IT-eksperter kritiske til renterobot

Flere eksperter på IT-sikkerhet mener DNB har gode grunner til å sperre Renteradars robot fra å hente ut boliglånsinfo fra kundenes nettbanker. Renteradar fastholder at tjenesten er sikker å bruke.

I mars fortalte E24 hvordan DNB har sperret Renteradar siden slutten av 2020.

DNB er den første banken som aktivt sperrer tjenesten, som lar brukere sammenligne vilkår på boliglån ved å hente ut info fra nettbanken med en robot.

Fredag meldte E24 at Sbanken, som har vært kommersiell samarbeidspartner med Renteradar, avsluttet samarbeidet dagen før DNB meldte at de ville kjøpe Sbanken.

Både DNB og Sbanken skylder på manglende sikkerhet. Renteradar mener imidlertid at DNB forsøker å hindre åpenhet og konkurranse, og kaller timingen til Sbanken «meget spesiell».

– DNB har ikke tilstrekkelig kontroll på hvilken informasjon som hentes ut, og vi vet heller ikke hva de bruker informasjonen til, har DNBs kommunikasjonsdirektør, Vibeke Hansen, forklart til E24.

Nå får bankene støtte fra flere eksperter på IT-sikkerhet, som peker på to problemer ved Renteradars metode for å hente ut data:

1. Renteradar får i praksis full tilgang til brukernes nettbank
2. Brukerne venner seg til å oppgi BankID til tredjeparter, noe som kan øke risikoen for svindel

Renteradar fastholder at tjenesten er både sikker og lovlig.

– Det har ikke vært noen negative sikkerhetshendelser for våre 35.000 brukere, sier Renteradars markedssjef og medgrunnlegger, Sindre Noss, til E24.

– Du vet ikke hva de faktisk henter ut

Én av de kritiske IT-ekspertene er Jonny Rein Eriksen. Han jobber til daglig som ingeniør i Opera Software, men har også utviklet en egen utvidelse til Opera-nettleseren som skal sikre brukere mot BankID-svindel.

– Med en gang du gir dine BankID-data til Renteradar, så har de fri tilgang til å lese alt de måtte ønske av din transaksjonshistorie, og alt annet som ligger inne på din konto. Du vet ikke hva de faktisk henter ut, sier Eriksen til E24.

Eriksen mener at Renteradars brukere bryter med sin BankID-avtale når de deler data med tredjeparter.

– Jo flere som opererer slik, jo mer sannsynlig er det at BankID-data også kan gis til en svindler, sier han.

Renteradar erkjenner at det teknisk sett vil være mulig for dem å hente ut overskuddsinformasjon fra nettbanken.

– Vi har imidlertid garantert i våre brukervilkår at vi ikke vil gjøre dette. Både brukervilkårene og regelverk som GDPR er til hinder for slikt misbruk, sier Sindre Noss.

Noss mener at Renteradars brukere er innenfor vilkårene for BankID for mobil og understreker at ingen koder eller passord oppgis til Renteradar.

– Det er ingen risiko for at brukerne gir fra seg informasjon som kan benyttes til en ny innlogging eller autentisering. Renteradar kan heller ikke initiere betalingstransaksjoner siden dette krever ytterligere autorisering av brukeren, sier Noss.

– Ikke spesielt god praksis

En annen kritisk stemme er IT-sikkerhetsleder Eivind Arvesen i Sector Alarm. Han har lang erfaring fra bransjen og satt blant annet i ekspertutvalget som evaluerte Smittestopp-appen.

Arvesen mener saken er sammensatt og mer nyansert enn de to partene, som begge har sterke kommersielle interesser, gir uttrykk for.

– Det er ikke slik at boliglånsinfo i seg selv ikke kan tilgjengeliggjøres på en sikker måte, eller at DNB er urimelige som blokkerer denne uegnede formen for tilgang, sier Arvesen til E24.

På den ene siden mener Arvesen det er hold i DNBs sikkerhetsargument og at det er forståelig at banken har valgt å sperre tjenesten.

