Nets: Vi har skam kontroller mod datamisbrug - men vil ikke sige hvilke

Illustration: leowolfert/Bigstock
Kundeservicemedarbejdere skriver under på, at de ikke må misbruge deres omfattende adgang til danskernes betalingsdata. Hvad der ellers er af sikkerhed, vil Nets ikke fortælle nu.

Holdet af kundeservice-medarbejdere hos Nets har nem adgang til fortrolige betalingskort-oplysninger om danskerne - og kunne lige så nemt tjekke eks-kærestens betalinger og færden. Sådan skrev Version2 tidligere fredag, ud fra oplysninger fra en tidligere medarbejder hos Nets.

Læs også: Tidligere Nets-ansat: Alle i kundeservice har adgang til danskernes kortoplysninger - og det bliver misbrugt

Men hvorfor blev det ikke opdaget af intern kontrol og gennem logning af den betroede adgang til databaserne, at den nemme adgang blev misbrugt?

»Vi kan ikke sige noget detaljeret om hvilke kontroller, vi har, fordi det er en del af den undersøgelse, vi er i gang med at lave internt, i forlængelse med den større anklage, som har været ude hele ugen. Det er noget, vi arbejder på med politiet,« siger Søren Winge, pressechef hos Nets, til Version2.

Kontrollerne forbliver vel de samme?

»Ja, men derfor har vi ikke lyst til at udtale os om de mere systemmæssige kontroller. Men vi har en række kontroller, hvor vi screener vores medarbejdere, sørger for de har en ren straffeattest, de skal underskrive fortrolighedserklæring. Vi uddanner dem i procedurer og arbejdsgange og giver tydelig instruks om, hvordan de skal forholde sig til den tillid, der er dem givet i det omfang, at de skal sidde og tilgå fortrolige data. Det skal man jo kunne i et omfang, når man sidder i kundeservice.«

»Det er korrekt, at medarbejderne har adgang til at tilgå data i et vist omfang. Det gør vi dem også klart opmærksomme på, hvad rammer er for - at man alene skal tilgå data med arbejdsmæssig relevans. Jeg vil meget nødig ind på, præcis hvad kundeservicemedarbejdere kan kigge på, og i hvilke funktioner. Men det er klart, at der i større eller mindre omfang er adgang til at tilgå fortrolige kundedata og transaktionsdata. Det skal de kunne tilgå for at kunne passe deres arbejde.«

Det, jeg har fået fortalt, er at det ikke kræver andet end et navn at få adgang til kundedata, fordi man kan slå resten op i databasen over udenlandske betalingskort.

»Jeg vil nødig ind i, hvad man kan i de forskellige databaser og hvilke informationer, man kan udtrække. Men der skal ikke være tvivl om, at medarbejderne bliver gjort meget bevidste om, hvad de må og ikke må. Og det kan være relevant at foretage opslag for at finde fortrolige data. «

»Det billede, du tegner i din artikel, det er ikke et billede, vi kan genkende fra vores kundeserviceafdeling.«

Pointen er jo også, at der kan ske misbrug, uden det bliver opdaget.

»Ja, det er selvfølgeligt en diskussion. Nu er der mange gisninger om, hvilke kontroller vi laver, det vil vi ikke kommentere på nuværende tidspunkt. Jeg kan sige, at vi har haft sager, hvor de var inde steder, hvor de ikke bør kigge. Ikke på baggrund af misbrug som sådan, men måske på baggrund af nysgerrighed. Det har vi slået ned på i de få situationer, det er sket. Det er også derfor, vi mener at kunne tro, at det ikke er en udbredt praksis.«

Men kan I med sikkerhed sige, at der ikke er mange andre situationer, hvor I ikke har opdaget det?

»Jeg vil ikke spekulere i, hvad der kan have været af konkrete eksempler, som vi ikke måtte have opdaget. Det er klart, at vi i vidt omfang er afhængige af tilliden til de her medarbejdere, som klart har skrevet under på, hvad de må og ikke må. Hvis de misbruger den tillid, og overtræder de grænser, så kan det være, at det ikke er alle sammen, vi fanger. Men det er altså noget, vi er meget bevidste om og følger op på. Vi føler, at der er en udbredt forståelse blandt medarbejderne for det her.«

Var det ikke bedre, at der var en stærkere teknisk kontrol, end at skulle basere sikkerheden på tillid til typisk unge mennesker, som kommer ind og arbejder deltids?

»Jeg tror aldrig nogensinde, du vil få fuld kontrol uden tillid. Det vil være umuligt at kontrollere sig ud af alt. Og vi har ikke lyst til at diskutere lige nu, hvilke kontroller vi har, på baggrund af den undersøgelse vi er i gang med, som skal kortlægge det. Det vil vi først danne os et fuldt og helt billede af, før vi forholder os mere konkret til det.«

Hvor mange sager har I haft?

»Det vil jeg heller ikke give et tal på. Det er mere for at sige, at det er altså noget, vi slår ned på og forholder os til med meget kritiske og alvorlige øjne.

Og det har ført til fyringer?

»Ja. Jeg vil ikke komme ind på hvor mange.«

Har det ført til politianmeldelser?

»Det vil jeg heller ikke komme ind på. Jeg vil bare sige, at det er noget, vi følger op på, når vi ser det, og det er noget, vi holder øje med i det hele taget.«

Du siger, I uddanner medarbejderne i politikkerne for adgang til data. Kan du løfte sløret for, hvad det omfatter?

»Nej, det vil jeg ikke gå mere detaljeret ned i. Nu har det været fremme, at det er studerende, der kommer ind på deltid. Vi gør os meget umage for, at de er parate til at løse den opgave, de får, og at de er bekendt med, hvad man må i systemet, og hvilket ansvar, der påhviler en. Det sørger vi selvfølgeligt for.«

De oplysninger, jeg har fået, er, at der ikke i den test, man skal bestå for at fortsætte arbejdet, er spørgsmål om etik eller hvad man må og ikke må.

»Det står jo også, i kontrakt og fortrolighedserklæring, meget klar hvad man må og ikke må.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Er dog imponeret over at Søren Winge indrømmer at de overhovedet har haft eksempler på misbrug, men det er højst sandsynligt nok blot et forsøg på et gendrivelsesargument, som en hver dansk gymnasie-elev lærer.

Det jeg tager ud af artiklen er at han ikke aner hvad "system-tekniske" kontroller de har, og hvis han ved det, så har de slet ingen. Det kan ses på at han igen og igen afviser at nævne bare en smule om det fordi politiet undersøger sagen. Hvad betyder det? Medarbejderne er vel bekendt med i hvert fald de mest åbenlyse af dem?

Han skulle bare have sagt: "Ja vi logfører alle opslag. Politiet kigger på dem nu.". Det ville ikke få betydning for efterforskningen og så ville Nets faktisk ligne omend bare minimalt kompetente typer. Skal vi vædde med den logning ikke finder sted, aldrig har gjort, og sikkert aldrig kommer til det?

En anden ting jeg bider mig fat i, som underbygger vores alle sammens værste forventninger:

Og vi har ikke lyst til at diskutere lige nu, hvilke kontroller vi har, på baggrund af den undersøgelse vi er i gang med, som skal kortlægge det.

Det er forhåbentligt en talefejl, fordi ellers siger han at de ikke aner hvilke kontroller de har, og politiet gerne skulle kunne fortælle dem om der er noget der er brugbart? Undersøgelsen går vel forhåbentligt på hvem der har haft adgang til hvad, og om kontrollerne er tilstrækkelige (hvilket de 100% ikke er), og ikke blot en undersøgelse af hvilke der er?

