointe. Nemlig at man i dag ikke kan sikre selv det bedste system uden at placere et vist ansvar hos brugeren.
Kravet til en moderne betalingsløsning er først og fremmest, at den skal være nem og hurtig at bruge. Og på et marked der har besluttet sig for, at det er for langsomt og besværligt at indsætte sit Dankort og taste fire cifre, er det ikke let at opnå den totale sikkerhed.
Med brugervenlighed følger ansvar
Den ekstreme brugervenlighed, der forventes af moderne betalingssystemer, kommer så at sige med et minimumskrav til brugernes forsigtighed, og hvis en bruger opgiver kodeord og personlige oplysninger til folk over telefonen, er der, for nu at sige det pænt, ikke så meget at gøre.
Ovenstående skal dog ikke opfattes som ren “victim blaming” af Computerworlds forhenværende chefredaktør eller andre, der har været ofre for lignende svindelnumre.
Ja, den klassiske telefonsvindel er let at afvise. Man behøver ikke være sikkerhedsekspert for at regne ud, at det næppe er Microsofts kundeservice, der ringer på gebrokkent engelsk fra et telefonnummer i Burundi, ligesom det bør være logik for de fleste, at det aldrig er en god idé at sende nogen et billede af sit NemID.
Men Computerworld har tidligere beskrevet, hvordan svindlere og it-kriminelle i det senere år er blevet langt dygtigere og mere professionelle. Dansksprogede freelancere tilbyder sprogkundskaber til svindel via det mørke net, og ransomware-producenterne har fået kundeserviceafdelinger.
Det kan du læse mere om her: Sådan organiserer nigerianske bander cyber-svindel i Danmark: Hyrer dansk arbejdskraft på det mørke net
Bankernes systemer nyder enorm tillid, og når en person fra MobilePay på klingende rigsdansk i telefonen hævder at have brug for den kode, du ganske rigtigt lige har modtaget på SMS fra MobilePay, ja, så er det ikke længere åbenlyst, at der er tale om fup og fidus.
Betyder det så, at MobilePay er usikkert? Nej.
Men en uvidenskabelig tommelfingerregel er, at jo lettere et system er at bruge, jo lettere er det at misbruge.
Danske Bank og andre betalingsudbydere kunne godt udrydde en stor del af den verserende svindel, og man kan altid lægge ekstra lag af to-faktor-godkendelse ind forskellige steder i processen.
Men når en elektronisk betaling skal tage tre sekunder og være lige så intuitiv som en dating-app, så går det bare ikke.
Realiteten er, at når en uddannet mand med baggrund i it og innovation kan fuppes, så er der nok rigtig mange andre, der også falder i.
Derfor er det måske relevant at diskutere, om det overhovedet er forsvarligt at stille tjenester som MobilePay til rådighed.
Læren af den aktuelle sag må i alle tilfælde være, at ubehagelig skepsis og mistro overfor fremmede er en nødvendig del af sikkerheden i moderne betalingsløsninger.
Og hvis man ikke gider det, så er der jo Dankortet (det fysiske plastikkort, altså).