Monthly Archives: May 2014

Også IBM bliver nu rullet ind i sagen om Se og Hørs overvågning af kongelige og kendtes kreditkortinformationer.

For ifølge Ekstra Bladet skulle flere tidligere kollegaer være velvidende om, at den hemmelige kilde i flere ombæringer skaffede sig adgang til dataene, uden det førte til, at nogen skred ind.

Avisen har talt med en ansat, der tidligere har arbejdet sammen med den hemmelige kilde. Den ansatte ønsker at være anonym af hensyn til sagens karakter, men siger:

»Det er almindeligt kendt, at man ikke nødvendigvis kun hiver data ud i arbejdsøjemed. En del af arbejdet er jo at se på data, og det virker helt naturligt for en, som sidder og kigger på tal hele dagen. I stedet for at kigge på en helt tilfældig (persons data, red.), er det jo så sjovere at se på en kendt,« siger kilden.

Han bekræfter desuden, at kildens adgang har været til oplysninger om dankort, Mastercard, Betalingsservice og NemID.

Informationerne er blevet sendt til journalisterne gennem SMS, og det er formentlig sket ved hjælp af en trigger-funktion, der er indbygget i IBM’s DB2-system, siger Version2’s blogger Poul-Henning Kamp, som Ekstra Bladet har talt med.

»En DB2-database er en ganske stor database, man kan købe hos IBM. Det er en ældre model, men ganske glimrende, og den kan en frygtelig masse ting,« siger han.

Ifølge Poul-Henning Kamp kan der være mange, der har haft adgang til at sætte sådan en trigger op. Det afhænger dog af, hvordan IBM har skruet deres it-afdeling sammen.

»Tystys-kilden kunne kun gøre det i bestemte tidsrum, for ellers ville man fatte mistanke. Triggeren opsættes i et program, som man formentlig kun kører på udvalgte tidspunkter. Når der er allermest pres på systemet, som eksempelvis når der går løn ind på folks konto sidst på måneden, så kører man det jo ikke,« Poul-Henning Kamp.

Se og Hør-skandalen ruller derudaf, og torsdag aften kom det så frem, at en fotograf fra ugebladet i januar 2013 advarede Nets om, at en af deres ansatte ulovligt videregav data.

Nets reagerede dog ikke på tippene.

Det skriver Ritzau, der citerer TV2 Nyhederne.

Fotografen skulle angiveligt have skrevet flere advarende mail til Nets, uden at Nets fandt frem til den såkaldte ‘tys-tys-kilde’. Den 8. marts sidste år fik fotografen svar fra Nets, der oplyste, at man var i færd med at undersøge sagen og ville inddrage politiet, hvis det viste sig at være nødvendigt.

Nets landechef Susanne Brønnum siger, at advarslerne blev taget alvorligt:

»Men vi kunne ikke se de transaktioner, som han havde givet os konkrete eksempler på, i vores systemer. Så vi følte, at det eneste vi på det tidspunkt kunne gøre var at bede personen om at gå til politiet med oplysningerne,« hun til TV2.

»Set i bagklogskabens lys, så kan vi godt fortryde. Men vi undersøgte som sagt de her oplysninger, vi fik sidste år. Der dukkede intet op i vores systemer, så vi havde desværre ikke noget, vi kunne gå videre med,« fortsætter hun.

Ifølge chefen skal ansatte leve op til flere sikkerhedskrav, når de bliver ansat i virksomheden. Blandt andet skal man have en ren straffeattest, ligesom man skal skrive under på, at man ikke videregiver fortrolig information.

Lige lidt har det hjulpet. Landechefen Susanne Brønnum vil endnu ikke tage stilling til, om Nets fremover skal indføre skarpere sikkerhedsprocedurer.

»Vi vil sammen med myndighederne finde ud af, hvad vi gør fremadrettet, og om der er noget mere, vi kan gøre for at øge vores sikkerhed,« siger hun til TV2.

Den første uge i januar tog administrerende direktør Christian Listov-Saabye på tourné til alle afdelingerne i det rådgivende ingeniørfirma Moe. Anledningen var den enorme vækst i 2013, hvor firmaet havde udvidet med 70 stillinger til godt 440 medarbejdere, en stigning på 19 procent.

»Normalt møder jeg kun lederne, når jeg kommer på kontorerne, men på grund af alle de mange nye medarbejdere valgte jeg for første gang at tage rundt for at fortælle om både vores formelle historie og om vores DNA, som handler om, hvordan vi er sammen som mennesker,« siger han.

Opret et cv på Jobfinder – det først skridt mod en ny karriere.

De mange nyoprettede stillinger hos Moe skyldes både vækst i antallet af opgaver og en fusion.

40 af de nytilkomne kommer nemlig fra det rådgivende ingeniørfirma Skude & Jacobsen, som blev en del af Moe i 2012, men først optræder i medarbejderstatistikken fra 2013.

Netop fusionen har været med til at øge antallet af opgaver. Gennem fusionen har Moe fået tilført kompetencer inden for geoteknik, energi og fjernvarme, som de ikke havde tidligere.

1 plus 1 blev 3

De nye kompetencer er den direkte årsag til, at virksomheden fik en stor opgave, som de to parter ikke kunne løfte alene:

»Skude & Jacobsen havde fjernvarmekompetencerne, men kunne ikke sælge dem, fordi de hverken havde tilstrækkelig volumen eller var til stede i Aarhus. Moe manglede de rette kompetencer, men havde den nødvendige størrelse og et kontor i Aarhus. Var vi ikke gået sammen, havde ingen af os fået opgaver. Så en plus en blev til tre,« siger Christian Listov-Saabye.

Til gengæld har det krævet en ekstra indsats at integrere 40 nye medarbejdere fra samme firma, påpeger han:

»Det koster mere ledelsesmæssig attention at ansætte folk i en blok end at skulle ansætte ’medarbejder nummer 455’, fordi det gælder om ikke at tromle hen over dem med en one size fits all-model« siger Christian Listov-Saabye.

På det sociale plan var en af metoderne at lade de ’fusionerede’ medarbejdere stå for den årlige firmaskovtur. Den gik til Geocenter Møn – et projekt, som Skude & Jacobsen har været med i.

»På den måde var det nye medlem af familien vært for kollegerne – og det gav integration« forklarer han.

Moe har altid vægtet personalegoder og personalearrangementer højt, fordi det er med til at fastholde medarbejderne, men ifølge Christian Listov-Saabye er det også effektivt, når nye medarbejdere skal integreres.

Det gælder den omtalte firmaskovtur, hvor familien også er med, den årlige skitur, den årlige studietur, samt de mange sportslige og kulturelle aktiviteter, som foregår i firmaregi:

»Der er ikke noget unikt i det, vi gør, men at vi gør så meget, og det betyder, at medarbejderne lærer hinanden at kende på tværs af afdelinger, hvis de f.eks. har kørt mountainbike sammen eller mødtes til andre arrangementer,« siger han.

Hertil kommer, at alle nye medarbejdere får tilknyttet en kollega som mentor i den første tid.

De mange nye folk repræsenterer en bred vifte af fagligheder, samt både erfarne og unge medarbejdere.

Inden for infrastrukturområdet kan det være svært at finde de helt rigtige profiler, men rigtig vanskeligt har det ikke været at få folk. For øjeblikket er der ti ubesatte stillinger, men Christian Listov-Saabye forventer ikke, at der bliver samme høje vækstrate som sidste år:

»Det bliver ikke 19 procent igen, men vi kommer nok i nærheden af eller lige under 10 procent,« forudser han.

Undersøgelser af havbunden i Atlanterhavet Det Arktiske Ocean og Middelhavet afslører store mængder affald alle steder, skriver Politiken.

»Undersøgelsen viser, at menneskeskabt affald er til stede i alle havmiljøer, fra strandene til de mest afsides og dybeste dele af oceanerne. Store dele af dybhavet er uudforskede af mennesket. Det var vore første besøg de steder. Så vi var chokerede over at opdage, at vores affald er nået dertil før os,« siger havbiolog Kerry Howell fra Plymouth Universitet til Politiken.

Forskerne undersøgte 588 forskellige steder på havbunden og fandt affald alle steder. Selv på højderyggen, der går ned gennem Atlanterhavet 2000 km fra land fandt forskerne affald. Det samme gjaldt havdybder på op til 4,5 km.

Forskerne har blandt andet optalt hvilke typer skrald, der var at finde på havbunden og billeddokumenteret deres fund. Deres resultater, kort og billeddokumentation, findes i holdets forskningsartikel, der er blevet udgivet af Plos One.

Den største del af affaldet var plastic, som udgjorde hele 41 pct., mens 34 pct. var fiskegrej. Derudover fandt forskerne blandt andet glas, tøj og metalskrot på havbunden.

Små ben løber op ad trapperne på ITU onsdag eftermiddag. Op til undervisningslokalet på fjerde sal, hvor det ligefrem myldrer med børn i alle størrelser blandt computere, kabler, Lego, forældre og frivillige voksne. Og pludselig beder Martin Exner om opmærksomheden.

»Hænderne på hovedet. Vi skal have ro«.

Det får han. Magnus, Jason, Justin, Christian, Harald og tyve andre børn bliver råbt op, krydset af og fordelt på hold Python, Minecraft, Mindstorm og Scratch efter ønske.

Martin Exner er uddannet lærer og har sammen med nogle venner startet Coding Pirates, som er et undervisningsforløb i programmering for børn. Den mindste denne eftermiddag er Ursula på seks år, og den ældste er Magnus på 15. Mens Magnus er ved at lære Python, sidder Ursula og roder med Minecraft og er i første omgang ved at vænne sig til forskellen på at håndtere en bærbar og en tablet..

»Det er første gang, hun bruger mus«, siger hendes far Jacob Wang, der også har sønnen Harald på otte med.

»Vi er her, så børnene kan lære at bruge deres computere i en social sammenhæng og måske lære noget af andre børn, der kan noget mere«, siger han.

Jacob Wang er selv digitaliseringsansvarlig på Nationalmuseet.

40 børn står på venteliste

Coding Pirates er et af de få tilbud til børn, der ønsker at lære at programmere. Det er ikke et fag, der er på folkeskolens skema, og det er ikke noget, der ofte dukker op i ungernes SFO eller klubtilbud. Det er Martin Exner og hans venner ved at lave om på.

På kurserne, der begyndte i februar i år, arbejder nogle med LEGO WeDo-robotter i Scratch. Nogle laver fysik og 3D-animationer i Blender, nogle laver deres egne spil i Java, mens en del knokler med at forstå syntaksen i Python og Small Basic.

»Fælles for alle er, at de har rykket sig enormt. Mange har rykket sig i forhold til at forstå programmeringssprog og mange i forhold til spilmekanik, design og innovation«, siger Martin Exner.

I november sidste år skrev Version2 en notits om de spæde første skridt med at undervise børn i programmering på et pilotforsøg hos AAU i København. Siden februar er det altså blevet til kurser hver uge på ITU og hver anden uge hos Microsoft i Hellerup siden februar i år.

50 elever går nu på kurserne, 40 er på venteliste. 20 frivillige underviser børnene – en del af dem meldte sig via notitsen hos Version2.

Og nu er tiden kommet til at tage skridtet videre, siger Martin Exner.

»Samtidig med vores kurser udvikler vi løbende et helt læringsrepertoire, som kan bruges som model til at undervise børn i programmering. Desuden lærer vi, hvordan vi pædagogisk og praktisk håndterer så mange børn og computere på én gang. Endelig finder vi ud af, hvordan vi bedst organiserer det hele ved hjælp af frivilligt arbejde«, siger Martin Exner i en kort pause i undervisningen.

Disse erkendelser skal bruges til at udbrede konceptet til resten af landet i første omgang, og ultimativt til at få computerprogrammering helt ind i folkeskolen.

»Målet er at få programmering på folkeskolens pensum. Men folkeskolen er en langsomt bevægende organisation. Første skridt er derfor at få udbredt Coding Pirates til resten af landet«, siger han.

Og til det har han brug for frivillige med forstand på programmering.

