Möller Insights – ”Tankevurpan bakom Bank-ID hacket”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om missen bakom Bank-ID hacket.

Tankevurpan bakom Bank-ID ”hacket”
Den här veckan har onekligen kantats med nyheter om identitetsstölder, både här hemma i Sverige och utomlands. Få har nog missat hacket mot Bank-ID och jag återkommer till det, men vill börja med att tala om vad som just nu sker på andra sidan Atlanten – närmare bestämt i Miami.

I tisdags skrev Reuters om en arrestering av 17 personer som misstänks för identitetsstöldsbrott. De hade sedan, framförallt med studenters identiteter, blåst USAs motsvarighet till Skatteverket (IRS) på nära två miljoner dollar. Exakt hur det hela gick till är inte lika intressant som hur identitetsstöld går till i USA. Anledningen till att jag väljer att just belysa Florida av alla platser är för att identitetsstöld är mest utbrett där, jämfört med alla andra delstater i USA.

I genomsnitt rapporteras 190 identitetsstölder per 100 000 invånare i USA, dessa siffror är ungefär lika höga runt om i landet – förutom just i Florida. Där har siffran nästan dubblerats i Miami till att nå 340 identitetsstölder per 100 000 invånare och under förra året hade delstaten 804 per 100 000 invånare som utsattes för bedrägeri. Varför siffran är så mycket högre i just Florida vet jag inte, men vad som står klart är att de som utför brotten ser att det är lukrativt.

Dessa identitetsstöldsligor, för att använda kvällspress terminologi, har brutit sig in i sjukhus i jakt på journaler, brutit sig in i brevlådor och det har till och med gått så långt att de mördat en brevbärare i syftet att stjäla hans nycklar.

Även om vi i Sverige inte ser den här typen av grova brott för att komma åt personuppgifter så är metoderna och problemen de samma. Även i Sverige stjäls post, personer går igenom pappersinsamlingar i hopp om att du kastat känsliga uppgifter. Ser vi på svagheten i Bank-ID som ett aktuellt exempel så finns ju inte svagheten i just mjukvaran. Problemet ligger snarare i att våra fysiska identitetskort inte är tillräckligt säkra och allt för enkla att förfalska.

För er som missat nyheten så kan jag göra en snabb re-cap. Om din identitet blivit stulen och någon tillverkar ett falskt id-kort så kan de sedan starta ett bankkonto i ditt namn på en bank som du tidigare inte är kund hos. När bankkontot är uppsatt så beställer då individen som stulit din identitet bank-id som tjänst via banken och får sina egna inloggningsuppgifter. När personen sedan kopplar upp sig mot Bank-ID så tror tjänsten att du och den som stulit din identitet är samma person och på det viset kan tjuven komma åt samtliga av dina banker kopplade till Bank-ID.

Det är med andra ord lika mycket ett ”hack” i traditionell mening som Life Hack bör klassificeras som hacking. Det hela handlar snarare om två grundproblem där det ena är ett analogt problem och det andra ett digitalt problem.

Det analoga problemet är en kombination av vår övertro på det fysiska id-kortet och hur säkert det är. Tragiskt nog så är säkerheten i vanligt ID relativt lågt. Sen har vi förflyttningen av känsliga uppgifter i vanliga brev som kan anses vara vanskligt. Vi skulle inte i vår vildaste fantasi skicka känsliga uppgifter helt okrypterat mellan olika företag, trots det så kan vi skicka ID-handlingar och känsliga uppgifter i klartext i brev.

Det andra, det digitala problemet är egentligen vad hela IT-branschen ständigt lovar företag och privatpersoner– smidighet och tillgänglighet. Vilket har gjort att Bank-ID har förvandlats till en tjänst som har tillgång till hela ditt digitala liv, en form av skeleton key för ditt digitala jag.

Hela Bank-ID härvan är egentligen en stor tankevurpa, men jag är samtidigt glad att det inte var den digitala säkerheten som fallerade denna gång utan den fysiska.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik