Nets så gennem fingre med sikkerhedsbrist

Nets var advaret om massiv sikkerhedsbrist i det system, som alle danskeres kreditkortoplysninger bliver gemt og registreret i. Netop det system, som Se og Hør-kilden misbrugte. Nets-formand beklager for første gang Se og Hør-sagen.

En ekstern IT-revision i 2007 viste, manglende funktionsadskillelse hos PBS, som i dag er blevet til Nets. Man har ikke har haft den nødvendige forebyggende adskillelse mellem dem, der kontrollerer operativsystemet, og dem, der udvikler og vedligeholder systemet. Det har sansynligvis gjort det muligt for Se og Hørs tys-tys-kilde at skjule, at han har ulovligt har hentet informationer i systemet. Fold sammen
Læs mere
Foto: Mads Nissen

Det kan ikke komme bag på Nets, at det rent faktisk har været muligt for en medarbejder som Se og Hørs tys-tys-kilde at tappe dybt fortrolige oplysninger om, hvor meget og hvordan danskerne svinger dankortet.

Det viser en ekstern IT-revision af sikkerheden af dankortsystemet, som Berlingske er kommet i besiddelse af. Revisionen er for året 2007, da IBM overtog IT-driften af daværende PBS – i dag Nets – og oplister adskillige såkaldte findingskategori 1 – altså særligt kritisable forhold.

Blandt de mest graverende fejl er manglende funktionsadskillelse, hvor man ikke har haft den nødvendige forebyggende adskillelse mellem dem der kontrollerer operativsystemet, og dem der udvikler og vedligeholder systemet. Det betyder helt konkret, at Se og Hørs tys-tys-kilde formentlig uopdaget har ændret opsætningen af OPC-systemet, som dankortet kører på. Af revisionen, som revisionsfirmaet PriceWaterhouseCooper lavede sammen med intern revision i Nets, fremgår det videre, at for mange med forskellige stillingsbetegnelser har haft adgang til at ændre i dankortsystemet. En adgang som ledelsen i IBM godkendte, men det var den eksterne revisor uenig i, fremgår det af revisionen.

Nets var advaret

Se og Hør-sagen eksploderede med bogen »Livet, det forbandede«, som tidligere Se og Hør-journalist Ken B. Rasmussen er forfatter til. Bogen har ført til politiefterforskning, undersøgelser i Aller-huset og Nets egne undersøgelser. Men allerede i foråret 2013 fik Nets et konkret tip om, at journalister og fotografer fra ugebladet Se og Hør via ulovlige kreditkortoplysninger havde overvåget, fulgt og i skjul fotograferet tre kendte personer på private rejser. Advarslerne kom fra freelancefotograf Michael Medgyesi, der fortalte Nets om tre konkrete episoder, hvor kreditkortoplysningerne skulle være brugt.

Derudover har også DR fortalt, at en revisionsrapport fra 2010 af IBMs drift af Nem-ID-systemet advarede om sikkerhedsbrist. De dokumenter, Berlingske er i besiddelse af, beskriver for første gang sikkerheden i betalingskortsystemet, som er det helt centrale i Se og Hør-sagen.

KPMG, der tilbage i 2007 havde PriceWaterhouseCooper-rapporten til gennemsyn, bakkede op om, at sikkerheden var hullet.

»Sammenfattende er det vores vurdering, at de svagheder, som beskrives, er alvorlige, ligesom der er rapporteret rigtig mange svagheder,« lyder det i notatet.

Bestyrelsen vidste besked

Men også i bestyrelsen i Nets har man kendt til konklusionerne om de omfattende sikkerhedsbrist i perioden 2007 og frem til i dag, siger flere kilder tæt på bestyrelsen til Berlingske.

»Det kuriøse var, at der var ganske mange anmærkninger derude og især på noget, som en IT-organisation burde have styr på. Funktionsadskillelse var et gennemgående problem på kryds og tværs af organisationen. Det vil sige, at man ikke har haft den nødvendige forebyggende adskillelse mellem dem, der kontrollerer tingene, og dem, der udvikler dem,« siger en kilde tæt på Nets’ bestyrelse til Berlingske.

Peter Lybecker har været bestyrelsesformand for Nets siden IBM i 2007 overtog IT-driften for virksomheden. For første gang kommenterer han nu Se og Hør-skandalen:

»Den informationsudlevering til Se og Hør, som vi har set, må ikke kunne finde sted, uden at det kan blive opdaget,« skriver han til Berlingske.

Han har ikke ønsket at stille op til interview. Det er uklart, præcis om og hvornår de konkrete advarsler om brist i sikkerheden i betalingskortsystemet har ført til ændringer.»Nets har løbende fulgt op på systemrevisionsrapporter, hvor vi har kunnet konstatere, at IBM på enkelte områder har haft brug for mere faste processer, end de har haft. Vi har anset dette for værende løst i 2011, men på baggrund af denne sag har vi bedt IBM om et gennemgående review af sikkerhedsforanstaltninger og adgangen til fortrolig information, og vi agter at indarbejde skærpede krav og ekstern revision af dette,« skriver Peter Lybecker i en mail til Berlingske.

De årlige, eksterne revisionsrapporter, der giver indblik i IT-sikkerheden hos Nets og IBM, bliver udleveret til en snæver kreds bestående af Nets’ bestyrelse og enkelte højtstående medarbejdere. Ifølge Berlingskes oplysninger er der selv i den seneste rapport fra 2013 anmærkninger om, at for mange personer i Nets har adgang til fortroligt materiale. Det har Peter Lybecker ikke kommenteret i sit skriftlige svar.

Et ledelsesproblem

En tidligere IT-chef med speciale i IT-sikkerhed og indgående kendskab til drift i større virksomheder som IBM, CSC med flere siger anonymt til Berlingske, at det simpelthen ikke kan passe, at Nets ikke har været bekendt med de mange alvorlige, rapporterede sikkerhedsbrist. Brist, der i sidste ende gjorde afluring og eventuel kopiering af kreditkortoplysninger mulig.

»Det gør mig harm, at Nets ikke bare går ud og erkender, at de ikke har styret det her ordentligt. I stedet væver de om, at de skal have en anden form for kontrol fremadrettet. Det skal de i hvert fald, for de har ikke haft nogen forebyggende kontrol. Det er helt åbenlyst,« siger den tidligere IT-chef.

Hos en virksomhed som Nets er det helt centralt, at der holdes strengt opsyn med fortrolige oplysninger som vores kreditkort-informationer. Det skyldes, at eksempelvis systemprogrammører med systemadgange i princippet har mulighed for at ændre ting – og derefter skjule deres spor uden at det bliver opdaget. I yderste konsekvens kan man også overføre penge til sig selv og efterfølgende slette spor.

Berlingske har genskabt tys-tys-kildens nu nedlagte LinkedIn-profil, hvoraf det fremgår, at manden ikke nødvendigvis er den superskurk, han ellers er blevet udråbt til at være. Tys-tys-kilden har ifølge Berlingskes oplysninger været systemoperatør og haft til opgave at overvåge og vedligeholde IBMs mainframe, som er en slags superserver, der er tilkoblet et datalager, som indeholder ubegribelige mængder af informationer om danskerne. Hans adgang harifølge IT-chefen dog formentlig begrænset sig til Nets’ engagement hos IBM.

OPC-systemet afvikler flere end 100.000 individuelle batchjob og flere millioner online-transaktioner på en dag. Det kan eksempelvis være at udskrive breve med kontoudtog eller ændre procentsatsen på et overtræk hos en person. Disse småændringer har man ansat forskellige operatører og driftsmedarbejdere til at foretage, og tys-tys-kilden har formentlig fundet ud af, hvordan man uopdaget lægger et ekstra job ind eller eksempelvis kopierer såkaldte outputdatasæt. Sådan kunne han tappe kendte eller kongeliges kreditkortinformationer og udlevere oplysningerne til Se og Hør. Men lækken kunne være forhindret.

»Man kan begrænse adgangen til systemet via det generelle adgangskontrolsystem, RACF, som IBM anvender. Eventuelle ændringer skal så foretages gennem et såkaldt change-manager-system. Det er en relativ simpel forebyggende funktionsadskillelse, og det skal man faktisk gøre for at overholde lov om finansiel virksomhed,« uddyber IT-chefen.

IT-sikkerhedsekspert Peter Kruse fra firmaet CSIS er enig i, at læk til ugebladet Se og Hør kunne være forhindret med funktionsadskillelse. »Hvis man havde en reel funktionsadskillelse, og man opfyldte nogle af de krav, der står i standardiseringerne til sikkerhed, havde dette ikke kunnet foregå i så lang tid, som det er sket her,« siger Peter Kruse og uddyber:

»Man sætter jo heller ikke ræven til at vogte høns. Man har manglet kontrol med sikkerheden, der kunne samle beviser for, hvad den her person foretog sig. Lige præcis der virker det som om, at der er sket et latent brud på sikkerheden og de gængse sikringsprocesser.«

IBM har ikke ønsket at kommentere Berlingskes oplysninger.