Sådan opererede den tidligere IBM-medarbejder

Ved hjælp at landets førende eksperter i IT-sikkerhed, kilder tæt på Se og Hør-forløbet og den tidligere IBM-medarbejders nu slettede LinkedIn-profil tegner Berlingske her en skitse af, hvordan superskurken systematisk kunne lænse Nets’ data i det skjulte, og hvilke store mængder data personen ellers har haft adgang til.

På den tidligere medarbejders egen LinkedIn-profil, der ikke længere findes, er der meget eksakte beskrivelser af, præcist hvilke områder og tekniske færdigheder, han besidder. Arkivfoto: Scanpix Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Med forskellige brudstykker kan Berlingske tegne et mere nøjagtigt, massivt og dermed skræmmende billede af hvor store mængder data, servere og mainframes, den tidligere IBM-medarbejder har haft adgang til. Hos Nets såvel som hos andre kunder, der har outsourcet deres arbejde til IBM.

På den tidligere medarbejders egen LinkedIn-profil, der ikke længere findes, er der meget eksakte beskrivelser af præcis, hvilke områder og tekniske færdigheder han besidder. Særligt én detalje springer i øjnene på direktør i IT-sikkerhedsfirmaet CSIS, Peter Kruse.

»På en backup af hans profil kan man se, hvad han har arbejdet med. Her er der særligt én oplysning, der er interessant. Han har arbejdet med den mainframe, der hedder S390. Det er en af de mest datatunge mainframes i det her land, og det betyder, at han har haft berøring med tusindvis af brugere,« siger Peter Kruse.

En mainframe er kort fortalt en højkapacitetscomputer, der lagrer store mængder data og applikationer.

Peter Kruse forklarer S390 som en slags »pizzaslicer«, hvor man kaster pizzaer ned i, hvor hver kunde er et stykke, der er adskilt fra hinanden. Men en person, som har administrative rettigheder på en S390, har dermed mulighed for at tilgå ikke én, men flere tusinde kunder – altså samtlige pizza-stykker. Medmindre der har været nogle klare procedurer på plads, der sikrer, at han ikke kunne få adgang til alle data, og at det blev logget. Her opstår det næste problem ifølge Peter Kruse:

»Dét, der også står på profilen, er, at han har haft adgang til det system, der overvåger, hvad der foregår – altså selve logging-processen. I tilfælde af, at han også har haft adgang til det, som det står på profilen, har han altså kunnet overvåge sig selv og sine egne spor. Både lokalt og eksternt.«

Adgang til alle systemer

Ifølge Peter Kruse er der at dømme efter den tidligere medarbejders arbejdsopgaver tale om »en betroet medarbejder«.

»I de tilfælde er der tale om en udvidet adgang til alle mulige systemer, fordi personen ikke skal kunne begrænses af, at der er et system, han ikke kan få adgang til i forbindelse med drift. Tilliden til en så betroet medarbejder skal gå hånd i hånd og i det øjeblik, den tillid bliver misbrugt, skulle Nets og IBM nok have lavet det, man kalder en »emergency response«, hvor man simpelthen lukker personen ude og sikrer alt, hvad der måtte være tilbage af data og systemer. Man kan sætte spørgsmålstegn ved, om det er sket rettidigt,« siger Peter Kruse.

»Hvis dét, der står i hans profil, passer, er det nogle ekstremt kritiske, centrale kontorer, han har haft adgang til. Det kan være alt muligt. IBM er en meget stor leverandør til de største virksomheder i Danmark og i øvrigt også nogle af de statslige og offentlige institutioner. Det kan gå hen og blive rigtig grimt, hvis han har kigget i alt det.«

Ifølge Peter Kruse kan medarbejderen eksempelvis have ændret i data.

»Problemet er, at integriteten af rigtig meget data kan være manipuleret. Du kan ikke stole på det, der står der. Han kan bevidst have manipuleret og ændret i alle de data, han har haft adgang til. Så når nogen efterfølgende kigger på de data, så har man ikke noget overblik, fordi han selv har været systemadministrator. Han er ikke bare en superskurk, han er den konge, der har nøglerne til kongeriget,« siger Peter Kruse.

Data fra IBMs andre kunder

Ifølge direktør Henrik Kramshøj i Solido Networks, der blandt andet arbejder med serverdrift og IT-sikkerhed, betyder oplysningen om S390, at den tidligere medarbejder også har haft adgang til andre data.

»Som eksempel har KMD sin mainframe, CSC har sin mainframe, men har du været nøglemedarbejder, har du potentielt arbejdet med forskellige systemer og på den måde akkumuleret adgange til forskellige miljøer. Og er du nøglemedarbejder hos IBM, som har outsourcet til eksempelvis Nets, har du også andre kunder. Så har du adgang til både Nets’ servere og til andre kunders servere. IBM har blandt andet leveret løsninger til Carlsberg og Sparekassernes Datacentral. Det er steder, han helt sikkert har haft adgang til,« siger Henrik Kramshøj.

»Én ting er at være i én virksomhed og have en betroet stilling og have adgang til det firmas data. Men ham her har været hos en outsourcingpartner, hvor han har haft adgang til flere kunders data, hvorfor der burde have været mere fokus på det. Det er rigtig, rigtig skidt, at han har misbrugt den stilling.«

Udover at han havde adgang til et væld af databaser og servere, vurderer kilder over for Berlingske dog også, at den tidligere medarbejder har udarbejdet et alarmsystem, som har reageret, når bestemte personer var aktive. De data ligger nemlig forskellige steder.

Udviklede sit eget system

Henning N. Jensen, partner i PlusCON og tidligere vicepræsident i PBS, det nuværende Nets, henviser til, at det langt fra er nemt at fremskaffe så detaljerede oplysninger om, hvor konkrete kreditkort har været brugt i Nets’ systemer.

»Normalt kan man kun se transaktioner uden fakta om kortholderne. De ting er normalt adskilt. Men han har tilsyneladende været i stand til at udvikle et system – en trojansk hest – der samler alle disse data.«

Ifølge Henning N. Jensen er det kun Nets’ svindelafdeling, der har adgang til et system, hvor alle data samles.

Ifølge Berlingskes informationer har kundeserviceafdeling hos Nets adgang til flere data, da de fleste banker om natten bruger Nets’ service, når danskere ringer ind f.eks. fra udlandet for at udrede, om der er sket misbrug, når en person har mistet kortet.

Nets har ikke ønsket at kommentere på historien.