Gjensidige NOR, v. informasjonsdir. Eivind Grønstad mot NRK

PFU-sak 036/02


SAMMENDRAG:

NRKs TV-magasin « Forbrukerinspektørene » ( FBI ) hadde 28. november 2001 et innslag om nettbankers manglende sikkerhet. Spesielt ble det fokusert på Gjensidige NORs nettbank, som FBI – i samarbeid med et datafirma – hadde testet. Av reporteren ble innslaget introdusert slik, mens seerne kunne følge med på en PC-skjerm:

« Dette er Gjensidige NOR nettbank. Men se godt etter nå. Denne siden er nesten identisk. Den første var ekte, den andre var falsk. 1,5 millioner av oss er nettbankkunder. Vi har etter hvert blitt våre egne bankdirektører på hver vår hjemme-PC, men er pengene våre trygge i en nettbank? Firmaet Linux Communication mener sikkerhetsmanglene er store. »

Trygve Rønning fra Linux Communication (LinCom) kommenterer demonstrasjonen. Han bekrefter at det er « fullt mulig » å fange opp et kontonummer og en personlig kode ved hjelp av en «falsk nettbank» som «speiler» den ekte. På spørsmål fra reporteren om hvorfor Gjensidige NOR ikke har en bedre nettbank, svarer Rønning bl.a.: «- Det er veldig få som har en bedre nettbank.»

I innslaget intervjues også informasjonssjef i Datatilsynet, Hege Njaa Rygh. Hun uttaler bl.a. at man vil ta kontakt med banken og be om en redegjørelse for sikkerhetsrutinene.

Informasjonsdirektør Eivind Grønstad tilbakeviser i innslaget at sikkerheten i nettbanken er dårlig . Reporteren konfronterer Grønstad med at seerne nettopp har sett at det ikke bare er en teoretisk mulighet for å hente ut personlige opplysninger om en kunde. Grønstad svarer bl.a. at «- Det vi ser er at man lager en kopi, ikke at det utføres en transaksjon… og hvis nå noen skulle lykkes med å flytte penger via en nettbank, så må de flyttes til en konto, og mottakeren ville være synlig…».

Grønstad medgir at «det er en generell svakhet med internett at selv sikker kommunikasjon kan sees». Han går likevel ikke med på at Gjensidige NOR skulle ha et dårligere sikkerhetssystemer enn f. eks. DnB. Grønstad viser til Gjensidige NORs egne eksperter, som «mener at de systemer vi har valgt er det beste som finnes».

Samme dag la FBI-redaksjonen ut en nettside om saken, under tittelen « – Ikke bruk NORs nettbank » og med følgende ingress:

« Datafirmaet Linux Communication mener norske forbrukere ikke bør bruke Gjensidige NORs nettbank på grunn av for dårlig sikkerhet. »

Og Terje Rønning i LinCom siteres: «- Vi har sett nærmere på sikkerheten til norske nettbanker, vi vil ikke anbefale noen å bruke andre nettbanker enn Fokus Bank og DnB.» «Informasjonsdirektør Eivind Grønstad i Gjensidige NOR avviser hele problemstillingen: — – Vår sikkerhet er god nok og våre kunder kan føle seg trygge. Fremdeles er det ingen som har klart å ta penger fra en norsk nettbank.» Dessuten uttaler Grønstad:

« – Linux Communication ble politianmeldt av oss for å bedrive hacking, beklageligvis ble den anmeldelsen henlagt av Økokrim. Vi mener firmaet har gjort noe som er ulovlig. De har imidlertid bare klart å speile bevegelsene til en kunde som de hadde informasjon om, de har ikke bevist at de klarer å gjøre det overfor nettbankkunder som de ikke kjenner. »

Til slutt i artikkelen het det:

« Det er bare nettbanken til Gjensidige NOR Linux har laget en kopi av. Andre nettbanker som de ikke mener er trygge nok, har de kun vurdert sikkerhetssystemene til .»

