IBM’s egne sikkerhedssystemer kunne have forhindret Se og Hør-læk

Havde IBM brugt sine egne sikkerhedsprodukter til at stoppe misbrug, ville tys-tys-kilden og lækket til Se og Hør være blevet opdaget, vurderer sikkerhedseksperter.

I fire år hentede en ansat hos IBM dybt fortrolige oplysninger om kendte og kongeliges brug af betalingskort ud af Nets’ it-systemer, uden at det blev opdaget.

Den slags misbrug bør en virksomhed af IBM’s kaliber beskytte sig grundigt imod, og IBM har faktisk selv produkter på hylden, som netop overvåger systemerne og spotter mistænkelig adfærd. Men den danske afdeling af IBM har tilsyneladende slet ikke brugt IBM’s egne systemer til formålet. Det skriver Politiken ud fra en vurdering fra flere forskellige it-sikkerhedseksperter.

Havde IBM Danmark haft et Siem-system - security intelligence and event management - installeret korrekt og i brug, kunne medarbejderens mange opslag i databaserne hurtigt være blevet opdaget, lyder vurderingen fra blandt andet Peter Kruse fra CSIS.

Måske har IBM haft sikkerhedssystemerne slået til, men åbenbart ikke på en effektiv måde. Hvis tys-tys-kilden for eksempel selv kunne gå ind og slå alarmer fra, er den slags systemer ikke til megen hjælp, fortæller Peter Kruse.

Hverken Nets eller IBM ønsker at fortælle om deres sikkerhedssystemer eller kommentere beskyldningerne om manglende sikkerhed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Michael Rask Christensen

Hvis kunden - Nets - havde ville betale for en SIEM løsning. Det ved vi jo ikke om de havde (det var måske en opgave for Version2 at undersøge). Men som udgangspunkt får man jo hvad man betaler for, og har man ikke ville betale for en SIEM løsning, så er den ikke inkluderet i pakken. Når ting pliver sat i udbud, så skal alting jo være så billigt som muligt i stedet for så godt som muligt!

  • 8
  • 0
#2 Jens Rahbek

NETS har skam ifølge egne oplysninger implementeret en sikkerhedsstandard: PCI-DDS.

Ideerne i standarden er gode nok, men afhænger af implementationen. Der skal f.eks. være en overvågning af utilsigtede hændelser. Men hyppigheden er ikke fastsat i standarden. Etc. Dette er ikke usædvanligt i standardisering, men et uvildigt tilsyn skal så afgøre, om det er tilstrækkeligt for den pågældende virksomhed. Altså skal der være en regelmæssig auditering af et standardiseringsmæssigt kompetent organ.

Der mangler jeg adskillige oplysninger.

  • 1
  • 1
#3 Deleted User

Vi har tidligere gravet lidt i, hvad PCI-DDS-standarden betyder for sikkerheden. Den er i høj grad indrettet til at beskytte mod hackere eller sløset opbevaring, ikke et inside-job, og den giver falsk sikkerhed, lød det fra eksperterne:

http://www.version2.dk/artikel/strikse-pci-krav-reddede-ikke-datasikkerh...

http://www.version2.dk/artikel/pci-standarden-som-nets-er-underlagt-give...

vh.

Jesper, Version2

  • 2
  • 0
#4 Michael Rask Christensen

En SIEM løsning kunne have flagget et "insider job", hvis man havde fået konfigureret den korrekte overvågning OG hvis man havde afsat resourcerne til at overvåge alarmerne fra SIEM systemet. Men kort sagt, så kræver sikkerhed - også over for interne intruders - at man er villig til at investere de penge, det kræver. I øvrigt mener jeg at balladen startede allerede inden IBM overtog driften fra Nets, så man kan spørge sig selv, hvorfor Nets, der håndterer hovedparten af pengestrømmene i Danmark, ikke fra starten havde overvejet om det var tilstrækkeligt at stole på egne medarbejderes tro- og loveerklæringer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere