Nets blev advaret om sikkerhedshul hos IBM i 2010

Nets blev allerede i 2010 advaret om, at sikkerheden hos underleverandøren IBM var hullet.

Foto: WOLFGANG RATTAY
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Allerede i 2010 blev Nets advaret om mulige huller i sikkerheden hos IBM. Det viser en aktindsigt i de såkaldte systemrevisionsrapporter fra Nets, som TV Avisen har fået.

Revisionsselskabet PriceWaterhouseCoopers skriver i en revisionsrapport fra foråret 2010 om IBMs drift: »Der eksisterer flere enkeltstående svagheder vedrørende adgangs- og rettighedshåndtering samt systemopsætning i relation til den infrastruktur, der er outsourcet til IBM« og »Heraf er en svaghed vedrørende adgangsforhold til det generelle mainframe-miljø vurderet som selvstændig væsentlig.«

Ifølge TV Avisen arbejdede den mistænkte IBM-medarbejder med overvågning af netop IBMs mainframe-miljø og var blandt andet operatør af IBMs supercomputer S390, som benyttes af en stribe af IBMs store offentlige og private kunder.

»At revisionen tilbage i 2010 har påpeget lige præcis det her, kan virke meget chokerende. Det er yderst interessant, at det blev påpeget af revisionen, at der var manglende styr på adgangen til de her mainframe-systemer hos IBM. Og det er jo netop dem, som vi jo har mistanke om, er blevet misbrugt i den konkrete sag,« siger teknisk direktør hos IT-sikkerhedsfirmaet CSIS, Jan Kaastrup.


Nets undskylder sig med, at revisionsrapporten fra 2010 kun handlede om Nem-ID-systemet og ikke betalingskortsystemet, og at advarslen derfor ikke kunne overføres på betalingskortedelen.

»Vi har en meget høj generel sikkerhed, både i vores systemer, i vores platforme og i vores adgange generelt,« siger landechef for Nets Susanne Brønnum til DR Nyheder.

Men revisionsforbeholdet burde dengang have advaret Nets om, at sikkerheden hos IBM generelt ikke var på toppen, mener Jan Kaastrup.

»Set i bagklogskabens lys er der ingen tvivl om, at der dengang burde have ringet alarmklokker både hos IBM og Nets. Jeg mener, at man med den revisionspåtegning burde kunne have lukket hullet og forhindret efterfølgende misbrug,« siger han til DR Nyheder.

TV Avisen har forgæves forsøgt at få en kommentar fra IBM.

Nets er i gang med en undersøgelse og kan allerede nu konstateres adfærdsmønstre, som underbygger, at der kan være sket et misbrug.

»Dette misbrug har i givet fald fundet sted ved, at den pågældende medarbejder har misbrugt sin legitime adgang til kortdata i Nets’ systemer til at finde oplysninger, som herefter er videregivet ulovligt til Se og Hør. Denne information har vi overdraget til myndighederne og politiet til brug for den videre efterforskning,« skriver Nets i en pressemeddelelse.