Holdet af kundeservice-medarbejdere hos Nets har nem adgang til fortrolige betalingskort-oplysninger om danskerne – og kunne lige så nemt tjekke eks-kærestens betalinger og færden. Sådan skrev Version2 tidligere fredag, ud fra oplysninger fra en tidligere medarbejder hos Nets.
Men hvorfor blev det ikke opdaget af intern kontrol og gennem logning af den betroede adgang til databaserne, at den nemme adgang blev misbrugt?
»Vi kan ikke sige noget detaljeret om hvilke kontroller, vi har, fordi det er en del af den undersøgelse, vi er i gang med at lave internt, i forlængelse med den større anklage, som har været ude hele ugen. Det er noget, vi arbejder på med politiet,« siger Søren Winge, pressechef hos Nets, til Version2.
Kontrollerne forbliver vel de samme?
»Ja, men derfor har vi ikke lyst til at udtale os om de mere systemmæssige kontroller. Men vi har en række kontroller, hvor vi screener vores medarbejdere, sørger for de har en ren straffeattest, de skal underskrive fortrolighedserklæring. Vi uddanner dem i procedurer og arbejdsgange og giver tydelig instruks om, hvordan de skal forholde sig til den tillid, der er dem givet i det omfang, at de skal sidde og tilgå fortrolige data. Det skal man jo kunne i et omfang, når man sidder i kundeservice.«
»Det er korrekt, at medarbejderne har adgang til at tilgå data i et vist omfang. Det gør vi dem også klart opmærksomme på, hvad rammer er for – at man alene skal tilgå data med arbejdsmæssig relevans. Jeg vil meget nødig ind på, præcis hvad kundeservicemedarbejdere kan kigge på, og i hvilke funktioner. Men det er klart, at der i større eller mindre omfang er adgang til at tilgå fortrolige kundedata og transaktionsdata. Det skal de kunne tilgå for at kunne passe deres arbejde.«
Det, jeg har fået fortalt, er at det ikke kræver andet end et navn at få adgang til kundedata, fordi man kan slå resten op i databasen over udenlandske betalingskort.
»Jeg vil nødig ind i, hvad man kan i de forskellige databaser og hvilke informationer, man kan udtrække. Men der skal ikke være tvivl om, at medarbejderne bliver gjort meget bevidste om, hvad de må og ikke må. Og det kan være relevant at foretage opslag for at finde fortrolige data. «
»Det billede, du tegner i din artikel, det er ikke et billede, vi kan genkende fra vores kundeserviceafdeling.«
Pointen er jo også, at der kan ske misbrug, uden det bliver opdaget.
»Ja, det er selvfølgeligt en diskussion. Nu er der mange gisninger om, hvilke kontroller vi laver, det vil vi ikke kommentere på nuværende tidspunkt. Jeg kan sige, at vi har haft sager, hvor de var inde steder, hvor de ikke bør kigge. Ikke på baggrund af misbrug som sådan, men måske på baggrund af nysgerrighed. Det har vi slået ned på i de få situationer, det er sket. Det er også derfor, vi mener at kunne tro, at det ikke er en udbredt praksis.«
Men kan I med sikkerhed sige, at der ikke er mange andre situationer, hvor I ikke har opdaget det?
»Jeg vil ikke spekulere i, hvad der kan have været af konkrete eksempler, som vi ikke måtte have opdaget. Det er klart, at vi i vidt omfang er afhængige af tilliden til de her medarbejdere, som klart har skrevet under på, hvad de må og ikke må. Hvis de misbruger den tillid, og overtræder de grænser, så kan det være, at det ikke er alle sammen, vi fanger. Men det er altså noget, vi er meget bevidste om og følger op på. Vi føler, at der er en udbredt forståelse blandt medarbejderne for det her.«
Var det ikke bedre, at der var en stærkere teknisk kontrol, end at skulle basere sikkerheden på tillid til typisk unge mennesker, som kommer ind og arbejder deltids?
»Jeg tror aldrig nogensinde, du vil få fuld kontrol uden tillid. Det vil være umuligt at kontrollere sig ud af alt. Og vi har ikke lyst til at diskutere lige nu, hvilke kontroller vi har, på baggrund af den undersøgelse vi er i gang med, som skal kortlægge det. Det vil vi først danne os et fuldt og helt billede af, før vi forholder os mere konkret til det.«
Hvor mange sager har I haft?
»Det vil jeg heller ikke give et tal på. Det er mere for at sige, at det er altså noget, vi slår ned på og forholder os til med meget kritiske og alvorlige øjne.
Og det har ført til fyringer?
»Ja. Jeg vil ikke komme ind på hvor mange.«
Har det ført til politianmeldelser?
»Det vil jeg heller ikke komme ind på. Jeg vil bare sige, at det er noget, vi følger op på, når vi ser det, og det er noget, vi holder øje med i det hele taget.«
Du siger, I uddanner medarbejderne i politikkerne for adgang til data. Kan du løfte sløret for, hvad det omfatter?
»Nej, det vil jeg ikke gå mere detaljeret ned i. Nu har det været fremme, at det er studerende, der kommer ind på deltid. Vi gør os meget umage for, at de er parate til at løse den opgave, de får, og at de er bekendt med, hvad man må i systemet, og hvilket ansvar, der påhviler en. Det sørger vi selvfølgeligt for.«
De oplysninger, jeg har fået, er, at der ikke i den test, man skal bestå for at fortsætte arbejdet, er spørgsmål om etik eller hvad man må og ikke må.
»Det står jo også, i kontrakt og fortrolighedserklæring, meget klar hvad man må og ikke må.«
Leave a Reply