To dager senere, 30. november, ble FBI-nettsiden «oppdatert» ved at tittelen ble endret til
« – Usikre nettbanker ».

KLAGEN:

Klager er informasjonsdirektør Eivind Grønstad på vegne av Gjensidige NOR. Foruten TV-innslaget 28.11.02 omfatter klagen nettartikkelen samme dag og den oppdaterte versjonen to dager senere. Klageren skriver bl.a.:

« Introduksjonen til FBI-reportasjen går ut på at bankene vil ha kundene til å tro at nettbankene er trygge. NRK mener å bevise – gjennom oppslagene – at dette ikke er tilfelle. Dette er dokumentert gjennom LinComs speiling av Gjensidige NORs nettbank, slår NRK fast. Nettbankene er derfor usikre ifølge NRK. Verst av nettbankene er Gjensidige NOR – fortsatt ifølge NRK – noe som fremgår av overskriften på det opprinnelige nettoppslaget, 28 november 2001 kl 16:15: ? – Ikke bruk NORs nettbank ? .»

« I nett-oppslaget er talestrek delvis benyttet, men uten klar adresse til hvem som angivelig uttaler seg (senere uttaler NRK seg tydelig på egen hånd). I FBIs TV-oppslag trekker NRK – uten forbehold – den samme konklusjon; at Gjensidige NORs nettbank er utrygg og bør unngås .»

Klageren stiller seg kritisk til at NRK har brukt Linux Communication «som IT-faglig alibi for de påstander som fremsettes». «Gjennom intervju med Terje Rønning, LinCom, og ved filming av data (på skjerm) som opplyses å være tappet fra en av Gjensidige NORs nettbankkunder, hevder NRK – uten forbehold – at det er dokumentert at nettbanken ikke er sikker ».

Videre viser klageren til sine egne kommentarer til FBI, og at «umiddelbart i tilknytning til Grønstads uttalelse om at ingen har klart å ta penger fra en norsk nettbank , heter det (www.nrk.no): ? Linux Communication har vist at det er mulig… ». «Under intervjuet med Grønstad uttalte NRK-medarbeideren kategorisk at det ikke var tale om en teoretisk mulighet, og fortsatte: ? …vi ser det i faktisk virkelighet her ».

« Når det ikke blir opplyst at bildene er konstruert, blir en slik feilaktig påstand vanskelig å imøtegå under intervjuet. Hadde TV-seerne blitt gjort oppmerksomme på at bildene var konstruert, kunne heller ikke påstanden vært framsatt. »

« I forhold til påstanden om gjennomførbarhet i praksis, understrekes at den påståtte transaksjonen vist på TV er et falsum . (…) For det første eksisterer ikke det kontonummer som LinCom angivelig benyttet i innslaget. For det annet er de helt avgjørende forutsetninger/forbehold knyttet til LinComs angivelige innbrudd ikke presentert. »

Klageren beskriver de datatekniske betingelsene for et nettbank-innbrudd, og fortsetter:
«Å påstå at en tjeneste generelt er utrygg, med bakgrunn i et konstruert eksempel som innbefatter utførelse av en rekke ulovlige handlinger, og der det ligger til grunn et omfattende arbeid og en betydelig IT-kompetanse (som kun et fåtall har), fremstår som usaklig .»

«NRK har i oppslagene lagt inn et intervju med informasjonssjef Hege Njaa Rygh i Datatilsynet. Dette er tydelig gjort for å understreke alvoret i saken. Det bidrar også til å gi påstanden om usikker nettbank troverdighet. (…) Det er grunn til å anta at Datatilsynets uttalelse er gitt på bakgrunn av det inntrykk av dårlig sikkerhet som reportasjen ellers etterlater, og at uttalelsen derfor er gitt på feilaktig grunnlag ».

«Grønstad var ukjent med kryssklippingen av representanten for Datatilsynet. Dette er kritikkverdig fordi programmet gir inntrykk av å være sendt direkte og fordi seerne
dermed antar at Grønstad har hørt uttalelsene fra Datatilsynet når han blir intervjuet i studio ».

«Gjensidige NOR ble gitt anledning til å gi en kommentar til saken, men basert på uriktige opplysninger om bildene som ble vist og uten mulighet til å imøtegå uttalelsene fra Datatilsynet ».

«I intervjuet med Grønstad fremkommer relevante faktiske opplysninger som burde tilsi at NRK ikke hadde publisert oppslaget slik det ble gjort.»

Som del av sin konklusjon legger klageren vekt på at FBI-innslaget, og nettartiklene, har vært « klart konstaterende i sin form ». Og dessuten: «Gjensidige NOR er av den oppfatning at NRK fremstår, i overveiende grad, som den opprinnelige ytrer…». «Mens LinCom viste til at ingen av nettbankene (med to mulige unntak) var ?trygge nok?, valgte NRK derimot å ?ta? Gjensidige NOR ».

«PFU bes uansett om å slå ned på manglende/mangelfullt skille mellom faktiske opplysninger og kommentarer, og mellom mediets egne konklusjoner og intervjuobjektets presentasjon, se bl.a. Vær Varsom-plakaten pkt. 4.1, 4.2 og 4.4.»

For øvrig opplyser klageren at NRK ble tilskrevet dagen etter FBI-innslaget, og at dette medførte endring av tittelen på nettartikkelen til : « – Usikre nettbanker ». « Ingressen som fraråder bruk av Gjensidige NORs nettbank blir stående uendret. »

Klageren påpeker imidlertid at brevet til NRK inneholdt «krav om fjerning av oppslaget, publisering av tilsvar, beklagelse og unnlatelse av å vise FBI i reprise». «NRK unnlot å besvare brevet og også det påfølgende brevet av 11.12.2001. (…) FBI ble sendt i reprise to ganger. NRK unnlot å publisere Gjensidige NORs tilsvar, uten engang å verdige Gjensidige NOR et svar. Det vises til Vær Varsom-plakatens pkt. 4.15.»

TILSVARSRUNDEN:

NRK Forbrukerinspektørene tilskrev i første omgang klageren, og kom med «et konstruktivt forslag»:

«Hovedankepunktet i deres klage til PFU er at dere mener eksemplet som ble vist i reportasjen er konstruert og dermed usaklig. Derfor, og ut fra redaksjonelle prioriteringer, vil vi gjerne lage en test, der dere samarbeider og gir Linux Communication (eller et annet tilsvarende firma) lov til å forsøke å gjøre det samme på Gjensidige Nors datasystem . Dette foreslo vi da vi lagde den innklagede saken. Den gangen var Gjensidige Nor imot en slik test, fordi dere mente det ville være et lovbrudd. Vi mener en slik test kan sammenlignes med å teste en lås eller en alarm, og at det kan gi svar på de ulike oppfatninger vi har av saken.»

Klageren svarte bl.a.:

«Når dere ber om å få gjennomføre en mer realistisk test av sikkerheten i vår nettbank, tar vi det som en bekreftelse på at NRK innser at eksemplet som ble vist i FBI-reportasjen er konstruert, og grunnlaget for vår klage er berettiget . Vi kan ikke se at en mer realistisk test nå vil ha relevans for de forhold klagen omhandler.»

For øvrig kan ikke klageren huske noen forespørsel fra NRK eller LinCom om en slik test i sammenheng med det innklagede innslaget. «Derimot er jeg kjent med at banken avslo en slik forespørsel fra NRK forut for et innslag i Dagsrevyen i august i fjor.»

NRK avga etter dette tilsvar, der man avviser at forslaget om en konstruktiv oppfølgning skulle innebære en erkjennelse av at klagerens kritikk er berettiget.

