Tangentbord.
Tangentbord. Foto: FREDRIK SANDBERG / TT

Nytt skydd mot nät-bedragare

5:58 min
  • Ny svensk teknik, analyserar dina rörelser vid tangentbordet.
  • Den nya tekniken kan känna av och memorera hur just du beter dig vid vid tangentbordet.
  • Hör reportage av Jonas Löfvenberg.

– Vi skyddar omkring 50 miljoner användare idag som använder vår teknik i sin dagliga vardag, säger han. 
  
Idén har funnits sedan telegrafen började spela roll för krigföringen – att det skulle gå att identifiera en telegrafist genom att känna igen karaktären i hens anslag. I dag undrar vi i stället vem som sitter vid tangentbordet och gör olika transaktioner online.

Med den nya tekniken, som registrerar och analyserar data om bland annat tiden mellan nedslagen du gör på ett tangentbord eller en pekskärm, går det att identifiera dig genom din skrivrytm och ditt rörelsemönster. Personuppgifterna som genereras på det här sättet kallas för beteendebiometrisk data. Och till skillnad från insamlingen av annan biometrisk data, som ditt fingeravtryck, så krävs ingen speciell hårdvara. Det gör att tekniken billigare och att den går att använda obemärkt. 
 
– Fördelen med en touch-baserad device är att man får veta hur hårt du trycker och var du trycker. Du får också andra mätpunkter som gyroskopet och accelerometern, alltså hur du håller telefonen när du gör det här.

Olov Renberg, är en av grundarna till BehaviorSec - ett av de ledande företagen i världen på beteendebiometrik. BehavioSec startades i Luleå och är numera amerikanskt, även om de fortfarande har sin forskningsavdelning i universitetsstaden i norr. Vi träffar Olov Renberg på deras kontor i Stockholm.

Under 2018 investerade flera stora it-bolag tillsammans nästan 140 miljoner kronor i företaget som också dubblade sin personalstyrka till 40.

Olov Renberg berättar att tekniken använder sig av maskinlärning och artificiell intelligens och att det brukar ta mellan fem och tio inloggningar för att kunna bygga en användbar profil av någon.

Enligt Olov Renberg klarar mjukvaran av att identifiera en person trots variationer i en persons beteende, som när någon är trött, glad, ledsen eller full. Den är också bra på att upptäcka automatiserade inloggningsförsök, det vill säga av program byggda av bedragare. 
 
– Kan inte jag få pröva att logga in på ditt konto?

Olov Renberg skriver sitt användarnamn och lösenord till sitt testkonto på en lapp och jag prövar att mata in uppgifterna med mitt handlag. 
 
– Du ser att du kom in i banken, allting är som vanligt, men vi upptäckte att det här ser inte bra ut. Det är noll igenkänning av mig. Vi kan vara väldigt säkra på att du inte var lik mig.

Men vem är det som har rätt att samla in de här uppgifterna om användare och vem är det som är ansvarig för dem? 
 
– Asså det är den som vi kallar den personuppgiftsansvarig, den som bestämmer att man ska använda den här tekniken.

Det här är Magnus Bergström. Han är IT-säkerhetsspecialist på Datainspektionen.
 
– Det är också den som har att förklara varför för dels kunderna och dels för oss i samband med en eventuell tillsyn på vilket sätt det här är förenligt med förordningen.

Förordningen han talar om är den nya lagen om personuppgifter, GDPR, som trädde i kraft i slutet av maj. Ansvariga för den insamlade datan blir alltså bankerna, eller det företag, som använder BehaviorSecs, eller någon annan utvecklares motsvarande säkerhetslösning.

Magnus Bergström säger att nytt med GDPR är att det i grunden är förbjudet att samla in och behandla biometrisk data, fast att det går att komma runt. Men den här tekniken och framför allt lagstiftningen är så pass ny att gränserna för undantagen ännu aldrig prövats av myndigheten.

Den brittiska banken Bank of Scotland har pratat öppet om hur de använder beteendebiometrik och då har det gällt säkerheten för konton med stora summor pengar.

När Ekot frågar fyra svenska storbanker så säger Swedbank och Nordea att de använder tekniken, men inte i vilken utsträckning. SEB har avstått från att alls svara på våra frågor och Handelsbanken säger att de inte vill svara på frågor om deras säkerhetssystem. Magnus Bergström igen:

– För det första så måste man hitta ett undantag från det här förbudet och det som ligger närmast till hands är att man inhämtar ett samtycke. Oavsett vilket undantag man använder sig av i lagstiftningen så måste man informera användarna, eller de registrerade, som det heter i vårt språk, om behandlingen.

Vi frågade också de fyra storbankerna vilka åtgärder de vidtagit för att följa kraven i den nya lagstiftningen. Swedbank och Nordea försäkrar att de följer GDPR men vill inte säga hur. Handelsbanken och SEB svarar inte på frågan alls.

Vi får också veta genom källor att BankID använder tekniken, som levereras av ett företag som ägs gemensamt av tio banker och bland dessa de banker vi pratat med. Malin Wemnell Gunnarsson är administrativ chef på BankID. Hon vill varken bekräfta eller dementera uppgiften.
 
 – Biometriska metoder är något vi använder i BankID, något som vi har använt under många års tid och något som vi ser kommer växa starkt, men exakt vilka detaljer och grupperingar av biometriska metoder vi använder vill jag inte gå in på.

Vem är ansvarig för den biometrisk data som ni samlar in?
 
– Det är någon av de tio banker som utfärdar BankID till dig och mig som privatperson.

Men oavsett bankernas vilja berätta om hur tekniken går ihop med GDPR, så verkar det som att den är har för att stanna. Olov Renberg på BehavioSec igen:

– Vi tycker förstås att framtiden är ljus. Det blir bara mer och mer. Vi vill ju att det ska in i alla devicer och vi vill att det ska vinnas med i operativsystemet så man inte behöver installera det i varje applikation.
 

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Du hittar dina sparade ljud i menyn under Min lista