Tør du ta budrunden på nett?

Fra i går slipper du å bruke faks når du skal by på bolig. Men fagmiljøet er ikke enige om hvor sikkert det er.

«- Jo flere steder man logger seg inn og bruker BankID - jo mindre trygt blir det.Kjell Jørgen Hole, Professor i IT-sikkerhet»


Internett har inntatt faksmaskinenes siste skanse; budrunder i boligsalg.

Inntil i går måtte man signere det første budet, og levere papirene personlig, eller på faks.

DinSides Bolig-ABC

Eiendomsmeglerkjeden Krogsveen og Bankenes betalingssentral (BBS) har utviklet den første løsningen for bud direkte via annonse på finn.no, skriver Krogsveen i en pressemelding.

Budet skal signeres med BankID.

Nå skal det være litt enklere å by på drømmehuset. Illustrasjonsfoto: iStockphoto.com Foto: iStockphoto.com Vis mer


Dette skal ifølge Krogsveen være både mer praktisk - og tryggere enn dagens bruk av faksmaskiner.

- Endelig blir vi kvitt faksen. Nå blir det både enklere og sikrere å by på bolig. Vi tror dette vil spre seg raskt til hele bransjen, sier administrerende direktør Geir Hantveit i Fokus Krogsveen Nylander AS.

- Det er viktig med sikker identifikasjon når det omsettes boliger for godt over 200 milliarder kroner hvert år. Det er heldigvis få problemer knyttet til manipulering med bud og identitet, men sikkerheten øker nå ytterligere når vi tar i bruk BankID, sier Hantveit i Krogsveen.

Advarer mot utstrakt bruk av BankID

Flere eksperter har den siste uken advart mot bruk av BankID til andre tjenester enn nettopp nettbank. Blant annet i Kristian Gjøsteen (Kryptolog, post.doc., Norges TekniskNaturvitenskapelige Universitet) og Kjell Jørgen Holes (Professor i IT-sikkerhet, Universitetet i Bergen) kronikk i Aftenposten lørdag 17. november Nettbanken ikke trygg. Krogsveen og BBS på sin side, hevder dette er en løsning som er sikrere enn dagens.

«BankID brukes 250.000 ganger hver dag. Det fungerer godt for kundene.Grete Sørensen, BankID-samarbeidet»


- I utgangspunktet er hverken Gjøsteen eller undertegnede betenkt på å ta i bruk nye tjenester eller betalingsløsninger på Internett, sier Kjell Jørgen Hole til DinSide. - Problemet ligger her i løsningen de har valgt.

Kort fortalt, for dem som ikke er inne i saken, eller som denne journalisten, ikke umiddelbart vet hvilken løsning BankID har valgt, er dette ankepunktene:

BankID bruker en såkalt PKI (public key infrastructure), noe Hole og Gjøsteen er betenkte over.

Hole forklarer videre: - De digitale signaturene er å betrakte som en elektronisk utgave av en håndskrevet signatur. Ideen er at du skal slippe å bevege deg fysisk på et kontor for å signere på en kontrakt.

- Så da er spørsmålet: Er de digitale signaturene like gode som de håndskrevne signaturene?

- Har man en håndskrevet underskrift på en kontrakt, har man et fysisk bevis, dersom det skulle oppstå en konflikt mellom to parter.

Dette har vi lange tradisjoner på.

Ingen juridisk presedens

«Man kan jo mer eller mindre ta over et liv, dersom man først kommer inn i systemet.Kjell Jørgen Hole, Professor i IT-sikkerhet, UiB»


En elektronisk signatur er dessverre ikke like sikkert, dersom det skulle oppstå en juridisk konflikt.

- Man har ingen notoritet knyttet til elektronisk signatur, så per i dag er det ikke like juridisk sikkert som en underskrift, forklarer Vidar Holm i Forbrukerrådet til DinSide.

- Dersom dette med å bruke BankID innfører et nytt risikomoment, er jeg betenkt. Det er snakk om betydelige verdier når det gjelder boligkjøp.

Hole forklarer nærmere hva som skjer når vi bruker elektronisk signatur:

- Ved elektronisk signering får begge parter en elektronisk fil. - Men hva er en fil? En samling av nuller og enere. Men hvordan skal man kunne bevise hvem som har gjort noe med de tallene? En har ikke noe fysisk bevismateriale. Den logiske bevisførselen som er knyttet BankID er for dårlig, sier Hole til DinSide.

- Det er dessverre så svakt at det er mulig for meg å stjele din BankID, og utgi meg for deg.

Sidestilt ved lov

Selv om dette ikke er prøvd i retten, er det, ifølge Grete Sørensen, koordinator i BankID-samarbeidet, en sidestillelse mellom elektronisk og manuell signatur i den norske e-signaturloven. I tillegg til et kvalifisert sertifikat, trenger man et såkalt "secure signature creation device". Per i dag, må man gjennom en godkjenningsordning for å få dette, men dette er ennå ikke etablert i Norge.