Angående bakgrunnen for det påklagede innslaget, og kontakten med LinCom, heter det i tilsvaret: «Overfor NRK ble det forklart at det både teoretisk og i praksis var mulig å ?speile? en nettbank ved hjelp av en proxyserver, slik at en kunde blir lurt til å legge igjen kontoinformasjon, herunder passord, hos den uvedkommende. (…) Vi anser det ikke som nødvendig å gå nærmere i de tekniske detaljene her, ettersom det ikke hersker relevant uenighet om disse. Uenigheten dreier seg mer om hvor enkelt slikt misbruk faktisk er… ».

«Det ideelle ville selvfølgelig være å gjennomføre teorien fullt ut i praksis. Dette ville imidlertid fordre samtykke fra, og samarbeid med både en nettbankkunde og vedkommende nettbank – ellers ville forsøket innebære ulovlige elementer. Som det fremgår av sakens dokumenter, har Gjensidige NOR ikke på noen måte villet bidra til et slikt forsøk…».

«Da saken endelig ble tatt opp av FBI-redaksjonen, var det således bare mulig å gjengi en praktisk gjennomføring av teorien, som stanset ved tilegnelsen av nødvendig kontoinformasjon. Kontoinnehaveren var med på dette, men i mangel av bankens samtykke ønsket man ikke å gå videre ved å bruke informasjonen til å gå inn i selve nettbanken. »

«Når klager fremstiller det viste forsøket som et ?falsum?, er dette ikke korrekt. Det eneste som er manipulert i det fjernsynsbildet som ble vist, er kontonummeret som står på dataskjermen. Dette ble gjort utelukkende ut fra personvernhensyn til innehaveren av den kontoen ble gjennomført overfor, og har overhodet ingen relevans i forhold til sakens realitet eller det inntrykket seerne fikk. Det hefter altså ingen feil ved fremstillingen av det praktiske forsøket. »

«I den grad uttalelser er fremstilt for redaksjonens egen regning, står man for dem, og i den grad de fremstilles som kilders uttalelser, er dette korrekt – selv om ikke alle deler av alle intervjuer som er gjort, er tatt med i den endelige redigeringen. Dette er helt vanlig praksis.»

«Faktum er at også klager har erkjent at det er mulig for uvedkommende å misbruke nettbanken . (…) At klager postulerer at det i praksis er en forsvinnende liten mulighet for at
dette skal skje, er en berettiget oppfatning som også ble formidlet til seerne. Gjensidige NOR har imidlertid ikke monopol på å mene noe om dette, og NRK må selvfølgelig stå fritt til å formidle andre meninger om sikkerheten . Klager må i alle tilfelle være nærmest til å underbygge sine postulater, ved å bidra til å gjennomføre en test – noe som gang på gang blir avvist.»

Når det gjelder klagerens anførsler om tilsvarsrett, viser NRK til at han « er gitt mer enn fullgod mulighet til å svare på det som kan oppfattes som kritikk av Gjensidige NOR, på punkter som banken har vært klar over var gjenstand for blant annet journalistisk interesse i lang tid før sending. Det skal i denne sammenheng bemerkes at det ikke er rettet beskyldninger mot Gjensidige NOR , det er bare hevdet at nettbanksikkerheten ikke er så god som forbrukere hittil har trodd. »

Til slutt i NRKs tilsvar heter det:

«FBI-redaksjonen opplever, som en av få kritiske forbrukermagasiner i Norge, et stadig økende press fra næringslivsrepresentanter, som med store ressurser forsøker å påvirke den redaksjonelle vinklingen i reportasjer som lages – både på forhånd og i ettertid – selv om det ofte ikke har noe med beriktigelse av faktiske opplysninger å gjøre. »

» Denne saken er et godt eksempel på dette; istedenfor å bidra til å opplyse sakens objektive sider bedre, legges alle krefter inn på å påvirke de mer subjektive sidene av den journalistiske fremstillingen – som innenfor presseetikkens grenser hører til den redaksjonelle friheten. Næringslivet kan ikke kreve at redaksjonell dekning skal kunne brukes til subjektiv markedsføring, under feilslåtte henvisninger til tilsvarsretten eller andre presseetiske prinsipper, og PFU bør heller ikke utvikle en praksis som legitimerer denne form for virksomhet. »

Som vedlegg til NRKs tilsvar følger en redegjørelse fra FBI-journalisten som arbeidet med TV-innslaget og som skrev nettartikkelen. Han opplyser at klageren fikk muntlig svar på sitt brev av 29. november, «om at det ikke er aktuelt å fjerne oppslaget på nettet, publisere tilsvar eller komme med noen form for beklagelse».

Klageren kan ikke se at NRK imøtegår «den tolkning av reportasjene som vi la til grunn i klagen». «Gjensidige NOR understreker at klagen ikke omhandler ?nyanser? i synet på nettbanksikkerhet, men at reportasjen på feilaktig grunnlag er egnet til å undergrave tilliten til Gjensidige NORs nettbank. Vi fastholder at NRK har fremsatt alvorlige beskyldninger som er egnet til å skade Gjensidige NOR, samt villede forbrukerne.»

Videre mener klageren at NRK forsøker å «tåkelegge» saken overfor PFU, ved å «gi inntrykk av at reportasjene ikke inneholdt feilaktig informasjon. Det eneste uriktige var kontonummeret, hevdes det.» « Inntrykket forbrukerne sitter igjen med er at nærmest enhver kan tappe deres konti. (…) Faktum er, derimot, at sikkerheten i nettbanken er god . (…) Faktum er videre at Linux ikke har gjennomført et innbrudd, slik det hevdes i reportasjene .»

Klageren reagerer også på at NRK «forsøker å mistenkeliggjøre Gjensidige NORs motiver for ikke å bidra til test-innbrudd i banken». Banken vil bare ikke gi Linux eller andre detaljert innsyn i dens sikkerhetsarbeid, «utelukkende fordi NRK ønsker å teste systemene».

« Det er for øvrig ikke slik at man kan fremsette uriktige påstander i enhver form og deretter la det være opp til den krenkede å føre bevis for at påstanden ikke er riktig. Ved belastende faktiske påstander, som her, kreves at ytreren/anklageren – NRK – kan dokumentere innholdet. »

«Gjensidige NOR vil peke på at det var fullt mulig å lage en etterrettelig sak om nettbank-sikkerhet, uten å henge ut Gjensidige NOR, som gjort, og uten at NRK gjorde de alvorlige anklagene til sine.»

«Gjensidige NOR krevde et tilsvar satt på trykk. NRK nektet dette. Å hevde at Gjensidige NOR har prøvd å påvirke de subjektive sidene av den journalistiske fremstilling er vanskelig å forstå. (…) At vi ønsket å beriktige den feilaktige omtalen av nettbanken kan umulig holdes mot oss som klanderverdig. Det klanderverdige er at NRK ikke ønsket å bidra til å korrigere… ».

NRK viser i hovedsak til sitt første tilsvar. Når det gjelder ønsket om en test i samarbeid med klageren, heter det:

«Banken behøver ikke å røpe en eneste hemmelighet omkring sikkerhetssystemet, eller på annen måte gi fra seg opplysninger til uvedkommende. Det ville være enkelt å foreta et slikt forsøk i kontrollerte former som ivaretok alle slike hensyn. Slik saken står i dag, er det enighet om at det er en teoretisk mulighet for at et slikt, fullbyrdet ?innbrudd?/misbruk kan skje, mens det hersker usikkerhet om hvor stor risikoen er i praksis. Denne usikkerheten er Gjensidige Nor nærmest til å avklare… »

PRESSENS FAGLIGE UTVALG UTTALER:

