Nets advaret om sikkerhedshul hos IBM i 2010

Allerede i 2010 påpegede Nets’ egen revisor, at sikkerheden hos underleverandøren IBM var hullet. Det var en ansat hos netop IBM, der lækkede oplysninger til Se og Hør.

Nets blev advaret om sikkerhedshul hos IBM i 2010, kan TV Avisen fortælle. (© AP Graphics)

Det var en ansat hos underleverandøren IBM, der gennem flere år lækkede fortrolige oplysninger om kendte danskeres hævekorttransaktioner til ugebladet Se og Hør.

Men allerede i 2010 blev toppen i Nets advaret om mulige huller i sikkerheden hos netop IBM.

TV Avisen har fået aktindsigt i de såkaldte systemrevisionsrapporter fra Nets.

I en revisionsrapport fra foråret 2010, foretaget af revisionsselskabet PriceWaterhouseCoopers om IBM's drift af Nem-ID-systemet, lyder det sådan her:

- Der eksisterer flere enkeltstående svagheder vedrørende adgangs- og rettighedshåndtering samt systemopsætning i relation til den infrastruktur, der er outsourcet til IBM.

Og videre:

- Heraf er en svaghed vedrørende adgangsforhold til det generelle mainframe-miljø vurderet som selvstændig væsentlig.

Havde adgang til supercomputer

Ifølge TV Avisens oplysninger arbejdede den mistænkte IBM-medarbejder med overvågning af netop IBM's mainframe-miljø. Han var blandt andet operatør af IBM's supercomputer S390, som benyttes af en stribe af IBM's store offentlige og private kunder, erfarer TV Avisen.

- At revisionen tilbage i 2010 har påpeget lige præcis det her, kan virke meget chokerende.Det er yderst interessant, at det blev påpeget af revisionen, at der var manglende styr på adgangen til de her mainframe-systemer hos IBM. Og det er jo netop dem, som vi jo har mistanke om, er blevet misbrugt i den konkrete sag, siger teknisk direktør hos it-sikkerhedsfirmaet CSIS, Jan Kaastrup.

Hos Nets undskylder man sig med, at revisionsrapporten fra 2010 kun handlede om Nem-ID-systemet og ikke betalingskortsystemet. Og at advarslen derfor ikke kunne overføres på betalingskortedelen:

- Vi har en meget høj generel sikkerhed, både i vores systemer, i vores platforme og i vores adgange generelt, siger Susanne Brønnum, landechef for Nets.

Alarmklokker burde have ringet

Men ifølge en sikkerhedsekspert burde revisionsforbeholdet dengang have advaret Nets om, at sikkerheden hos IBM generelt ikke var på toppen.

- Set i bagklogskabens lys er der ingen tvivl om, at der dengang burde have ringet alarmklokker både hos IBM og Nets. Jeg mener, at man med den revisionspåtegning burde kunne have lukket hullet og forhindret efterfølgende misbrug, siger Jan Kaastrup.

TV Avisen har i flere dage forgæves forsøgt at få en kommentar fra IBM, der siden 2007 har stået for driften af Nets' systemer. Hos Digitaliseringsstyrelsen, der varetager statens kontrol med Nem-ID, understreger man, at de omtalte problemer i revisionsrapporten blev udbedret i 2011.

Nets har igangsat en omfattende undersøgelse af sagen, og selvom undersøgelsen ikke er færdiggjort, kan der allerede nu konstateres adfærdsmønstre, som underbygger, at der kan være sket et misbrug, oplyser Nets:

- Dette misbrug har i givet fald fundet sted ved, at den pågældende medarbejder har misbrugt sin legitime adgang til kortdata i Nets' systemer til at finde oplysninger, som herefter er videregivet ulovligt til Se og Hør. Denne information har vi overdraget til myndighederne og politiet til brug for den videre efterforskning, skriver Nets i en pressemeddelelse.

Facebook
Twitter