Nets-læk kan have ramt NemID

Det formodede systematiske læk af bankoplysninger fra Nets kan have forgrenet sig til andre servere og databaser, som blandt andet rummer NemID, lyder vurderingen fra flere eksperter.

Nets står også for driften af blandt andet NemID, og den pågældende medarbejder, der angiveligt har lækket fortrolige oplysninger fra Nets til Se og Hør, har dermed formentlig også haft adgang til andre af Nets’ databaser, lyder ekspertvurderinger. Arkivfoto: Jonas Vandall Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Det er muligvis ikke kun kendtes kreditkortoplysninger, hvis sikkerhed er blevet kompromitteret og efterfølgende solgt til ugebladet Se og Hør, som det fremgår af bogen »Livet, det forbandede« af tidligere Se og Hør-journalist Ken B. Rasmussen.

Ifølge flere af landets førende eksperter i IT-sikkerhed kan det sikkerhedshul, som den tidligere IBM-medarbejder angiveligt har udnyttet for at skaffe oplysninger om prominente personer, betyde, at Nets’ andre servere og databaser, der blandt andet rummer NemID og digital signatur, kan være kompromitterede.

Ifølge Per Kruse, direktør i sikkerheds­firmaet CSIS, er der en mulighed for, at manglende alarmsystemer hos Nets betyder, at flere data kan være opsnappet.

»Problemet er, at, som situationen er beskrevet, har IBM-medarbejderen kunnet logge på hjemmefra gennem en VPN (virtuelt, privat netværk, red.) og logge på systemet for at lave driftsarbejde. Her har han lavet et alarmsystem, som giver besked, når bestemte kilder »bevæger« sig. Hvis det er tilfældet, kan det være langt større, og det kan vise sig, at medarbejderen har haft adgang til langt flere servere, mainframes og databaser,« siger Peter Kruse.

Det kan være systemer som NemID og digital signatur, der blandt andet rummer data fra myndigheder og virksomheder.

»DanID og Nets står også for driften af digital signatur og NemID, som må siges at være en akilleshæl for Danmark, hvis den er kompromitteret. Har en IBM-medarbejder kunnet tilgå dem, kan andre databaser, mainframes og servere formentlig også tilgås. Det er et kæmpe problem,« siger Peter Kruse.

Det er ikke overraskende

Lars Ramkilde Knudsen, professor i kryptologi ved DTU og ekspert i blandt andet NemID og digital signatur, beskriver det som »overraskende«, hvis ikke den tidligere IBM-medarbejder har haft adgang til andre systemer.

»Jeg ville ikke være overrasket, hvis personen også havde adgang til andre systemer, herunder NemID. Men man skal samtidig huske, at NemID er noget nyere og et andet slags system. Dankort er et debitkort, hvor NemID er til, når du underskriver noget med din personlige signatur,« siger Lars Ramkilde Knudsen.

Ifølge direktør Henrik Kramshøj i Solido Networks, der blandt andet arbejder med serverdrift og sikkerhed, mangler der information om, hvilken stilling den tidligere medarbejder besad.

»Det er svært at sige, hvorfor ingen alarmklokker har ringet. Der mangler information om, hvad medarbejderens arbejde har været. Har han overvåget misbrug af betalingskort, er det ikke så underligt, at han har haft adgang. Har han siddet i en anden rolle, så mangler der et rødt flag,« siger Henrik Kramshøj.

»Jeg formoder, at der er ekstra vandtætte skotter mellem DanID og Nets. Det er formentlig realistisk, at han har haft adgang til store dele af Nets, dog ikke nødvendigvis NemID, men det svært at sige,« siger Henrik Kramshøj.

Radiotavshed hos Nets

Berlingske har spurgt Nets, hvordan virksomheden kontrollerer, om der er mangler i driftskontrakten mellem IBM og Nets, og om andre systemer som NemID kan være kompromitterede efter samme fremgangsmåde, som det angiveligt er sket med bankoplysningerne.

Ulrik Marschall, kommunikationskonsulent hos Nets, afviser dog at svare på nogen spørgsmål, før Nets’ egen undersøgelse og politiets undersøgelse er afsluttet. Fra ATP, der står til at blive medejer af Nets, er direktør Carsten Stendevad mere direkte.

»Hvis det, der står i medierne, er korrekt, er det en skandale og stærkt beskæmmende. Det er en kriminel handling, som politiet må tage sig af. Vi er ikke ejere af Nets endnu, og derfor har vi ikke haft kontakt til ledelsen i denne forbindelse. Det må vi ikke.«