Pensionsmyndighetens fortsatta problem med robothandel

Jag har i några inlägg (inlägg ett och inlägg två) skrivit om nur Pensionsmyndigheten försökt stoppa robothandel genom att välja en extern, teknisk lösning. I inläggen pekade jag på vad som verkar vara en dålig säkerhetsanalys från myndighetens sida lett till ett dåligt val av teknisk lösning. Jag förutspådde att myndigheten skulle hamna i teknisk kapprustning. Nu verkar det ha hänt.

I en artikel i DN beskrivs bland annat de problem myndigheten har med vad man bedömer är robothandel. Myndighetens chefsjurist Thomas Norling intervjuas om problemen:

Pensionsmyndigheten är ingen tillsynsmyndighet och kan inte agera på egen hand. Det gäller också det bolag som, enligt myndigheten, nyligen lyckades kringgå förbudet mot massfondbyten.

– De hävdar att de gjort bytena manuellt men eftersom man på kort tid gjorde 65.000 byten för 300 miljoner tror vi inte på det. Men vi har inga egna muskler. Därför har jag vänt mig till Finansinspektionen och Datainspektionen för att se om de kan vidta några åtgärder.

Som jag visade i andra inlägget är det inga problem att för en billig peng köpa stora mängder datortjänster där det faktiskt sitter en människa (mechanical turk) och löser den utmaning (CAPTCHA) som Pensionsmyndigheten använder. För 65000 byten skulle kostnaden maximalt röra sig om 65 USD, mindre än så. Dvs inte ens ett öre per transaktion. Att man tar betalt i buntar om 1000 CAPTCHAs visar att 65000 stycken knappast är en i sammhanget stor mängd.

I artikeln pekar man på risken för kapprustning, men tänker sig att det fortfarande är inloggning som ska begränsas:

Risken är att man får en teknisk kapprustning och att det till slut landar i att man bara kan byta fonder men hjälp av e-legitimation.

– Då riskerar de att ha dödat en hel bransch.

Jag anser att rätt lösning är att inte försöka spärra för vilka verktyg som används vid en inloggning (människa eller dator). Istället ska begränsningen läggas i antalet transaktioner. En sådan mekanism kan myndigheten styra över själv, är enkel att övervaka och kontrollera och ger inte samma bieffekt som dagens lösning.

5 reaktioner på ”Pensionsmyndighetens fortsatta problem med robothandel

  1. Problemet är att om antalet transaktioner begränsas per IP eller dylikt så går det ju också att gå runt. Finns tjänster där du kan hyra ett B-nät eller VPN-tjänster som ger dig ett nytt IP var X-sekund.

  2. Jag tänkte snarast att man begränsar på konto, inte IP.

    Dvs man tillåter man hur många inloggningar som helst, men lägger begränsning i antalet transaktioner över tid, ev kompletterat med någon form av kortsiktig frekvens. Säg 10 transaktioner/kvartal och max 1 per dag.

    Om det är jobbigt bara att logga in lägger man även en spärr där och om ett givet konto försöker logga in mer än tillåten gräns gör man redirect till en spärrsida.

    Borde inte kräva IP-nummer, eller hur?

  3. Ah, jag trodde att problemet var att placeringsföretag ska förhindras att göra affärer åt flertalet personer. Typ ”Vi tar hand om dina fondplaceringar”

  4. Det är iofs vad bolagen gör. Men problemet Pensionmyndigheten sade sig vilja stoppa var högfrekvenshandel. Dom fick helt enkelt för mycket transaktioner att hantera.

    Men även om en tjänst där någon gör en förvaltning åt dig, eller om du bara vill kunna samla dina olika ekonomiska förehavanden i en tjänst (ex Avanza eller SEB) måste dom kunna logga in åt dig. Och då används ID+PW (kod från myndigheten).

    Men att låta en tjänst en gång per dygn eller liknande gå in och läsa ut status borde inte alls vara samma kostnad som att lägga en order om att utföra en förändring av innehavet. Det är tom så att de flesta finansiella tjänster borde kunna räkna ut status om dom bara får hämta data en gång i veckan eller så.

  5. Vad patetiskt av myndigheten.

    Att de inte ens kan hämta information utifrån, tex den här bloggen och göra rätt. Istället har de säkert betalat ett helt team med arkitekter och utvecklare för att ta fram captcha-”lösningen”.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *