Nets, som blandt andet driver det danske Dankort-system, er ikke blevet rendt på dørene af Finanstilsynet, som har ansvaret for at holde Nets i ørene.
Faktisk har der siden 2010 ikke været et eneste tilsyn med Nets eller driftsleverandøren IBM. Det fortalte TV-Avisen mandag aften.
Der var ellers noget at tjekke, for i 2010 fik Nets en advarsel om, at sikkerheden var problematisk hos IBM, som kører mainframe-miljøet med blandt andet alle data om Dankort- og NemID-transaktioner.
En aktindsigt i systemrevisionsrapporter fra Nets og IBM viser, at it-revisionen fra konsulenthuset PwC havde kritik af adgangskontrollerne.
»Der eksisterer flere enkeltstående svagheder vedrørende adgangs- og rettighedshåndtering samt systemopsætning i relation til den infrastruktur, der er outsourcet til IBM. Herunder er en svaghed vedrørende adgangsforhold til det generelle mainframe-miljø vurderet som selvstændig væsentlig«, lød meldingen til Nets i rapporten fra 2010.
Sådan en melding fra revisionen burde få alarmklokkerne til at ringe hos Nets og IBM, vurderede Jan Kaastrup, teknisk direktør hos sikkerhedsfirmaet CSIS.
»Jeg tror man med denne revisionspåpegning kunne have lukket hullet og have forhindret følgende misbrug,« sagde han til TV-Avisen.
Nets forklarer, at revisionen ikke handlede om betalingskort-systemerne, men om NemID-miljøet. Finanstilsynet ønsker ikke at udtale sig og henviser til sin tavshedspligt.
Sikkerheden og den interne kontrol hos Nets og IBM er den seneste uge kommet i søgelyset, da det viste sig, at en medarbejder hos IBM gennem fire år solgte oplysninger om kendte og kongeliges brug af betalingskort til Se og Hør-journalister.
Leave a Reply