Både Swedbank och Avanza var under ett antal timmar delvis nere under veckan. Man vägrar i sedvanlig ordning berätta varför systemen gick ner, vilket är förolämpande för kunderna.
Swedbank |
Banker bygger på förtroende, och det är direkt förolämpande när bankerna inte går ut med varför de gick ner.
Swedbank säger till Dagens Industri att “tekniska orsaker går vi inte in på” och vägrar svara på om det handlade om en hackerattack. Detta var efter störningen var åtgärdad. Under pågående störning ska man fokusera på att få upp systemen, men när det väl fungerar tycker åtminstone jag att man ska ge mer detaljerade besked så kunderna får veta – var det usla utvecklare, ett hårdvarufel, en systemuppgradering som gick åt helvete eller var det ett angrepp?
Det verkar inte heller som Avanza förklarat varför deras system i sin tur gick ner.
En möjlig förklaring kan förstås vara att man hade rullat ut systemuppgraderingar runt månadsskiftet, och att dessa visade sig introducerat nya spännande finesser. Eller så var det hackerattacker. Det borde ju annars vara enormt enkelt för Swedbank att säga “nej, det var ingen hackerattack”, men det gör man alltså inte. Kanske vill man ha ryggen fri genom att aldrig svara, så behöver man inte heller medge när man betalar hackers för att få upp systemen igen, även om det inte förelåg denna gång.
För min del stiger inte förtroendet för bankerna av att de inte medger vad som skedde, och idag är i princip bankerna bara ett IT-system och IT-gränssnitt mot kunden, vilket alltså blir själva produkten.
Annars finns det i princip inga skillnader mellan bankerna, och det är väl bara att det är bökigt att byta som i de flesta fall håller kvar kunderna.
Sedan är frågan – vilken bank har bäst IT-system, i definitionen de som drabbas av minst antal IT-störningar?
Verkligheten är att de flesta företag tiger om eventuella angrepp, då det är skämmigt och innebär att man medger sårbarheter. Det har önskats att man inför åtminstone en anonym rapporteringsfunktion till myndigheterna, så dessa får koll utan att offentlighetsprincipen pekar ut företagen, men för storbankerna är det nog lite svårt att vara anonyma. “Vi är en bank, som drabbades av ett angrepp datum tid …”
20 kommentarer
Cheferna tyckte det var jobbigt och dyrt att testa de nya funktionerna ordentligt. Och såklart helt onödigt regressionstesta det gamla som inte borde ha påverkats alls av ändringarna, det funkar ju såklart även om man uppgraderar till en ny version av standardbiblioteket —
På Avanza antagligen någon som ville testa koppla om några sladdar efter att han dragit lite för många linor ^^
Ganska enkelt. När sådant händer alltför ofta beror det på att dom inte vill investera tillräckligt med tid & pengar i testning & kvalitet.
Jag jobbar på IT-avdelningen på en av "småbankerna", och även om driftstörningarna inte är så frekventa så är de oftast orsakade av saker som nätverksuppdateringar, databasstörningar av olika slag eller något annat system som typ äter upp en massa bandbredd så att det interna nätet överbelastas. Mycket sällan beror det på faktiska fel i programvaran. Dessa testas faktiskt ganska genomgående.
Men jag håller med om att ökad transparens vore bra. Man behöver inte gå in på detaljer, utan det räcker t ex med att ange att det blev fel på någon nätverkshårdvara eller att en backup gjorde att svarstiderna blev långa. Det ger ett mycket bättre intryck och visar på att man faktiskt har koll på vad som orsakat problemet och att man (förhoppningsvis) åtgärdat det.
Sedan är det ju lag på att vissa incidenter skall rapporteras fill Finansinspektionen. Vet dock inte hur pass publik den informationen är.
Fast även om det är lag så att rapportera till FI så innebär det inte att bankerna kommer att följa den. Inte om man tycker sig hitta en fördel att skita i den och risken för upptäckt är liten eller man vet att man på annat sätt kommer undan.
Minns att det nyligen fanns en bank som ägnade sig åt penningtvätt och som slapp böter då FI tyckte synd banken, USA hade redan gett för höga böter för tvättinrättningen!! Man lovade tom full transparens i ärendet som vad jag minns inte visade sig ärligt, Har man bara rätt kompisar så finns inga lagar att frukta och ordet Transparens i Sverige betyder typ att ”vi erkänner nu allt ni lyckas bevisa” (annars erkännes inte det bevisade heller).
Btc
På samma sätt som FM inte kör full-disclosure över alla incidenter och exakt vilka enheter som gjorde vad för att avvärja ett hot så tycker jag att samhällskritisk verksamhet som banker inte heller skall vara alltför öppna med detaljer. Informationen på Avanza (där jag är daglig kund) tyckte jag var helt OK.