Fra Solrød til Amager

»Ved I hvad en variabel er?«

»Husk nu det bare er en papkasse med ting i. Eksempelvis denne ting: skaerm_bredde*1024. Og så er der loops – så man kan få ting til at gentage sig selv. Kan i huske det?«

Seks børn sidder med fingrene på tastaturerne og kigger lidt på de voksne, Per Hansen og Denis Smajlovic og så ned på deres skærme igen. Nogle ved godt, hvad han taler om. Andre skal lige have frisket sidste uges Python-øvelser op igen.

Magnus er den ældste af børnene. Han er 15 og har sammen med sin mor taget tog og bus fra Solrød til Amager – en tur på 45 minutter for at deltage på kurset.

»Jeg vil godt være programmør eller spiludvikler«, siger Magnus og ser ud til mest at have lyst til at vende tilbage til Python og slippe for flere forstyrrende spørgsmål.

»Min søn er interesseret i gadgets, computere, spil og hele den verden, og der er intet, der tager fat i det i folkeskolen. Jeg hørte om dette forløb, vi var heldige at få plads, og nu vi tager gerne turen en gang om ugen. Hvis han skal være spiludvikler, så skal han have kendskab til sproget bag«, siger Alice, der er coach og nu selv er begyndt på et kursus i programmering for voksne begyndere igennem Samdata.

Det er lidt en tilsnigelse at kalde underviseren Denis Smajlovic for voksen endnu. Han er folkeskoleelev med et godt hoved til programmering. En ven introducerede ham for Visual Basic i femte klasse, og derefter gik det slag i slag.

»I dag kan jeg 10 programmeringssprog. Du må godt skrive, at jeg er sej«, siger han i sjov. Det meste har han lært sig selv men ville rigtig gerne have haft et tilbud som Coding Pirates.

Magnus er også overbevist om, at mange fra hans skole med glæde ville tage imod et tilbud om at lære at programmere, hvis det ellers blev aktuelt.

Foruden kurserne på ITU og hos Microsoft i Hellerup har Martin Exner har nu fundet folk til at organisere lignende kurser to steder i Aarhus, Odense, Næstved, Farum, Vallensbæk og måske også Lolland Kommune.

Alle steder mangler han dog endnu ekstra frivillige undervisere.

»Rigtig gerne Version2-læsere. Det var jeres læsere, der fik løftet det i begyndelsen«, siger han.

Man kan sende en mail til kontakt@codingpirates.dk hvis man ønsker at give en hånd eller få mere information om kurserne.

Holdet af kundeservice-medarbejdere hos Nets har nem adgang til fortrolige betalingskort-oplysninger om danskerne – og kunne lige så nemt tjekke eks-kærestens betalinger og færden. Sådan skrev Version2 tidligere fredag, ud fra oplysninger fra en tidligere medarbejder hos Nets.

Men hvorfor blev det ikke opdaget af intern kontrol og gennem logning af den betroede adgang til databaserne, at den nemme adgang blev misbrugt?

»Vi kan ikke sige noget detaljeret om hvilke kontroller, vi har, fordi det er en del af den undersøgelse, vi er i gang med at lave internt, i forlængelse med den større anklage, som har været ude hele ugen. Det er noget, vi arbejder på med politiet,« siger Søren Winge, pressechef hos Nets, til Version2.

Kontrollerne forbliver vel de samme?

»Ja, men derfor har vi ikke lyst til at udtale os om de mere systemmæssige kontroller. Men vi har en række kontroller, hvor vi screener vores medarbejdere, sørger for de har en ren straffeattest, de skal underskrive fortrolighedserklæring. Vi uddanner dem i procedurer og arbejdsgange og giver tydelig instruks om, hvordan de skal forholde sig til den tillid, der er dem givet i det omfang, at de skal sidde og tilgå fortrolige data. Det skal man jo kunne i et omfang, når man sidder i kundeservice.«

»Det er korrekt, at medarbejderne har adgang til at tilgå data i et vist omfang. Det gør vi dem også klart opmærksomme på, hvad rammer er for – at man alene skal tilgå data med arbejdsmæssig relevans. Jeg vil meget nødig ind på, præcis hvad kundeservicemedarbejdere kan kigge på, og i hvilke funktioner. Men det er klart, at der i større eller mindre omfang er adgang til at tilgå fortrolige kundedata og transaktionsdata. Det skal de kunne tilgå for at kunne passe deres arbejde.«

Det, jeg har fået fortalt, er at det ikke kræver andet end et navn at få adgang til kundedata, fordi man kan slå resten op i databasen over udenlandske betalingskort.

