Viðskipti | mbl | 6.11.2012 | 16:06 | Uppfært 19:58

Ekki þörf á auðkennislykli

Auðkennislykillinn er á útleið, en Landsbankinn hefur hætt notkun á honum frá og með deginum í dag. Árni Sæberg

Í dag gafst viðskiptavinum kostur á að skrá sig inn í netbanka Landsbankans án þess að notast við auðkennislykil eða rafræn skilríki og dugar notendanafn og lykilorð eitt og sér. Samfara þessu hefur ný öryggislausn hefur verið tekin í gagnið og hún byggist á kerfi sem fylgist með hegðun viðskiptavina og bregst við ef breytingar verða þar á.

Ef svo ber undir þarf viðskiptavinurinn að staðfesta auðkenni sitt með símtali með því að svara öryggisspurningum sem hann hefur áður gefið svarið upp við. Hermann Þór Snorrason, sérfræðingur bankans á vöru- og viðskiptaþróunarsviði, segir að þeir telji framtíðina í auðkenningu í netbanka frekar liggja í þessu nýja öryggiskerfi heldur en auðkennislyklum og rafrænum skilríkjum.

„Falskt öryggi“

Lengi vel hefur auðkennislykillinn verið aðalöryggisatriði í rafrænum viðskiptum hér á landi. Nýlega bættust svo rafræn skilríki við, en þau eru samstarfsverkefni ríkisins og bankastofnananna. Notkunarmöguleikar þeirra eru reyndar mun víðtækari en bara við auðkenningu og segir Hermann þau enn góðan kost við undirskriftir í rafrænum viðskiptum, svo sem við undirritun skuldabréfa og þegar reikningar eru stofnaðir.

Með þessu skrefi sem Landsbankinn hefur tekið verður auðkennislykillinn óþarfur, en fólk getur enn skráð sig inn með rafrænum skilríkjum velji það slíkt. „Bæði auðkennislyklar og rafræn skilríki veita falskt öryggi og þess vegna erum við að grípa til þessara aðgerða,“ segir Hermann, en hann telur Íslendinga hafa verið heppna með að hafa ekki lent í öryggisóhöppum síðustu árin. Segir hann að gjaldeyrishöftin og sú staðreynd að ekki sé hægt að millifæra upphæðir á erlenda reikninga hafa hjálpað okkur í netvörnum síðustu árin, þar sem það hafi gert innbrot í íslenska banka ófýsileg.

Nýja öryggislausnin sem nú er kynnt virkar á þann veg hún notar mynsturgreiningu til að athuga hvort notandinn sé ekki sá sem hann segist vera. Að sögn Hermanns eru yfir 1 þúsund atriði sem gervigreindin skoðar og meðal þess er staðsetning, skyndilegar breytingar á stórum millifærslum, tímasetning, hegðun í netbankanum, vafri og stýrikerfi. Ef breytingar verða á þessum atriðum sem fara út fyrir eðlileg vikmörk þarf notandinn að auðkenna sig með spurningum eða hann fær símtal. Hermann segir slík atvik þó óalgeng og að almennt eigi fólk ekki að verða fyrir truflun vegna þessa.

Notað hjá 8 þúsund fyrirtækjum

Landsbankinn er í samstarfi við fyrirtækið RSA um þessa öryggislausn, en hún er nú þegar notuð hjá yfir 6 þúsund bönkum um víða veröld og 2 þúsund öðrum fyrirtækjum. Bankarnir eru einnig tengdir inn á sameiginlegt öryggisnet, þannig að ef reynt er að brjótast inn í einn banka, þá er lokað á ip-tölu þess aðila hjá öðrum bönkum. Hermann segir að Landsbankinn sé stoltur af því að verða aðili að stærsta öryggisneti sem völ er á á þessu sviði, en að bankinn viðurkenni einnig með þessu að hann sé fyrst og fremst viðskiptabanki, en ætli sér ekki að reyna að hafa sérþekkingu á sviði netöryggis sem verði eftirlátið öðrum hæfari aðilum.

Kerfið skoðar upplýsingar 3 mánuði aftur í tímann til að meta hegðun notenda, en eftir það er gögnunum eytt. Þegar svo miklar upplýsingar koma saman er augljóst að upp koma spurningar um persónuvernd. Hermann segir að kerfið byggi alfarið á gervigreind og að enginn hafi aðgang að þeim upplýsingum sem skoði hegðun notenda, auk þess sem þær séu ekki persónugreinanlegar.

Á næstunni verður nýja kerfið virkjað við tengingar farsíma við netbankann og næsta haust verður það innleitt í netbanka fyrirtækja.