Det kan ikke komme bag på Nets, at det har været muligt for en medarbejder som Se og Hørs tys-tyskilde at tappe dybt fortrolige oplysninger om, hvor meget og hvordan danskerne svinger dankortet. Sådan skriver Berlingske, som er kommet i besiddelse af en ekstern it-revision af sikkerheden af dankortsystemet.
»Sammenfattende er det vores vurdering, at de svagheder, som beskrives, er alvorlige, ligesom der er rapporteret rigtig mange svagheder,« lyder det i notatet fra revisionen, som blev foretaget for året 2007, da IBM overtog it-driften af daværende PBS – i dag Nets. Revisionen oplister samtidig adskillige såkaldte findingskategori 1 – altså særligt kritisable forhold.
Revisionen kritiserer blandt andet, at de ikke har haft en funktionsadskillelse, hvor man ikke har haft den nødvendige forebyggende adskillelse mellem dem, der kontrollerer
operativsystemet, og dem, der udvikler og vedligeholder systemet.
Flere brister
Det betyder helt konkret, at Se og Hørs tys-tys-kilde formentlig uopdaget har ændret opsætningen af OPC-systemet, som dankortet kører på. Af revisionen, som revisionsfirmaet PriceWaterhouseCooper lavede sammen med intern revision i Nets, fremgår det videre, at for mange med forskellige stillingsbetegnelser har haft adgang til at ændre i dankortsystemet. En adgang, som ledelsen i IBM godkendte, men det var den eksterne revisor uenig i, fremgår det af revisionen.
Også i bestyrelsen i Nets har man kendt til konklusionerne om de omfattende sikkerhedsbrister i perioden 2007 og frem til i dag, siger flere kilder tæt på bestyrelsen til Berlingske.
»Det kuriøse var, at der var ganske mange anmærkninger derude og især på noget, som en it-organisation burde have styr på. Funktionsadskillelse var et gennemgående problem på kryds og tværs af organisationen. Det vil sige, at man ikke har haft den nødvendige forebyggende adskillelse mellem dem, der kontrollerer tingene, og dem, der udvikler dem,« siger en kilde tæt på Nets’ bestyrelse til Berlingske.
Må ikke kunne finde sted
Peter Lybecker har været bestyrelsesformand for Nets, siden IBM i 2007 overtog it-driften for virksomheden. For første gang kommenterer han nu Se og Hør-skandalen:
»Den informationsudlevering til Se og Hør, som vi har set, må ikke kunne finde sted, uden at det kan blive opdaget,« skriver han til Berlingske, som oplyser, at han ikke havde lyst til at stille op til interview.
Det er uklart, præcis om og hvornår de konkrete advarsler om brist i sikkerheden i betalingskortsystemet har ført til ændringer:
»Nets har løbende fulgt op på systemrevisionsrapporter, hvor vi har kunnet konstatere, at IBM på enkelte områder har haft brug for mere faste processer, end de har haft. Vi har anset dette for værende løst i 2011, men på baggrund af denne sag har vi bedt IBM om et gennemgående review af sikkerhedsforanstaltninger og adgangen til fortrolig information, og vi agter at indarbejde skærpede krav og ekstern revision af dette,« skriver Peter Lybecker i en mail til Berlingske.
En tidligere it-chef med speciale i it-sikkerhed og indgående kendskab til drift i større virksomheder som IBM, CSC med flere siger anonymt til Berlingske, at det simpelthen ikke kan passe, at Nets ikke har været bekendt med de mange alvorlige, rapporterede sikkerhedsbrister. Brister, der i sidste ende gjorde afluring og eventuel kopiering af kreditkortoplysninger mulig.
»Det gør mig harm, at Nets ikke bare går ud og erkender, at de ikke har styret det her ordentligt. I stedet væver de om, at de skal have en anden form for kontrol fremadrettet. Det skal de i hvert fald, for de har ikke haft nogen forebyggende kontrol. Det er helt åbenlyst,« siger den tidligere it-chef.
Leave a Reply