Stundar Landsbankinn njósnir og persónugreiningu?

Bankinn minn er kominn með nýtt öryggiskerfi. Ég fyllist þakklæti og ánægju yfir því. Hugsa svo ekki meira um það. Ekki fyrr en vandaður maður upplýsir hvernig nýja öryggiskerfið virkar. Þá stend ég eiginlega frammi fyrir tveimur vandamálum. Vondu gæjarnir komast síður inn á bankareikninginn minn en bankinn minn er kominn inn á gafl í tölvunni minni, safnar upplýsingum og nota þær til persónugreiningar ...

Hvur fjandinn er hér á ferðinni? Er enginn munur lengur á milli góðu gæjanna og þeirra vondu. Þarf ég að greiða fyrir fjárhagslegt öryggi mitt með því að bankinn viti allt um mig?

Ég oft vitnað í skrif Marinós G. Njálssonar hér. Hann heldur úti afar ítarlegri bloggsíðu og hefur fengist við að rannsaka skuldamál heimilanna, dóma Hæstaréttar um gengismál og verðtrygginguna. Hann er sérfræðingur á sviði upplýsingaöryggimála með meira en 20 ára reynslu á því sviði.

Marinó segir um þetta mál í pistli á bloggsíðu sinni (feitletranir og greinaskil eru mínar):

Þar sem ég er viðskiptavinur Landsbankans, þá hef ég kynnt mér hið nýja öryggiskerfi þeirra. Staðhæfing bankans er að könnun á hegðun einstaklingsins færi honum og bankanum meira öryggi.

Ég er alveg viss um að hluti slíkra upplýsinga þurfi að vera IP-tala, ýmis auðkenni tölvunnar, útgáfunúmer og heiti vafra og fleira tengt umhverfinu sem notandinn tengist frá.  Hann er því með leynd að sækja upplýsingar til notandans, sem notandi hefur ekki hugmynd um að hann sé að veita bankanum.  

Þetta eru upplýsingar sem mjög algengt er að sóttar séu til notandans, en þá ekki í þeim tilgangi að nota í persónugreiningu. Samkvæmt persónuverndarlögum þarf það því að liggja fyrir (óski notandinn þess) hvaða upplýsingar Landsbankinn safnar og notar til að auðkenna notandann og þar með tryggja öryggi viðskiptanna.

Mann rekur í rogastans. Landsbankinn aflar ekki leyfis hjá viðskiptavinum sínum, gerir ráð fyrir því að þeir mögli ekki og ræðst í verkefnið. Auðvitað möglum við ekki um það sem við vitum ekkert um.

Gera menn sér grein fyrir því hversu dýrmætar persónugreindar upplýsingar eru. Ekki aðeins fyrir banka, heldur tryggingafélag, kortafyrirtæki, verslun ... svo ekki sé minnst á lögreglu, skattayfirvöld, atvinnuleysistryggingasjóð og raunar gildir þetta fyrir næstum allan ríkis- og einkarekstur.

Kortafyrirtækin gætu rennt persónugreindum upplýsingum saman við sínar upplýsingar um til dæmis viðskiptahegðun í verslunum, ferðir, póstverslun og svo framvegis. Dag einn fær svo neytandi tilboð frá stórverslun sem hann skilur ekkert í en þetta hentar honum svo ósköp vel. Annar fær tilboð um nokkrar bækur sem hann gæti þurft á að halda vegna áhugamáls eða starfs. Sá þriðji fær kannski heimsókn frá lögreglunni sem hefur haldbærar upplýsingar um að hann geti mögulega verið í þann veginn að fremja glæp. Sá fjórði þarf að svara fyrir innlegg inn á bankareikninginn sinn og sanna að hann sem atvinnulaus maður á bótum sé ekki að fá greiðslur fyrir einhver viðvik eða stunda svarta atvinnustarfsemi. Sönnunarbyrðin hér er öfug.

Dæmin um misnotkun persónuupplýsinga gætu verið óteljandi en lesandi hlýtur nú að skilja hversu alvarlegt þetta mál er. Ekki þannig að ég gruni Landsbankann um græsku en ... möguleikinn er alltaf fyrir hendi.

Marinó G. Njálsson ræðir nokkuð um það sem forsvarsmenn Landsbankans hafa nefnt „falskt öryggi“ og eiga þá líklega við svokallaða auðkennislykla sem eru hluti af þriggja þátta öryggi sem víðast telst gott.

Marinó segir:

Næst má spyrja fyrir hvern er hið falska öryggi.  Fyrir mig sem einstakling, eiganda lítils rekstrar og vinnandi fyrir erlent stórfyrirtæki, þá býr hið nýja kerfi Landsbankans til óásættanlega áhættu!

Landsbankinn ætlar nefnilega að fylgjast með "hegðun í..vafri og stýrikerfi".  Hann ætlar sem sagt að hnýsast um hvað viðskiptavinirnir geri á tölvunum sínum.  

Það getur hann ekki gert nema að fá að setja inn söfnunarforrit, sem hann treystir að fá leyfi fyrir, og þetta söfnunarforrit mun senda upplýsingar til gervigreindarforritsins.  

Það getur vel verið að í Bandaríkjunum og einhverjum þriðja heims löndum tíðkist að fyrirtæki njósni um viðskiptavini sína til að safna upplýsingum um hegðun þeirra.

Facebook, Microsoft og Google gera þetta, þrátt fyrir að Evrópusambandið hafi bannað þá hegðun og svo er örugglega um mörg önnur fyrirtæki. 

Síst af öllu er ég sérfræðingur í öryggismálum. Það eitt veit ég þó, að neytandinn vill að kerfið virki og hann sé öruggur gagnvart glæpalýð sem og njósnum, skiptir engu hverjir standa að þeim. Ef annað hvort er ekki í lagi þá þarf lögregla að taka á þeim málum af festu og tryggja öryggi borgaranna. 

Ég spái því að þetta mál eigi eftir að verða Landsbankanum til vandræða sé það rétt sem Marinó segir. 


« Síðasta færsla | Næsta færsla »

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband