"NemId holder hackerne væk"

Politiken citerer i dag Finansrådets nyhedsbrev Finans for at påstå at der ingen indbrud har været i netbanker siden indførslen af NemId, og at denne mangel på indbrud skulle skyldes NemId.

Jeg har mange problemer med den artikel:

  • Der er tale om et partsindlæg. Finansforbundet er bankernes brancheorganisation, og der kan dermed uden videre sættes lighedstegn imellem Finansforbundet og Nets, der står bag NemId
  • Der kan sagtens have været indbrud. De kan endda være anmeldt. Men bankerne er sandsynligvis ikke meget for at indrømme at der er tale om indbrud.
  • NemId har faktisk reduceret antallet af steder, der skal angribes. Det er måske grundigere implementeret, og har dermed er der formentlig lavere risiko for at der er sikkerhedshuller. Til gengæld behøver jeg som angriber kun at simulere en enkelt applet for at bryde sikkerheden på alle netbanker i Danmark
  • NemId blev indført i Juli. Artiklen roser NemId for at der ikke har været indbrud siden September.

Det er altså ren reklame for Nets/Finansrådet, det danske betalingsmonopol.

Comments

Omtalte statistik nævner 12 indbrudsforsøg i 2010. Alle foretaget i tredje kvartal. Det vil sige at halvåret umidelbart inden indførelsen af NemID var der *ingen* rapporterede indbrud.

Finansrådet har tidligere kommenteret statistikken hvor de har bekræftet at NemID ikke er årsagen: http://www.version2.dk/artikel/voldsomt-fald-i-netbankindbrud-men-ikke-p...

Iøvrigt må man forvente at en velannonceret ændring af procedure naturligt må føre til at umidelbart fald, mens angriberne indstiller sig på de nye procedurer. Men et fald fra 0 hændelser kan næppe måles.

Add new comment