Sikkerheden hos Nets er kommet i fokus oven på sagen om en medarbejder hos IBM, som i fire år ubemærket kunne lække fortrolige betalingsoplysninger fra Nets’ databaser.
Og mens Nets ikke for alvor vil fortælle omverdenen noget om firmaets sikkerhedsniveau, giver to påtaler fra myndighederne i løbet af 2013 et fingerpeg om, at sikkerhedskulturen hos Nets i hvert fald ikke har været perfekt.
I den første sag udtalte Datatilsynet, at man fandt Nets’ manglende kryptering af en webside ’kritisabel’, hvilket er sprogbrug i den hårde ende fra tilsynets jurister.
En borger havde opdaget, at Nets ikke brugte kryptering på en hjemmeside, hvor virksomheder skulle uploade dokumenter med følsomme oplysninger, herunder pas, kørekort, sygesikringsbevis eller skatteopgørelse. Dermed kunne disse dokumenter opsnappes af andre, når de blev sendt via internettet.
Borgeren fortalte Nets om problemet, både mundtligt og skriftligt i februar 2013, men Nets afviste at ændre på siden. Først da Datatilsynet gik ind i sagen, skete der noget, og Nets forklarede i et svar 7. maj 2013, at det var en fejl, at der ikke blev brugt kryptering på upload-hjemmesiden.
I afgørelsen, som på grund af stort arbejdspres hos Datatilsynet først blev offentliggjort i slutningen af april 2014, kritiserer tilsynet især, at Nets ikke reagerede allerede ved første henvendelse.
»Datatilsynet må desuden lægge til grund, at klager havde gjort Nets opmærksom på problemet inden klagen til Datatilsynet, men at Nets først i forbindelse med klagesagens behandling har undersøgt sagen og taget skridt til afhjælpning af fejlen. Samlet set finder Datatilsynet derfor det skete kritisabelt,« lyder konklusionen i afgørelsen.
Da Nets fik slået kryptering til, var det i øvrigt med den usikre protokol SSL 2.0, så en fornyet klage fra borgeren førte til, at krypteringen blev ændret til SSL 3.0 og TLS 1.0.
Fulgte ikke hvidvask-reglerne
En anden kritik af procedurerne hos Nets kom i 2013 fra Finanstilsynet, som undersøgte, om Nets overholdt reglerne om hvidvaskning af penge.
Nets fik i 2011 status som betalingsinstitut og blev i dette tilsyn vurderet i den funktion og ikke som ‘datacentral’, som Nets også er kategoriseret som. Allerede fra november 2009 skulle Nets leve op til hvidvask-reglerne, men det gjorde firmaet slet ikke, da Finanstilsynet var på besøg i 2013.
»For visse af instituttets betalingsformidlingsprodukter gælder, at procedurer for kundelegitimation først er iværksat i begyndelsen af 2013, hvilket Finanstilsynet har påtalt. For andre produkter gælder, at procedurer for kundelegitimation ikke er iværksat endnu,« skrev Finanstilsynet i sin offentlige afrapportering.
Resultatet var, at ’et betydeligt antal’ kunder dengang ikke havde vist tilstrækkelig legitimation, og Nets fik derfor et påbud om at bringe det i orden inden for en frist, som ikke bliver oplyst.
Ud over at have styr på, hvem der overfører penge via Nets, skal Nets ifølge reglerne også overvåge, om der er mistænkelige transaktioner. Det havde Nets heller ikke styr på.
»Det er Finanstilsynets vurdering, at instituttet ikke har indført procedurer specifikt med henblik på opfyldelse af hvidvasklovens krav om overvågning af kundetransaktioner, opmærksomheds-, undersøgelses- og indberetningspligt. Finanstilsynet har derfor påbudt instituttet at indføre tilstrækkelige procedurer på dette område,« skrev Finanstilsynet.
Og der var mere kritik dengang af Nets, som heller ikke havde en korrekt forretningsgang på hvidvaskområdet:
»Finanstilsynet har herudover påbudt instituttet at udarbejde tilstrækkelige skriftlige interne regler på hvidvaskområdet, idet den eksisterende forretningsgang er behæftet med mangler. Endvidere har instituttet fået påbud om at gennemføre tilstrækkelige procedurer for undervisning af relevante medarbejdere på hvidvaskområdet.«
Finanstilsynet har fået kritik for ikke at have ført tilsyn med Nets i fire år, hvilket er korrekt, hvis man ser på Nets rolle som datacentral og ikke den nye, supplerende rolle som betalingsinstitut.
Leave a Reply