»Jeg vil nødig ind i, hvad man kan i de forskellige databaser og hvilke informationer, man kan udtrække. Men der skal ikke være tvivl om, at medarbejderne bliver gjort meget bevidste om, hvad de må og ikke må. Og det kan være relevant at foretage opslag for at finde fortrolige data. «

»Det billede, du tegner i din artikel, det er ikke et billede, vi kan genkende fra vores kundeserviceafdeling.«

Pointen er jo også, at der kan ske misbrug, uden det bliver opdaget.

»Ja, det er selvfølgeligt en diskussion. Nu er der mange gisninger om, hvilke kontroller vi laver, det vil vi ikke kommentere på nuværende tidspunkt. Jeg kan sige, at vi har haft sager, hvor de var inde steder, hvor de ikke bør kigge. Ikke på baggrund af misbrug som sådan, men måske på baggrund af nysgerrighed. Det har vi slået ned på i de få situationer, det er sket. Det er også derfor, vi mener at kunne tro, at det ikke er en udbredt praksis.«

Men kan I med sikkerhed sige, at der ikke er mange andre situationer, hvor I ikke har opdaget det?

»Jeg vil ikke spekulere i, hvad der kan have været af konkrete eksempler, som vi ikke måtte have opdaget. Det er klart, at vi i vidt omfang er afhængige af tilliden til de her medarbejdere, som klart har skrevet under på, hvad de må og ikke må. Hvis de misbruger den tillid, og overtræder de grænser, så kan det være, at det ikke er alle sammen, vi fanger. Men det er altså noget, vi er meget bevidste om og følger op på. Vi føler, at der er en udbredt forståelse blandt medarbejderne for det her.«

Var det ikke bedre, at der var en stærkere teknisk kontrol, end at skulle basere sikkerheden på tillid til typisk unge mennesker, som kommer ind og arbejder deltids?

»Jeg tror aldrig nogensinde, du vil få fuld kontrol uden tillid. Det vil være umuligt at kontrollere sig ud af alt. Og vi har ikke lyst til at diskutere lige nu, hvilke kontroller vi har, på baggrund af den undersøgelse vi er i gang med, som skal kortlægge det. Det vil vi først danne os et fuldt og helt billede af, før vi forholder os mere konkret til det.«

Hvor mange sager har I haft?

»Det vil jeg heller ikke give et tal på. Det er mere for at sige, at det er altså noget, vi slår ned på og forholder os til med meget kritiske og alvorlige øjne.

Og det har ført til fyringer?

»Ja. Jeg vil ikke komme ind på hvor mange.«

Har det ført til politianmeldelser?

»Det vil jeg heller ikke komme ind på. Jeg vil bare sige, at det er noget, vi følger op på, når vi ser det, og det er noget, vi holder øje med i det hele taget.«

Du siger, I uddanner medarbejderne i politikkerne for adgang til data. Kan du løfte sløret for, hvad det omfatter?

»Nej, det vil jeg ikke gå mere detaljeret ned i. Nu har det været fremme, at det er studerende, der kommer ind på deltid. Vi gør os meget umage for, at de er parate til at løse den opgave, de får, og at de er bekendt med, hvad man må i systemet, og hvilket ansvar, der påhviler en. Det sørger vi selvfølgeligt for.«

De oplysninger, jeg har fået, er, at der ikke i den test, man skal bestå for at fortsætte arbejdet, er spørgsmål om etik eller hvad man må og ikke må.

»Det står jo også, i kontrakt og fortrolighedserklæring, meget klar hvad man må og ikke må.«

Det endelige forslag til loven om Center for Cybersikkerhed er nu færdiggjort. Regeringen indgået en politisk aftale DF, K, SF og Venstre om forslaget, der er blevet fremsat af Forsvarsminister Nicolai Wammen i dag.

Lovforslaget er blevet kritiseret af blandt andet Institut for Menneskerettigheder, fordi det undtager Centret fra offentlighedsloven, forvaltningsloven og persondataloven. Institut for Menneskerettigheder vurderede også, at det er problematisk, at centret skal placeres under Forsvarets Efterretningstjeneste, da det ifølge instituttet vil gøre det lettere for udenlandske efterretningstjenester at få fingre i fortrolige oplysninger.