Myndighetene har laget en kravspesifikasjon som beskriver et sikkerhetsnivå som heter "person høyt". BankID er klarert i henhold til det sikkerhetsnivået, det høyeste vi har i Norge i dag.

- Ser man på hva en elektronisk signatur gjør, i forhold til en håndskrevet signatur, så mener jeg det at dette skal gi en trygghet for at man knytter seg til innholdet man signerer på. Kunder skal føle seg helt trygge når de bruker elektronisk signatur, sier Sørensen til DinSide.no.

- De får også et fysisk bevis som inneholder både dokumentet, alle signaturer, svar på kontroller, og alle sertifikater som er brukt, et såkalt signert dataobjekt som følger SEID-standarden som norske myndigheter krever. Sånn sett så har kunden også et fysisk bevis.

Passordkalkulator med engangskoder: Ikke sikkert likevel?

Pass deg for nettsvindlerne. Montasje: Per Ervland Vis mer


DinSide: Når vi bruker vår nettbank, bruker vi jo en passordbeskyttet kalkulator som genererer koder. Er ikke dette sikkert nok?

- Jeg trenger ikke stjele din kalkulator, eller kunne ditt passord for å logge inn på din nettbank. Kriminelle bruker den såkalte "mannen i midten"-løsningen, der man lurer folk til å logge på nettbanken, og at man tar over sesjonen. Og har man gjort dette, kan man bruke koden videre, til egne transaksjoner, forklarer Hole.

- Jo flere steder man logger seg inn og bruker BankID - jo mindre trygt blir det.

DinSide: Vi bruker stort sett engangskoder, sier du at det er mulig å bruke dem flere ganger?

- Så lenge du blir lurt når du taster inn kodene, slik at disse faktisk ikke blir registrert der du tror du bruker dem, kan kriminelle bruke dem videre, sier Hole.

DinSide: Vil du si det er trygt å bruke BankID i budrunder, slik som nå er lansert?

- Vi advarer ikke så mye mot i dag, men vi advarer mot fremtiden, sier Hole. - Vi prøver å advare mot at BankID skal brukes som en nasjonal løsning. Dersom det blir standard, vil det plutselig være bortimot to millioner mennesker som bruker den, og det vil bli mer aktuelt for kriminelle å snappe opp koder, for det vil jo være ekstremt mye penger her.

I dag er det mange forskjellige nettbanker, og kriminelle må kunne mer. Får man ett system, blir det lettere for de kriminelle.

Setter pris på interessen


- Vi setter stor pris på at kompetansepersoner går igjennom våre produkter, og setter søkelys på sikkerhetsnivåvet, sier Grete Sørensen, i BankID-samarbeidet, som alle norske banker står bak, gjennom FNH og Sparebankforeningen.

Når det er sagt, sier hun seg uenig i en rekke punkter.

- Sammenligner man elektronisk budgivning på nett med alternativet å bruke telefaks, er det hevet over enhver tvil at dette vil øke sikkerheten betydelig i forhold til det vi har i dag, sier Sørensen til DinSide.

I tillegg stiller hun seg uforstående til påstanden om at kriminelle kan snappe opp engangskoder og passord uten at man er klar over det.

- Nå er det sånn at den programvaren som lastes ned på datamaskinen din hver gang du skal bruke bankID er signert av Bankenes betalingssentral, BBS. Det innebærer at du som kunde, hver gang du skal bruke banken din, kan se om det er ekte programvare. (Se faktaboks for hvordan du kan slå på denne funksjonen.)

Et produkt i utvikling

- Når det gjelder datasikkerhet vil vi aldri bli ferdig, avslutter Sørensen. - Vi videreutvikler BankID hele tiden. Vi jobber også med BankID på mobil og på smartkort, for å vurdere når teknologien er moden for et massemarked.

Bank på mobil er det neste som kommer, og er planlagt lansert i 2008.

Slik skal elektronisk inngang i budrundene foregå

Ifølge Krogsveen vil budgivningen foregå omtrent slik:
På boligannonsen på finn.no ligger det en knapp som heter "Gi bud", og ved å trykke på denne kommer du til et digitalt budskjema.

Når budskjemaet er fylt ut, signeres det elektronisk ved hjelp av BankID. Budgiver får kvittering på at budet er mottatt. Resten av budrunden følges opp via telefon eller e-post, som per i dag.

Den ideelle budrunden?

«- Man har ingen notoritet knyttet til elektronisk signatur, så per i dag er det ikke like juridisk sikkert som en underskrift.Vidar Holm, Forbrukerrådet»


Ifølge Vidar Holm har Forbrukerrådet jobbet lenge for å øke tryggheten i budgivningsprosessen. Han ønsker bedre dokumentasjon av budrundene.

- Vi er opptatt av trygghet i boligkjøpingen, og skulle ønske at hele kan gjennomføres på e-post. Dette vil skape større trygghet i budgivningsprosessen, sier Holm.

- Vi har tidligere foreslått at budgivning skal tas opp på bånd, slik at det vil være bevis på hele prosessen. For eksempel at alle må bruke e-post ville vært et skritt i riktig retning.

Få hjelp til å kjøpe bolig på DinSide