Kommunikationen under pågående incident tycker jag generellt kan vara bättre i de incidenter som drabbat mig. Att man på omvägar skall få reda på det och hänvisas till Twitter eller liknande tycker jag är uruselt.
Tänker ungefär likadant – OM det var en hackerattack så vet hackarna iofs att de har attackerat – men så länge detta inte kommuniceras ut så får de ingen feedback på hur omfattande motåtgärder som sattes in, och det kan ju ha varit något annat som gick snett samtidigt.
Man kan väl konstatera att bankerna blir mer och mer stängda för kunderna. Från att de började stänga alla bankkontor till att de nu också slutar med att ta emot spontana besök av kunderna när det passar kunderna.Man måste ringa och beställa tid och får en tid när det istället passar banken.
Inte nog med det när jag skulle överföra en summa på 20 000 till min dotters bankkonto i en annan bank så chockades jag av att banken (SEB) nekade mig överföringen med ett meddelande om att jag skulle ringa banken för att få hjälp. Jag har inte begärt någon hjälp. Och jag fick meddelandet, efter alla preludier i telefonen, att min väntetid var 2 timmar. Detta var i Fredags förmiddag.
Vem har tid och lusta att sitta i telefonen och vänta i 2 timmar? Alternativet är valet att banken ringer upp. Och det betyder att man flyttas över till en ännu längre kö och om man har tur så ringer dom nästa dag eller ett par dagar senare.
Man riktigt känner hur snaran dras åt på alla håll och kanter och detta var ju en klar anvisning om att jag inte längre har egen disposition över mina egna pengar. Man får byta bank, om inte alla har infört samma system.
Du kan tacka våra politiker för detta, inte banken. I teorin kan det gå att få till en mer pedagogisk och smidigare kontroll av pengaflöden men det är inte så att lagstiftarna väntar på teknologin att hinna ifatt.
Vilken bank, Ben Hur?
SEB
Möjligheten finns ju också att man inte har den blekaste aning om vad som hände och helt enkelt bara är skitnöjd över att det gick bra att boota om allt och det startade igen. Hade ett kontrakt under min tid som konsult hos en stor global mobiloperatör som jobbade mycket efter den principen, har hållt så här långt.
Swedbank: Bedömt säkerhetskänslig verksamhet kopplat till penningpolitiken. Ergo OSL 2009:400 15 kap. 2 §. Säkerhetsskyddsklassificerade uppgifter avseende åtgärder kopplat till pågående externa incidenter. I övrigt, åtgärder kopplat till driftsäkerhet för interna incidenter, samma lagrum.
Helt relaterat till Swedbanks systemkritiska storlek.
Avanza: Knappast säkerhetskänslig verksamhet, dock definitivt samhällsviktig i och med dess relativa storlek. Oklar grund för sekretess dock. Möjligtvis 18 kap. 8 § 3 punkten.
Sekretess gäller såklart endast myndigheter, aktiebolag gör vad de vill. Dock inte med säkerhetsskyddsklassificerade uppgifter likt bedömt Swedbank kan rymmas in under.
I vilket fall, i den händelse incidenterna är rapporterade till Säkerhetspolisen och/eller Finansinspektionen finns grund för sekretess oaktat vilken av de berörda bankerna det gäller.
När jag skriver bedömt menar jag det högst bokstavligt. Jag har ingen insyn i bankväsendet, över huvud taget. Så ovan ska ses som killgissningar. De kan lika väl köra allt från Serbien eller varför inte Kina för allt vad jag vet.
Det rörde sig om en kraftfull överbelastningsattack, vilket är ett frekvent återkommande hot mot banker och även andra företag. Normalt sett sker detta inte mot så pass kritiska system men denna gången lyckades de bakom att komma åt och slå ut kortterminalsserverar.
Banken vill såklart inte gå ut med det därför att man inte vill erkänna att det sker – det lockar till sig fler kriminella som vill göra samma sak – eller för den delen erkänna att en grupp kriminella lyckats med att störa ut infrastrukturen och därmed få hopp om att kunna pressa Swedbank eller andra banker på pengar.
Min källa? Ptja, det är jag som är källan.
Som spekulation är det inte dumt och källan är ju inte sämre än om det hadde varit en kompis syrras kille som hörde på bussen.
Det kan vara spekulation, eller så är det någon som jobbar inom bank som vet om det 🙂
SEB upplever jag som väldigt stabilt och de använder jag som stomme i både företaget och i det privata. För vardagsutgifter kör jag Nordea eftersom de har Apple Pay och är en av få banker som inte kräver mobilt BankID för appen när man t.ex. ska flytta pengar mellan egna konton eller se saldot. Av OpSec-skäl så har jag inte BankID i min mobil.
Är man kund hos Swedbank så får man skylla sig själv. Lämna skiten.