Med i det endelige lovforslag adresseres bekymringerne til dels.

»Hvis data fra centerets netsikkerhedstjeneste videreformidles til den øvrige del af FE, vil FE kun kunne videregive disse data efter de restriktive regler, der gælder for Center for Cybersikkerhed, herunder at indholdet af kommunikation kun kan videregives til dansk politi og ingen andre, heller ikke udenlandske efterretningstjenester,« udtaler Nicolai Wammen i fremsættelsestalen.

Ministeren lover også, at Center for Cybersikkerhed skal komme med årlige beretninger og statistik over blandt andet ansøgninger om aktindsigt, ansøgningernes udfald og klagesager.

Regeringen foreslår, at loven træder i kraft 1. Juli.

Du kan læse lovforslaget og fremsættelsestalen her

Et klassisk skrækscenarium får nu nyt liv, nemlig at hackere overtager kontrollen med byens trafiklys og skaber kaos og trafikuheld – eller hjælper røvere til at flygte med rovet som i filmen The Italian Job.

Den argentinske it-sikkerhedsmand Cesar Cerrudo har nemlig opsporet en sårbarhed i trafikstyringssystemer fra leverandøren Sensys, som bliver brugt i mange storbyer i USA og Europa. Det skriver Wired.

Trafikken bliver nemlig reguleret ud fra inputs fra sensorer i vejen, som for nemheds skyld sender måledata trådløst videre til modtagerbokse og trafiklys. Det sker via en proprietær protokol, baseret på Zigbee-teknologi, men hvis en hacker sætter sig ned og kigger nærmere på datatrafikken, er det muligt at gennemskue protokollen, som viser sig at være eneste beskyttelse.

Den trådløse kommunikation er nemlig ikke krypteret, og der er ingen kontrol af de enheder, som sender data afsted, i form af for eksempel et signeret certifikat. En hacker kan altså introducere sin egen sender i netværket og forsøge at overdøve de legitime målinger fra vej-sensorerne.

Man kan altså ikke styre trafiksignalerne direkte ad den vej, men ved at sende falske data om trafikken vil man normalt få signalerne til at reagere på disse inputs. Opdager byens trafikkontrol, at der er noget galt, vil de dog kunne skifte over til manuel styring eller et fast program, der ignorerer trafikmålingerne.

Cesar Cerrudo købte en af Sensys’ modtagerbokse, som kostede 21.500 kroner, for at kunne opsnappe trafikken og lære protokollen at kende. Men så snart man har protokollen på plads, kan falske sendinger ske fra billig og diskret hardware. Ved at bruge en drone, kan man også dække et større område ad gangen.

Efter sine opdagelser kontaktede den argentinske sikkerhedsforsker sidste sommer USA’s svar på Center for Cybersikkerhed, som er placeret under Homeland Security. Men svaret lød, at det var helt i orden med den ukrypterede datatrafik. Faktisk var det ifølge leverandøren Sensys et ønske fra kunderne, at der ikke var kryptering. Og så længe, systemet ikke var koblet på internettet, og den ukrypterede kommunikation ikke direkte styrer trafiksignalerne, var det ikke et problem, svarede Sensys.

Nye udgaver af sensorerne er dog blevet lidt mere sikre, da opdateringer til sensorernes firmware nu sendes i krypteret form, for at undgå at andre kan installere ny software til sensorerne. Men forbedringen gælder kun fremadrettet, da alle de eksisterende sensorer ikke bliver ændret.

Det var normalt blandt ansatte hos Nets at misbruge adgangen til danskernes brug af betalingskort, for eksempel for at snage på kendte mennesker eller ekskærestens forbrug. Det fortæller en tidligere ansat til Version2.

Sagen om en tidligere ansat hos Nets, som gennem fire år solgte fortrolige kundedata om kendte og kongelige har sat spekulationerne i gang om datasikkerheden og de interne procedurer hos Nets. Og Version2 kan nu afsløre, at det ikke krævede særlige beføjelser eller administratorrettigheder at få disse oplysninger frem, hvis ansatte ønskede at snage i andres privatliv. Det fortæller en tidligere ansat hos Nets, som Version2 kender identiteten på, og som var ansat samtidigt med, at en it-medarbejder hos Nets’ leverandør IBM solgte oplysninger til Se og Hør.

Medarbejderne kunne generelt let slå op i databaserne for Dankort og de internationale kort og holde øje med, hvor et betalingskort var blevet brugt, og hvor meget der var købt for.

»Lige så snart, kortet bliver sat i en terminal, kan du se, hvor folk er henne, og hvad de har brugt af kroner i hvilke butikker – også i udlandet og ved kontanthævninger. Vi kunne også se, hvad forretninger omsatte for. Problemet er, at det var alle, som havde adgang til de her oplysninger,« fortæller kilden til Version2, på baggrund af flere års ansættelse hos Nets.

Og den adgang blev misbrugt af de ansatte, for eksempel i kundeservice-afdelingen, hvor især unge mennesker bliver ansat som ufaglært arbejdskraft.

»Det var normalt at kigge på, hvad ekskærester og kendte personer brugte deres kort til. Eller at se, om kæresten, der var holdt op med at ryge, alligevel havde været i kiosken og købe cigaretter. Hvis ens venner var i byen, kunne man se hvor de var henne,« fortæller Version2’s kilde, ud fra sine egne oplevelser hos Nets.

I kundeservice fik nye medarbejdere adgang til alle kundedata fra første dag på arbejdet, og der var ikke nogle alarmer, der gik, eller nogen påtale af misbruget af den omfattende adgang til kundernes data.

Om der blev ført en log over de ansattes opslag i databaserne over transaktioner, kan Version2’s kilde ikke afvise, men der var i hvert fald ikke overvågning nok til at opdage, at der blevet lavet mange ulovlige opslag, pointerer den tidligere medarbejder. De ulovlige opslag blev flettet ind mellem de legitime opslag, og i kundeservice var det på grund af arbejdsopgaverne ikke mistænkeligt at slå tre kort op på et minut.

Kunne finde CPR-numre via udenlandske kort

Adgang til data om danskernes brug af Dankort og Visa/Dankort er beskyttet på den måde, at man skal bruge et CPR-nummer eller kontonummer for at få adgang. Men det var sjældent en forhindring, for listen over udenlandske kort kunne bruges til at finde et CPR-nummer.

»Med Mastercard og Visa Electron og de andre kunne man søge på navn og så sortere efter for eksempel fødselsår for at finde en person. Så kan man se personens CPR-nummer der og få adgang til de danske bankdatacentraler med Dankort-transaktioner. Og rigtig mange danskere har et udenlandsk kort ved siden af, for bankerne har været meget glade for at udstede dem,« siger kilden.

Kendte man ikke det fulde navn på en person, var det som regel muligt at finde på for eksempel Facebook eller andre sociale tjenester.

»Nu handler sagen om oplysninger, der blev solgt til Se og Hør. Men det kunne lige så godt være rockergrupper, som køber de her oplysninger for at finde en person,« siger den tidligere medarbejder.

Selvom Nets har dækket sig ind juridisk i ansættelseskontrakter i forhold til misbrug af data, var det ikke et emne, som kom op undervejs i ansættelsen hos Nets.

Heller ikke i kundeservice-afdelingen er der nogen undervisning om disse emner eller løftede pegefingre. Oplæringen af nye medarbejdere sker som sidemandsoplæring igennem nogle måneder, og så skal man bestå en lille test for at fortsætte.

»Den handler om, hvordan man løser forskellige opgaver. Der er ingen spørgsmål om etik,« siger kilden.

Version2 har bedt Nets om en kommentar til den tidligere ansattes beretning om datasikkerheden hos Nets. Den eneste melding, Nets ønsker at give, er, at alle ansatte skriver under på, at de kun må tilgå data, som er nødvendige for at løse arbejdsopgaverne, samt at de ikke må videregive data. Desuden er der krav om ren straffeattest, oplyser Nets.