– Det er sammenlignbart med å logge inn i nettbanken med BankID på datamaskinen sin, for så å forlate maskinen med noen andre. Kanskje stoler man på den man forlater tilgangen med, men i praksis kan de lese all informasjon som er tilgjengelig der – det er som om du selv hadde brukt nettbanken, sier Arvesen.

Metoden gir derfor ikke brukeren noen reell garanti for trygghet, ifølge Arvesen.

– Premisset om at tjenesten er «helt trygg» hviler på at man stoler på Renteradar. Det å utelukkende basere seg på tillit, fremfor tekniske begrensninger og sikkerhetsmekanismer, er ikke spesielt god praksis innen IT-sikkerhet, konkluderer Arvesen.

Renteradar har bedt DNB om å dele boliglånsinfoen gjennom et API, som er et grensesnitt som gjør det lettere for tredjeparter å innhente data, noe DNB ikke ønsker å gjøre.

Arvesen er enig med Renteradar i at utfordringene enkelt kunne blitt løst gjennom et API, noe som ville kommet forbrukerne til gode og lagt til rette for nye og bedre tjenester.

– Men det er en annen diskusjon enn IT-sikkerheten ved tilgangsformen i denne saken.

– Må finne en annen løsning

Torgeir Waterhouse i rådgivningsselskapet Otte, som i mange år jobbet i IKT Norge og Forbrukerrådet, mener også at det pågår to vidt forskjellige diskusjoner som må tas helt uavhengig av hverandre.

– Den ene handler om hvorvidt DNB skal dele boliglånsdata med Renteradar eller ikke. Den andre handler om metoden Renteradar bruker for å få tak i data.

Waterhouse er «generelt skeptisk» til metoden som blant annet Renteradar bruker i dag.

– For det første er jeg skeptisk til tilliten, ansvaret og tilgangen de får som tredjepart. For det andre er jeg skeptisk til det generelle signalet det sender til brukerne, som bidrar til vranglære, sier Waterhouse.

– Det kan godt hende du stoler på Renteradars intensjoner, men man må skille mellom hvilke tilgang de har og hvorvidt de er til å stole på. Innen IT-sikkerhet jobber vi i stadig større grad etter ideen om at man ikke skal ha tillit. Det handler ikke om Renteradar spesifikt, men om metoden og hele kjeden.

Han mener veldig få av Renteradars brukere klarer å gjøre en vurdering av hva som foregår rent teknisk og hvorvidt de kan stole på et konkret nivå av sikkerhet.

– Min konklusjon er derfor at Renteradar må finne en annen løsning for det de forsøker å oppnå. Er risikoen brukeren tar verdt det for å slippe å hente ut data manuelt? Mitt svar er nei.

– Velprøvd og svært vanlig

Renteradar påpeker at den tekniske løsningen deres «på ingen måte er ny».

– Den er både velprøvd og svært vanlig. I en årrekke er den benyttet av både banker selv og fintech-selskaper som Klarna, Tink og flere titalls andre. Selv konto-til-konto betalingsløsningen du kan betale med når bestiller flybilletter hos Norwegian benytter samme metode, sier Noss.

Noss påpeker også at bankene som eier BankID aktivt jobber med å spre identifikasjonsmetoden utover finanssektoren og at over tusen tjenester allerede benytter løsningen.

– Det at brukerne læres opp til å benytte BankID til formål som ikke har noe med finans- eller offentlige tjenester er med på å ufarliggjøre det å identifisere seg med BankID. Dette kan på sikt utgjøre en risiko, men å blande vår tjeneste inn i dette store bildet mener vi blir helt feil, sier Noss.

Noss mener problemstillingen knyttet til tillit er like relevant for deling av betalingsinformasjon gjennom APIer, noe banker er lovpålagt å gjøre i dag, som også gir tilgang til transaksjonshistorikk.

– Som bruker er man avhengig av at man har tillit til at tredjeparten følger regelverket, helt uavhengig av metode, sier Noss.