IBM om Se og Hør-skandalen: 'En rigtig alvorlig sag'

29. april 2014 kl. 15:1017
IBM om Se og Hør-skandalen: 'En rigtig alvorlig sag'
Illustration: Jesper Kildebogaard.
IBM er i samarbejde med Nets i gang med en 'fuldstændig undersøgelse' af anklagerne om en medarbejder, som solgte strengt fortrolige oplysninger til Se og Hørs journalister.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Opmærksomheden er blevet rettet mod IBM pga. BT's historie om, at det var en systemspecialist hos IBM, som gennem fire år solgte meget private betalingsoplysninger fra Nets' databaser til Se og Hør-journalister.

Men det er meget lidt, som IBM vil sige om sagen.

»Det er en rigtig alvorlig sag,« siger IBM's pressekoordinator, Karsten Stokking, da Version2 får fat på ham, men derudover vil han ikke udtale sig eller svare på spørgsmål, ud over at læse op fra den skriftlige melding, som IBM har forfattet:

»Beskyttelse af kundedata har allerhøjeste prioritet hos IBM, og vi tager denne sag meget alvorligt. Vi har allerede indledt en grundig gennemgang af sagen og arbejder tæt sammen med vores kunde (Nets, red.) for at gennemføre en fuldstændig undersøgelse. IBM vil også samarbejde med de relevante myndigheder i det omfang, der er behov for det,« skriver IBM i den officielle melding om sagen.

Artiklen fortsætter efter annoncen

Driften af de centrale it-systemer hos Nets blev i 2007 placeret hos IBM, og ved den lejlighed blev 71 medarbejdere flyttet med. Det skulle ifølge BT være en af disse personer, som endte med at sælge de private data til Se og Hør, et samarbejde, som begyndte ved prins Joachims bryllup med prinsesse Marie i 2008.

IBM-medarbejderen skulle ifølge BT have solgt oplysninger til Se og Hør fra 2008 til 2012, hvor han blev fyret og dermed mistede adgangen til Nets' database over transaktioner.

Inden da var både en lang række danske kendisser og medlemmer af kongefamilien blevet ofre for den ulovlige overvågning, hvor alle data om betalinger i ind- og udland blev lækket til Se og Hør, kort tid efter at kortet var kørt igennem.

Emner
17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
17
Mogens Bluhme
5. maj 2014 kl. 20:49

Hvorfor bruger IBM ikke deres egen SIEM-løsning, Q1 Labs, som korrelerer data fra alle kilder og opdager anomalier? I Nets tilfælde er det sikker den store løsning med Big Data intelligens, som er påkrævet.

  • more_vert
    • insert_linkKopier link
14
Per Gøtterup
30. april 2014 kl. 12:31

For en som mig der arbejder med kortbetalinger giver det ingen mening at BH (medarbejderen hos IBM) skulle have adgang til kortnumre i klartekst. En forsvarlig applikation på Nets betalingsserver tager imod data fra enten en webside eller via et API, foretager validering og autoriserer beløbet via relevant acquirer, og krypterer derefter kortnummer, CVV og udløbsdato (PCI certificeringskrav) og sender dette til databasen, som muligvis ligger på en mainframe hos IBM.

BH burde derfor kun have adgang til de enkelte transaktioner hvor eneste binding til en specifik kunde er de krypterede kortdata. Nogen hos Nets må derfor have hjulpet med at sætte navn på de krypterede kortnumre, og med et krypteret kortnummer er det trivielt at udtrække alle de transaktioner man måtte ønske.

Der er derfor følgende spørgsmål som må besvares:

  1. Havde BH adgang til et system som kunne sætte navn på de krypterede kortnumre? - Hvis ikke, hvem havde og kunne hjælpe ham?

  2. Blev opslag og søgninger logget som de bør jvf. PCI, og hvorfor blev disse logs ikke løbende checket? - Det foregik jo i over 4 år så der var masser af mulighed for at spotte de uautoriserede opslag.

  3. Var andre kolleger involveret? - Det er interessant at BH kunne gøre dette løbende uden at nogen fattede mistanke.

  • more_vert
    • insert_linkKopier link
16
Chano Klinck Andersen
1. maj 2014 kl. 21:59

BH burde derfor kun have adgang til de enkelte transaktioner hvor eneste binding til en specifik kunde er de krypterede kortdata. Nogen hos Nets må derfor have hjulpet med at sætte navn på de krypterede kortnumre, og med et krypteret kortnummer er det trivielt at udtrække alle de transaktioner man måtte ønske.

Nu er nets jo ikke bare en betalingsudbyder som f.eks. DIBS. Nets sørger for at validere at kortene er korrekte (Altså at kortnummer, CVV og udløbsdato er korrekt, og har derfor disse i en form der gør at man altid kan kontrollere at de data der kommer ind, matcher det kort som korthaver har.

Desuden er nets også ansvarlig for at sende besked til bankerne om at kortet er brugt, her under den tekst der skal stå på kontoudtoget.. Der er altså rigelig mulighed for at snappe data der kan bruges til at kæde transaktion og kortholder sammen.

  • more_vert
    • insert_linkKopier link
13
Christian Bruun
30. april 2014 kl. 11:30

Ville mindre virksomheder få konfiskeret deres hardware i Danmark (for at sikre beviser), eller er det kun i udlandet sådan noget sker?

  • more_vert
    • insert_linkKopier link
12
Knud Larsen
30. april 2014 kl. 11:29

@Nobel Men hvad med den almindelige outsourcing. DbBNor har outsourcet alt til Ukraine. Hvor billigt er det mon ikke at anbringe eller købe en medarbejder til lidt kreativ hjælp der. Når det er så let i DK er det garanteret lige så let andre steder - og billigere. Kort og godt som Snowdon viser det, der er ingen kontrol med personlige data.

  • more_vert
    • insert_linkKopier link
10
Ib Erik Söderblom
30. april 2014 kl. 10:37

Der bør øjeblikkelig beordres "bag kanon", så der ikke fifles eller aftales noget, som forhindrer den fulde belysning af hele sagen, og et komplet anklageskrift mod den forkvaklede person, som kunne finde på at fremskaffe oplysningerne, og mod de jornalister og den ledelse, som tog mod det. Havde de været ægte journalister, havde de dækket historien om lækagen. Da de er småtskårne sladderkællinger, valgte de selvfølgelig noget andet ! Vores datasikkerhed er en særdeles alvorlig sag !!!

  • more_vert
    • insert_linkKopier link
8
Peter D Hansen
29. april 2014 kl. 22:13

Hvorledes mon den store nordiske bank, han tilsyneladende arbejder for i dag, håndterer situationen? Foreløbig er det blot en anklage - men HVIS de er sande, burde han måske suspenderes allerede nu mens det undersøges?

Eller skal denne bank bare lade som ingen ting, ind til der foreligger en dom om nogle år? Man er uskyldig til andet er bevist, men banken har også et ansvar over for deres kunder, at minimere risici.

  • more_vert
    • insert_linkKopier link
6
Steen Eugen Poulsen
29. april 2014 kl. 21:36

Snowden tog røven på andre medarbejder og ledelse, han gjorde det gratis og hvad der ser ud til at ende op med at blive betraget som i en god sags tjeneste.

Nu har vi en eller anden usympatisk forbryder der misbruger sin stilling fordi et temmeligt slimet og moralsk forkvaklet kultur har udviklet sig på Se & Hør.

Det er muligt at CSC ikke beskyttede systemet godt nok, det er muligt at det system der er brugt til at hente personers data ud fra dankortsystemmet ikke havde livrem og seler nok indbygget og gjorde det for let for disse personer at begå deres forbrydelse.

Disse detaljer er ligegyldige når vi snakker om det er i orden at disse moralske taber begår deres handling. Hvad bliver det næste at Bagger skulle være gået fri fordi det var folks egen skyld han snød dem?

  • more_vert
    • insert_linkKopier link
15
Gert Madsen
30. april 2014 kl. 15:11

Disse detaljer er ligegyldige når vi snakker om det er i orden at disse moralske taber begår deres handling.

