Vil du vite hvem du har med å gjøre?
Kronikk: Internetts største utfordring
De som har opplevd å bli svindlet på nett eller føler seg utrygge ønsker seg at det var lettere å vite identiteten bak en nettside. Men det er noen store hindre i veien for dette.
Skrevet av: Mads Henriksveen Fagansvarlig tillitstjenester i Buypass
En piratkopiert versjon av nettsiden til banken din vil i dag kunne fremstå like troverdig og ekte for folk flest, som den virkelige banken din. Med sikker hengelås i hjørnet, samme utseende og nesten lik adresse. Du kan legge igjen personopplysninger, kontonummer eller annen sensitiv informasjon på slike nettsider i god tro. Helt uvitende om at det kan havne i hendene på kriminelle i Russland, Kina eller andre steder. Dette er virkeligheten i dag.
Rett før koronapandemien smalt, utga EU en solid rapport om svindel. Den ble gjennomført i 28 Europeiske land, inkludert Norge, og anslår at svindel forårsaker et økonomisk tap tilsvarende 265 tusen milliarder kroner. Dette svimlende beløpet er basert på at en gjennomsnittlig Europeer, taper i gjennomsnitt 900 kroner til svindel. Selv om virkeligheten er litt annerledes for hver enkelt, er dette et alvorlig samfunnsproblem.
Vi ser at det dukker opp stadig flere falske nettsider som bruker enkle sikkerhetssertifikater. Samtidig ser vi svært få falske nettsider som benytter mer avanserte sikkerhetssertifikater med identitetsinformasjon, som dermed faktisk bidrar til å redusere svindel og kriminalitet.
Jeg mener identiteten til innehaveren av nettsider er vesentlig informasjon vi ikke klarer oss uten. Spesielt når vi vet fra samme rapport at nordmenn opplever mer svindel enn noen andre land i Europa. 43 prosent av denne kriminaliteten skjer via e-post. En vanlig taktikk er å lure folk til å klikke på en link, som tar deg til en falsk nettside hvor du må fylle ut personsensitiv informasjon, og deretter sitter du i saksa.
Informerte avgjørelser for alle
Ønsker du å vite hvem du handler hos? Du er ikke alene. Dette er faktisk en av internetts store svakheter som fortsatt henger igjen siden det hele startet på 1990-tallet. Vi i Buypass har i snart 20 år levert sikkerhetssertifikater til innehavere av nettsider, som lar dem bevise overfor brukeren at de faktisk er den de sier de er. Men samtidig vet vi at kriminelle likevel klarer å lure deg, fordi informasjonen du trenger ikke er så lett tilgjengelig.
Men det skjer ting på Europeisk nivå. I et webinar forrige måned der et hundretalls politikere, toppledere, fagdirektører og stortingsrepresentanter deltok, ga Anders Gjøen, juridisk og politisk offiser i EU kommisjonen, innsyn i arbeidet med revisjon av eIDAS-forordningen. Her jobbes det også med revisjon av det som kalles kvalifiserte sertifikater for nettstedsautentisering (Qualified Website Authentication Certificate - QWAC). Dette er sikkerhetssertifikater som skal sikre at du får informasjon om identiteten til den som står bak en nettside. Dette er en type sertifikat som ikke har fått særlig gjennomslag ennå, men man ser nå på hva som kan gjøres for å få disse tatt i bruk i større grad.
Så hvor butter det?
EU-kommisjonen har fått tilbakemeldinger på disse EU-regulerte sikkerhetssertifikatene fra globale nettleserleverandører som ikke ønsker at disse skal distribueres med dagens TLS-teknologi. Dette er en teknologi som brukes globalt og sikrer kommunikasjon mellom nettlesere og nettsteder. EU-kommisjonen har vurdert alternative løsninger for distribusjon av slike sertifikater samtidig som reguleringens intensjon ivaretas, men det finnes ingen gode alternativer.
Dermed er det ønsker om en løsning, men ikke nødvendigvis én teknologi alle vil akseptere. Nettleserleverandører opererer tross alt i et globalt marked. Der blir Europa til slutt bare en bit av en mye større kake. Og derfor vil vi oppleve utfordringer med å stille veldig spesifikke sikkerhetskrav som kanskje ikke er akseptable overalt.
Sikkerhetssertifikater brukes overalt, riktignok med enkle sertifikater uten identitetsinformasjon, men TLS-teknologien sikrer at informasjonen mellom din nettleser og nettstedet er kryptert. Vi ser at det dukker opp stadig flere falske nettsider som bruker slike enkle sikkerhetssertifikater. Samtidig ser vi svært få falske nettsider som benytter mer avanserte sikkerhetssertifikater med identitetsinformasjon, som dermed faktisk bidrar til å redusere svindel og kriminalitet. Den globale alliansen for dette området, Anti Phishing Working Group, fant i Q2 2020 kun 27 falske nettsider som hadde et slikt sertifikat. En mikroskopisk andel. I tillegg var disse nettsidene blitt hacket, det var altså ikke sertifikatteknologien det var noe galt med. Av mer enn hundre tusen falske nettsider i verden er ikke det spesielt mye. Funnet vitner om at de kriminelle helst holder seg unna denne teknologien, av frykt for å avsløre seg selv. Og det er bra.
Du bør kunne være trygg på hvem som står bak en nettside, spesielt dersom du skal gi fra deg sensitive eller personlige opplysninger. Og vi som land og forbrukere bør kreve mer enn bare et gyldig domenenavn. I bransjen har vi tatt opp at når en sluttbruker gir fra seg personlig informasjon, har vi nå GDPR-regelverket til å hjelpe oss. Men det har sine begrensninger når du ikke vet hvem du kommuniserer med.