Nets får røffel for dårlig it-sikkerhed

Der er ikke nok styr på centrale forretningsgange for it-sikkerhed i Nets, som tidligere spillede en hovedrolle i Se & Hør-skandalen.

Sagen drejer sig om, at Konkurrencestyrelsen i 2013 afgjorde, at Nets har opkrævet urimeligt høje gebyrer for modtagelse af betalinger på nettet. Fold sammen
Læs mere
Foto: Søren Bidstrup

Nu får Dankort og NemID-udbyderen Nets endnu engang alvorlig kritik for ikke at have godt nok styr på it-sikkerheden. Kritikken kommer fra Finanstilsynet, som netop har offentliggjort en inspektionsrapport fra efteråret 2014, som tog fat om Nets' generelle it-sikkerhedsstyring, strategi, organisation, beredskabsplaner, sikkerhedspolitikker også de adgange til systemer og kontrol med outsourcede it-funktioner blev undersøgt.

Sidstnævnte punkt om outsourcing er vældig interessant, da det var hos Nets' underleverandør IBM, at der opstod en række lækager af bl.a. kendtes brug af Dankort, som på den ene eller den anden måde endte i spalterne i Se & Hør.

Nu tyder alt på, at Nets fortsat ikke har godt nok styr på data-sikkerheden:

»Det er Finanstilsynets vurdering, at Nets på tidspunktet for inspektionens gennemførsel ikke i tilstrækkelig grad har implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden,« sammenfatter Finanstilsynet i en redegørelse.

Det er f.eks. direktion og bestyrelse, som ikke har sørget for en godkendt dokumenteret it-risikovurdering. Det har også knebet med it-sikkerhedsstyringen, rapportering og ledelsesopfølgning. Det skal præciseres og implementeres.

Positivt i redegørelsen er, at Finanstilsynet har konstateret, at Nets har igangsat flere væsentlige forbedringstiltag, der fremadrettet skal styrke Nets' generelle it-sikkerhedsstyring. Næppe overraskende er det, at Nets ifølge rapporten oplyser at ville imødekomme myndighedernes påbud.