I it-regi er det eneste, der er værre end dårlig it-sikkerhed, nok falsk it-sikkerhed. Det var nogenlunde det, der var tilfældet, da en Version2-læser bemærkede en mildest skrevet uheldig omgang med personfølsomme data, da han blev bedt om at sende data til legitimations-oplysninger til banken som konsekvens af den såkaldte hvidvaskningslov.
Det foregik via en nyoprettet webformular, der skulle være til sikker kommunikation med Vestjysk Bank. Men i stedet endte dataene med at blive sendt over nettet i ukrypteret mail-format ligesom pasbilledet, Version2-læser Bjørn Damborg Froberg havde vedhæftet, endte med at være tilgængelige for alle med den rette URL.
Sikkerhedsproblemet er nu fikset, men udviklingschef i banken, Carsten Anderson er dog ikke stolt af implementeringen, der i princippet blotlagde personoplysninger stik mod Datatilsynets anbefalinger på området.
»Det er noget rigtig skidt, vi har lavet. Vi er selvfølgeligt enige i Datatilsynets anbefalinger,« siger Carsten Anderson.
Banken havde netop lanceret webformularen, der skulle sikre krypteringen. Formularen have kun været i luften i omkring seks dage, før Bjørn Damborg Froberg 25. februar gjorde banken opmærksom på problemer i forhold til sikkerheden. Herefter blev sikkerheds-hullet lukket i løbet af et kvarter, fortæller Carsten Anderson.
Pas kunne tilgås af alle
Hullet skyldes, at selvom informationerne sendt via formularen ganske vist blev krypteret, så fik kunden automatisk en retur-mail med oplysninger, som ikke var krypteret. Eksempelvis indeholdende CPR-nummer. Og hvad værre er, et link til billedmateriale sendt via webformularen, i Bjørn Damborg Frobergs tilfælde, et indscannet pas.
Linket havde format af:
http://www.vestjyskbank.dk/Files/Files/FormUpload/XXXXXXXXXXXXXXXX_Pas.jpg
Bjørn Damborg Froberg testede, om billedets-url’en kunne tilgås af andre, det kunne det. Carsten Anderson bedyrer, at udover der ikke længere bliver sendt en autogenereret og ukrypteret mail retur til kunderne med personfølsomme oplysninger, så skulle det heller ikke længere være muligt for uvedkommende at tilgå indhold på http://www.vestjyskbank.dk/Files/Files/FormUpload/
Vestjysk Bank har selv i samarbejde med bankens it-leverandør udviklet løsningen, som Carsten Anderson medgiver, har været for dårligt testet.
»Vi har ikke fået det testet ordentligt. Normalt er vi meget omhyggelige med at få testet den slags ordentlig. Hvis der er nogen, der går ind for datasikkerhed, så er det os, det er en beklagelig fejl, og det er ikke noget, vi normalt sløser med,« siger udviklingschefen og fortsætter:
»En bank skal man jo kunne stole på. Hvis man indtaster noget personfølsomt på vores hjemmeside, skal man jo kunne stole på, det kun er banken der modtager det og ingen andre.«
Vi er flove
I forhold til webforumularen med den problematiske implementering, lyder det ærligt fra Carsten Anderson:
»Vi er egentlig flove over den.«
Bjørn Damborg Froberg oplevelser med it-sikkerheden i Vestjysk Bank er dog ikke helt slut. Han fortæller i en henvendelse til Version2, hvordan han i første omgang blev opfordret til at sende alle informationer i en mail. Det afviste han dog at gøre, og blev først derefter gjort opmærksom på den – på daværende tidspunkt – ikke så sikre webformular. Men at sende personfølsomme oplysninger i en mail, er ikke i overensstemmelse med bankens politik, lyder det fra Carsten Anderson.
»Bankens anbefaling er, at man bruger den krypterede formular eller gør det via vores netbank, der også er sikker. Det er ikke bankens politik, at sende den slags på mail. Det er ikke noget, banken anbefaler, og det er ikke noget, vi anbefaler nogen som helst at gøre. Det er også imod vores it-sikkerhedspolitik,« siger Carsten Anderson.
Leave a Reply