Nets har været ude med en melding om at “de ikke kan sikre sig imod den menneskelige faktor”

Det er for det første forkert, det kan man godt, for det andet viser det hvor kernen i den her ballade virkelig ligger:

Ansvaret for sikkerhedsproblemer skal altid placeres 100% præcist hos dem der bestemmer hvor meget sikkerhed der skal være.

I denne sag er der absolut ingen tvivl om at den beslutning er taget af Nets som systemejer og derfor bør der heller ikke være nogen tvivl om at hele ansvaret, uden nogen formildende omstændigheder, tilfalder Nets, hvad enten de prøver at tale udenom eller ej.

Mit klassiske eksempel på denne problematik er fotoet på Dankortet.

Det foto af kortholderen vi havde på Dankortet gjorde det til et af de allermest troværdige betalingskort der nogen sinde har existeret. Det var en fantastisk forbedring af sikkerheden og stort set ingen Dankort blev stjålet i udlandet, sammenlignet med andre typer kort, for forbryderne lærte snart hvor vanskeligt billedet gjorde brugen af dem.

Men det lykkedes en gang, en fyr med fuldskæg fik sit kort stjålet i Spanien og en dame købte en dyr pels med det.

Byretten dømte banken til at dække tabet, med den argumentation at hvis der var fuldskæg på kortet skulle der også være det på dem der købte ind med det og at det naturligvis var bankens ansvar at det blev checket.

Kort efter forsvandt billedet fra Dankortet.

Bankerne bedyrede at det “forbedrede sikkerheden”, uden at en eneste journalist i Danmark kunne bringes til at spørge: “Hvis sikkerhed forbedres, bankens eller kundens ?”

Svaret var naturligvis “Bankens” for ved at fjerne fotoet skubbede bankerne en større del af risikoen over på kunderne, uden at disse fik nogen som helst indflydelse på hvor sikkert Dankortet skulle implementeres.

Det skal vi have lavet om på.

Vi har en straffelov der er fyldt med detailregler for hvor stor straffen skal være, afhængig af om man sparker vinduet ind eller piller glasset ud.

Men vi har ingen straf for at have for ringe sikkerhed omkring et IT system der passer på andre folks personlige data, det værste man risikere idag er lidt slid på pegefingeren når man åbner det pigefornærmede brev fra Datatilsynet — hvis de da overhovedet har tid og råd til at sende det.

Jeg skal ærligt indrømme at hverken Jokke eller Danielsen er min stil, men helt ærligt, tænk lige over hvad det var der skete fordi Nets sparede på sikkerheden:

De forfulgt nygifte Jokke med en flok slibrige og skrupelløse “journalister” og fotografer igennem alle hvedebrødsdagene.

Overvej lige selv hvor meget det havde dræbt romantikken for jer ?

Danielsen fik sin graviditet plastret ud over forsiden, inden hun havde nået at dele den glædelige nyhed med familie og venner.

Jeg ved ikke med jer, men jeg ville have fulgt mig dybt berøvet hvis det var mig.

Og bemærk at ingen af dem havde gjort skyggen af noget der var i nærheden af ulovligt: Der er ingen “whistleblower” der har afsløret en løgnagtigt eller svigagtig politiker i den her sag, det er et rent og skært brud på privatlivets fred, uden nogen formildende omstændigheder.

At det netop blev disse konsekvenser skyldes at medarbejderen solgte oplysningerne til Se og Hør, men Se og Hør er bare en ussel hæler, forbrydelsen var at Nets havde sparet for meget på sikkerheden.

Ingen straf kan erstatte de emotionelle tab som ofrene har lidt i dette tilfælde, men det absolut mindste vi kan gøre som samfund, er at sikre at hensynet til overskudet og chefens bonus aldrig i fremtiden overtrumfer danskeres, hvad enten de er VIP eller ej, menneskeret til privatliv.

Men Nets udenomstale viser meget tydeligt at de stadig ikke har forstået hvor ansvaret ligger.

Det har de også vist endnu tydeligere på en anden måde.

Kig på deres hjemmeside: Der er Ingen pressemeddelse om sagen.

Hvad mere er: Der er heller ikke nogen undskyldning til ofrene.

Hvad mere evidens behøver politikerne før de forstår, at for virksomheder som Nets er sikkerhed kun en omkostning der skal holdes nede ?

phk