Nets fik høvl af myndighederne for dårlig sikkerhed to gange sidste år

Både Datatilsynet og Finanstilsynet har været efter Nets for ikke at leve op til persondata- og sikkerhedsreglerne. To gange fik Nets påtaler fra myndighederne i 2013.

Sikkerheden hos Nets er kommet i fokus oven på sagen om en medarbejder hos IBM, som i fire år ubemærket kunne lække fortrolige betalingsoplysninger fra Nets’ databaser.

Og mens Nets ikke for alvor vil fortælle omverdenen noget om firmaets sikkerhedsniveau, giver to påtaler fra myndighederne i løbet af 2013 et fingerpeg om, at sikkerhedskulturen hos Nets i hvert fald ikke har været perfekt.

Læs også: Tidligere Nets-ansat: Alle i kundeservice har adgang til danskernes kortoplysninger - og det bliver misbrugt

Læs også: Nets: Vi har skam kontroller mod datamisbrug - men vil ikke sige hvilke

I den første sag udtalte Datatilsynet, at man fandt Nets’ manglende kryptering af en webside ’kritisabel’, hvilket er sprogbrug i den hårde ende fra tilsynets jurister.

En borger havde opdaget, at Nets ikke brugte kryptering på en hjemmeside, hvor virksomheder skulle uploade dokumenter med følsomme oplysninger, herunder pas, kørekort, sygesikringsbevis eller skatteopgørelse. Dermed kunne disse dokumenter opsnappes af andre, når de blev sendt via internettet.

Borgeren fortalte Nets om problemet, både mundtligt og skriftligt i februar 2013, men Nets afviste at ændre på siden. Først da Datatilsynet gik ind i sagen, skete der noget, og Nets forklarede i et svar 7. maj 2013, at det var en fejl, at der ikke blev brugt kryptering på upload-hjemmesiden.

I afgørelsen, som på grund af stort arbejdspres hos Datatilsynet først blev offentliggjort i slutningen af april 2014, kritiserer tilsynet især, at Nets ikke reagerede allerede ved første henvendelse.

»Datatilsynet må desuden lægge til grund, at klager havde gjort Nets opmærksom på problemet inden klagen til Datatilsynet, men at Nets først i forbindelse med klagesagens behandling har undersøgt sagen og taget skridt til afhjælpning af fejlen. Samlet set finder Datatilsynet derfor det skete kritisabelt,« lyder konklusionen i afgørelsen.

Da Nets fik slået kryptering til, var det i øvrigt med den usikre protokol SSL 2.0, så en fornyet klage fra borgeren førte til, at krypteringen blev ændret til SSL 3.0 og TLS 1.0.

Fulgte ikke hvidvask-reglerne

En anden kritik af procedurerne hos Nets kom i 2013 fra Finanstilsynet, som undersøgte, om Nets overholdt reglerne om hvidvaskning af penge.

Nets fik i 2011 status som betalingsinstitut og blev i dette tilsyn vurderet i den funktion og ikke som 'datacentral', som Nets også er kategoriseret som. Allerede fra november 2009 skulle Nets leve op til hvidvask-reglerne, men det gjorde firmaet slet ikke, da Finanstilsynet var på besøg i 2013.

»For visse af instituttets betalingsformidlingsprodukter gælder, at procedurer for kundelegitimation først er iværksat i begyndelsen af 2013, hvilket Finanstilsynet har påtalt. For andre produkter gælder, at procedurer for kundelegitimation ikke er iværksat endnu,« skrev Finanstilsynet i sin offentlige afrapportering.

Resultatet var, at ’et betydeligt antal’ kunder dengang ikke havde vist tilstrækkelig legitimation, og Nets fik derfor et påbud om at bringe det i orden inden for en frist, som ikke bliver oplyst.

Læs også: Sådan beskytter du dig mod datamisbrug á la Nets

Ud over at have styr på, hvem der overfører penge via Nets, skal Nets ifølge reglerne også overvåge, om der er mistænkelige transaktioner. Det havde Nets heller ikke styr på.

»Det er Finanstilsynets vurdering, at instituttet ikke har indført procedurer specifikt med henblik på opfyldelse af hvidvasklovens krav om overvågning af kundetransaktioner, opmærksomheds-, undersøgelses- og indberetningspligt. Finanstilsynet har derfor påbudt instituttet at indføre tilstrækkelige procedurer på dette område,« skrev Finanstilsynet.

Og der var mere kritik dengang af Nets, som heller ikke havde en korrekt forretningsgang på hvidvaskområdet:

»Finanstilsynet har herudover påbudt instituttet at udarbejde tilstrækkelige skriftlige interne regler på hvidvaskområdet, idet den eksisterende forretningsgang er behæftet med mangler. Endvidere har instituttet fået påbud om at gennemføre tilstrækkelige procedurer for undervisning af relevante medarbejdere på hvidvaskområdet.«

Finanstilsynet har fået kritik for ikke at have ført tilsyn med Nets i fire år, hvilket er korrekt, hvis man ser på Nets rolle som datacentral og ikke den nye, supplerende rolle som betalingsinstitut.

Læs også: Finanstilsynet har ikke tjekket sikkerheden hos Nets i fire år

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Andersen

Borgeren fortalte Nets om problemet, både mundtligt og skriftligt i februar 2013, men Nets afviste at ændre på siden. Først da Datatilsynet gik ind i sagen, skete der noget, og Nets forklarede i et svar 7. maj 2013, at det var en fejl, at der ikke blev brugt kryptering på upload-hjemmesiden.

Det er efterhånden ret klart, at Nets ikke er sat i verden for at tjene menigmand, for hver gang almindelige borgere kontakter Nets omkring sikkerhedsbrister (sikkerhedsfejl, lækager) eller muligheder for forbedringer (JS client til NemID), så affejer Nets det med, at det skal man ikke blande sig i.

Først når styrelser og tilsyn skælder Nets ud, så bliver de tvunget til at agere. Det er da pinlig arrogance..

Man kan godt se, at Nets ikke har brug for kundetække. De har alligevel monopol, og pengene skal nok vælte ind trods alt.

  • 23
  • 0
Milos Game

Hvis køkkenet (Nets) er det eneste køkken der pt. kan (eller forsøger at) levere produktet, f.eks pga kontrakt, så kan du ikke lukke køkkenet ned, for der er ikke andre køkkener der kan tage over.
Hvis du hev stikket ud på køkkenet/Nets lige nu, ville du have kaos indtil 1) At Nets' kontrakt udløb 2) At et andet køkken kunne komme op i omdrejninger så det kunne overtage opgaven

Well played, Nets, well played.

  • 13
  • 0
Kasper Hovgaard

... [i]ikke[/i], at Nets er en doven og arrogant monopolist, men at det slet ikke har haft nogen konsekvenser for dem igennem så lang tid.

Men prøv evt. at besøge ressortministeriets hjemmeside (Justitsministeriet):
http://www.justitsministeriet.dk/arbejdsomr%C3%A5der

Der står ikke et pip om persondatasikkerhed. Derimod er f.eks. regler for flagning med Dannebrog (eller fremmede magters flag) helliget en egen sektion! ;)

  • 6
  • 0
Nicolai Rasmussen

Dette forum besøges af Danmarks største ressourcer på området. Er der ikke nogen der kunne forsøge at komme op med en rigtig plan for hvordan man får løst dette problem? Jeg tænker ikke på hvordan man kan lave den rette arkitektur, implementering af en given standard eller den rette procedure. Det jeg tænker på er en plan for hvordan man kan undgå Nets får adgang til ens data og NemID. Nets har igennem mange år haft en dybt kritisabel kultur omkring deres systemer og deres arkitektur. Det er ikke alt det som offentligheden brokker sig over der er berettiget, men tænk lige over hvor mange af de problemer de har som aldrig når offentligheden!? Der må være så mange fundamentale fejl hos Nets, at det ikke giver mening at forsøge at fixe problemerne. Hvis de selv (ledelsen) var i stand til at se problemerne, så ville man ikke slæbe rundt på de samme problemer i årevis. Der er sikkert enkelte medarbejdere der godt kan se problemerne, men hvis de havde nogen reel inflydelse ville ledelsen selvfølgelig have ageret. Derfor må man konstatere at det bedste vil være at distancere sig og fjerne sine egne data. Hvis der var en valgfrihed, så kunne Nets leve videre med en kundebase som er for doven til at skifte eller som på anden vis synes godt om deres setup. Vi andre der har mistet tilliden fuldstændigt kunne benytte et alternativ.

Hvordan får man lavet en plan for implementering af valgfrihed? Er der nogen EU regler om data-adgang man kan benytte? Er der en teknisk mulighed for noget? Kan man lægge sag an mod Nets? Mod staten? Mod Bankerne måske? Kan man påvirke politikerne? Kan man lave en demonstration (proof of concept) af hvad problemet er? Kan man lave en endeløs række af ubenægteligt eksempler på hvordan problerne i Nets ikke bliver imødegået proaktivt? Kunne Nets blive bragt i så stor mistillid i befolkningen, over så lang tid, at folketingspolitikerne til sidst fik ændret lovgivningen?

Er der nogen der har en ide om hvordan denne krig bedst kan kæmpes? Der er altid indlæg i dette forum om hvor problematisk det er - Er Nets et vilkår, eller er det noget der kan gøres noget ved? Hvis det er det sidste, så kom med et bidrag til krigen mod Nets dataterror.

Nogen må hjælpe, de har taget mine data som gidsel.

  • 4
  • 0
Log ind eller Opret konto for at kommentere