Det betyder jo ikke at man skal ignorere denne sammenhæng.

Den nuværende lovgivning har som udgangspunkt at almindelige mennesker er kriminelle, og at offentlige ansatte/indhyrede firmaer er engle.

Dette viser med al tydelighed at det er en forkert antagelse.

Derfor er det så farligt med den voldsomme registrering/overvågning vi bliver udsat for. Det ender altid med at blive misbrugt af svage sjæle.

  • more_vert
    • insert_linkKopier link
7
Christian Nobel
29. april 2014 kl. 21:51

Render du også rundt og overveje at købe et Eiffeltårn af en tilfældig forbipasserende?

Det er mere end naivt ikke at tage højde for at mennesket af natur er bedragerisk, når man sidder med ansvaret for systemer af den slags der er tale om her.

Og karakteren for opgaveforståelsen er -2 hvis man flytter fokus fra dette, til klapjagten på en anløben småforbryder - det svarer til at bruge kræfterne på at knalde små dealere af hash, samtidig med de virkelige forbryder står i baggrunden og forhandler kokain i pallevis.

I øvrigt har det intet med CSC at gøre, så dit forsvar for dem er ret så irrelevant!

  • more_vert
    • insert_linkKopier link
2
Christian Nobel
29. april 2014 kl. 18:52

Hvordan kan det være at det er IBM der undersøger sig selv?

Sagen er da så alvorlig at det bør og skal være politiet der undersøger IBM og Nets, da der jo tydeligvis er noget helt galt med sikkerheden begge steder.

Og da begge jo er dybt involveret i administrationen af danskernes digitale identitet og deres økonomi er sagen meget, meget alvorlig.

Man lader vel heller ikke den lokale Bandidosklub om selv at undersøge om et af medlemmerne har solgt narkotika på skolerne?

  • more_vert
    • insert_linkKopier link
3
Kim Sindalsen
29. april 2014 kl. 18:58

IBM kan vel godt undersøge interne procedurer, Finanstilsynet og Politiet er jo tilsyneladende igang også.

  • more_vert
    • insert_linkKopier link
4
Christian Nobel
29. april 2014 kl. 19:07

IBM kan vel godt undersøge interne procedurer, Finanstilsynet og Politiet er jo tilsyneladende igang også.

Det er faktisk ikke godt nok.

Politiet burde være i gang med at ransage begge foretagender, for at sikre bevisførelsen - prøv at tænke på at den såkaldte retsstat ingen skrupler har med at varetægtsfængsle unge mennesker for DDOS angreb, eller kræve en udlænding udleveret til varetægtsfængsling i halve og hele år, mens politiet prøver at finde ud af hvad han skal anklages for.

Jeg ser denne sag som dybt, dybt problematisk, og endnu mere problematisk at politikerne kun taler om presseetik mv., men slet ikke har forstået de meget mere alvorlige aspekter af sagen.

  • more_vert
    • insert_linkKopier link
5
Erik Cederstrand
29. april 2014 kl. 21:27

Jeg ser denne sag som dybt, dybt problematisk, og endnu mere problematisk at politikerne kun taler om presseetik mv., men slet ikke har forstået de meget mere alvorlige aspekter af sagen.

Jeg forstår til gengæld ikke hvorfor politikerne himler sådan op. Hvis de ikke har noget at skjule i deres kontoudtog, så har de jo ikke noget at være bange for?

Det er jo dybt professionelle mennesker og firmaer, som håndterer vores private data under de strengeste sikkerhedskrav, så misbrug vil ikke foreko... hov.

  • more_vert
    • insert_linkKopier link
1
ole jeppesen
29. april 2014 kl. 18:41

Det havde han måske ikke set komme, men mon ikke pressen har sat jagten ind på at dække historien fra nært hold.

Smagen af egen medicin kan være bitter.

Og...med ovenstående oplysninger tager det jo mindre end 1 minut selv at finde personen via LinkedIN

  • more_vert
    • insert_linkKopier link