Klagen gjelder et innslag i NRKs TV-magasin «Forbrukerinspektørene» (FBI), der redaksjonen tok for seg nettbankers sikkerhet. I samarbeid med et datafirma gjennomførte FBI-redaksjonen tilsynelatende en test av Gjensidige NORs nettbank, for angivelig å synliggjøre hvordan man med noe datakompetanse kunne få tilgang til kunders konti. Gjensidige NOR påklager selve testen som et «falsum», og hevder dessuten at redaksjonen på sine nettsider brakte en artikkel med uriktige påstander under tittelen «- Ikke bruk NORs nettbank». Klageren kan ikke se at tittelutsagnet stammer fra andre enn NRK selv.

FBI-redaksjonen anfører at den har vært forhindret fra å gjennomføre en fullt ut realistisk test, og at man derfor har anmodet Gjensidige NOR om selv å bidra til en ekte utprøvning av nettbankens sikkerhet. Dette har klageren motsatt seg av lovmessige grunner. NRK medgir imidlertid ikke å ha opptrådt usaklig, siden det på teoretisk grunnlag kan hevdes at klagerens nettbank har dårlig sikkerhet. Ifølge NRK hefter det ingen feil ved gjennom-føringen av testen som ble vist for seerne.

Pressens Faglige Utvalg mener FBI-redaksjonen var i sin fulle rett til å sette søkelys både på Gjensidige NORs nettbank og på nettbankers sikkerhet generelt. Utvalget finner det sannsynliggjort gjennom innslaget at usikkerhet er knyttet til bruken av nettbanker. Dessuten konstaterer utvalget at bankens informasjonsdirektør var til stede i studio og fikk anledning til samtidig å tilbakevise FBIs påstander. Likeledes kom klageren til orde i redaksjonens nettartikkel.

På den annen side kan ikke utvalget se at FBIs og datafirmaets test i tilstrekkelig grad dokumenterer de sterke påstandene om den manglende sikkerheten til klagerens nettbank. Slik utvalget vurderer det, måtte seere uten avansert datakompetanse klart få det inntrykk at testen var «ekte», og at det som framkom på skjermen var et avgjørende bevis på dårlig sikkerhet. Utvalget konstaterer dessuten at datafirmaet i innslaget påpeker at det ikke var grunnlag for påstanden om at klagerens nettbank er mindre sikker enn andre.

For øvrig finner utvalget den opprinnelige tittelbruken på FBIs nettside kritikkverdig, og at den ikke i tilstrekkelig grad oppveies av at tittelen ble endret etter henvendelse fra klageren.

Utvalget viser til Vær Varsom plakatens punkt 3.2, der det blant heter: «?kontroller at opplysninger som gis er korrekte». Utvalget viser også til punkt 4.4, der det blant annet heter: «Sørg for at overskrifter, henvisninger, ingresser og ut- og innannonseringer ikke går lengre enn det er dekning for i stoffet.»

NRK Forbrukerinspektørene har brutt god presseskikk.

Oslo, 23. mai 2002
Thor Woje,
Catharina Jacobsen, John Olav Egeland,
Grete Faremo, Jan Vincents Johannessen, Trygve Wyller

FOR OFFENTLIGGJØRING I RELEVANT SENDETID:
«Pressens Faglige Utvalg (PFU), som er klageorgan for norske medier, mener Forbruker-inspektørene brøt god presseskikk i et innslag om nettbankers manglende sikkerhet. Innslaget fokuserte spesielt på Gjensidige NORs nettbank og dens sikkerhet, ut fra en angivelig test ved hjelp av et datafirma. PFU kan ikke se at testen i tilstrekkelig grad dokumenterer de sterke påstandene om den manglende sikkerheten til klagerens nettbank. PFU finner det også kritikkverdig at Forbrukerinspektørene på en nettside brakte en tittel som oppfordret til ikke å bruke Gjensidige NORs nettbank.»