Thomas Larsen

Og vi har ikke lyst til at diskutere lige nu, hvilke kontroller vi har, på baggrund af den undersøgelse vi er i gang med, som skal kortlægge det. Det vil vi først danne os et fuldt og helt billede af, før vi forholder os mere konkret til det.

Det er meget tydeligt på baggrund af den udtalelse fra Søren Winge at Nets overhovedet ingen kontrol har og at de prøver at købe sig tid gennem undersøgelsen i håbet om at den politiske opmærksomhed på problemstillingen vil være drevet over før de er færdig med deres undersøgelse som formodentlig heller ikke vil blive offentliggjort.

Vi må kræve af vores ansvarlige politikere at de omgående sørger for at gøre det lovpligtigt at NETS, teleselskaber, banker, forsikringsselskaber, internet-udbydere og andre forvaltere af personfølsomme data indfører fuld sporbarhed på opslag i vores personlige data.

Samtidig må vi kræve af NETS at de offentliggør deres undersøgelse og øjeblikket indfører logning af alle medarbejderes opslag i vores personlige oplysninger!

Tom Behnke har faktisk fat i den lange ende når han siger at der skal indføres krav om logning og involvering af mindst to medarbejdere ved login til redigering i meget følsomme systemer.

Peter Makholm Blogger

Jeg er noget forbløffet over hvor stor tiltro Søren Winger giver udtryk for at have til straffeattester, når han ikke helt klart giver udtryk for at det er en selvfølge at folk der bliver taget i at lække fortrolige informationer bliver politianmeldt.

Straffeattesterne er ikke mere værd end de dataansvarliges velvilje til at politianmelde forseelser.

Det skal være soleklart for enhver der enten søger arbejde hos Nets eller hvorom Nets behandler personfølsom data er enhver krænkelse af Nets integritet vil blive mødt med en politianmeldese der vil forhindre folk i at få arbejder i lignende funktioner.

Henrik Pedersen

Hvis en virksomhed er tilkoblet CPR registret er det allerede et krav (i følge tilslutningsaftalen) at logføre hver eneste opslag i dette, samt hver eneste bruger som kigger på dette, med start og sluttidspunkt på sessionen. Du er endda forpligtet til at opbevare disse informationer i "aflåst skab" (meget moderne i IT Danmark?), og kunne forevise disse informationer på forlangende. Organisationen skal have udpeget en IT sikkerheds-ansvarlig som har til opgave jævnligt at læse disse logfiler igennem og at stå inde for dem.

At Nets er opkoblet til CPR, går jeg ud fra, da de allerede har vores CPR numre. Om disse regler så gælder for dem, er en helt anden sag.

(Det kunne ellers være sjovt hvis de kom i problemer fordi CPR registret koblede dem af!)

Thue Kristensen

Her er det at security by obscurity bliver en måde at skjule sine sikkerhedshuller på.

Før NemID blev omgået, med et hul jeg havde pointeret over ITST et år før, så svarede Nets mig også at de ikke kunne sige hvorfor det ikke var et hul, men at de havde hemmelige sikkerhedsmekanismer som ville beskytte mod det. http://www.version2.dk/artikel/paerelet-narre-nemid-fra-dig-med-klonede-...

Min tillid til Nets' hemmelige sikkerhedsmekanismer kan ligge på et meget lille sted.

Thue Kristensen

Det skal være soleklart for enhver der enten søger arbejde hos Nets eller hvorom Nets behandler personfølsom data er enhver krænkelse af Nets integritet vil blive mødt med en politianmeldese der vil forhindre folk i at få arbejder i lignende funktioner.

Men hvis det var blevet politianmeldt og kommet for retten, mon ikke det så var kommet i medierne? Hvorfor ikke bare afskede vedkommende, med en underforstået aftale om at hvis du holder mund, så politianmelder vi dig ikke. Win-win for Nets og krænkeren.

Alex R. Tomkiewicz

Et problem kan også være at ledelsen i Nets tror at de har kontroller, men at disse kontroller i virkeligheden er et fata morgana. Kontrollerne eksisterer i dokumenter med sikkerhedsprocedurer som ikke er implementeret nogen steder. Når IT-revisionen ser disse sikkerhedsprocedurer konkluderer de at alt er i orden - for meget mere gør man ikke ud af den kontrol. Og så ser det jo for ledelsen ud som om alt er i orden. I hvert fald hvis man stikker fingrene i ørerne og synger la la la la når nogen gør opmærksom på det modsatte :-)

Peter Makholm Blogger

Hvorfor ikke bare afskede vedkommende, med en underforstået aftale om at hvis du holder mund, så politianmelder vi dig ikke. Win-win for Nets og krænkeren.

Spørgsmålet er om Søren Winge og Nets tror at straffeattester øger sikkerheden eller de er bevidste om at det bare er spin.

Hvis de tror at straffeattester har en betydning, så må det være på grund af at de har en tiltro til at folk der har tænkt sig at lække oplysninger på et tidspunkt rent faktisk er blevet opdaget og retsforfulgt. Det betyder i hvert fald at Nets må have en formodning om at andre vil politianmelde kriminelle. Om man så griber fat i spilteori eller Kants Imperativer så betyder det at det ikke er en Win-situation for Nets hvis det er almindelig praksis at lave den slags aftaler.

Men det forudsætter selvfølgelig at de tror på at det har en reel nytteværdi at tjekke straffeattester.

Thue Kristensen

Om man så griber fat i spilteori eller Kants Imperativer så betyder det at det ikke er en Win-situation for Nets hvis det er almindelig praksis at lave den slags aftaler.

Det kaldes et CC–PP spil, tror jeg nok, bedre kendt som Tragedy of the Commons. Og pointen er netop er der ikke er nogen motivation for Nets til at anmelde personen. Mens Nets nyder godt af når andre anmelder.

Nets har jo heller ikke nogen-som-helst positivt i selv at gå forrest. Nets ved jo godt at personen ikke er til at stole på, så Nets vil jo ikke ansætte ham igen lige meget hvordan hans straffeattest ser ud.

Hele vores moderne kapitalistiske virksomhedsstruktur er jo bygger op om at handle selvisk, i håb om at det skaber værdi for samfundet som helhed. Det bør ikke være en overraskelse når en virksomhed handler selvisk.

Thomas Blume

Reaktionerne på NETS lækage er generelt noget forfejlede og navlebeskuende (naturligt at journalister instinktivt føler, at vi har en medieskandale). Men det foruroligende er, at en virksomhed som NETS direktion og bestyrelse ikke umiddelbart bliver forsøgt stillet til regnskab overfor forhold, der kunne have ledt til målrettet terror eller afpresningskriminalitet. Her burde justitsministeren på vores allesammens vegne (også de kendtes) - indlede retslige skridt mod NETS. Men justitsministeren synes mere opsat på, at lave nye regler og registreringer (suk), rettet mod individer.

Søren Hübertz Thomsen

For mig er det helt utænkeligt, at der ikke sker fuld logning af opslag, når man sidder med data på hele befolkningens kreditkort.
Men så kommer jeg i tanke om, at det er amatørerne i Nets, der har opgaven. Et par gange om året underholder de jo hele befolkningen med talentløse Javaopdateringer og nedbrud, der med lethed kunne have været undgået. Denne sag viser bare hvilket højt niveau, de holder på deres skandaler!

Jakob Damkjær

Hver gang der er nogen der kigger på dine oplysninger i systemet får man besked.
Hvis man så er en griefer og klager uden grund må et review board vurdere de sager.

På sundhed.dk får folk et fysisk brev når nogen andre end deres egen læge slår
sundhedsoplysninger op på sundhed.dk...

Hvorfor er det ikke muligt med vores kredit oplysninger .

søren ploug

Al internettrafik som jeg har gang i logges af min udbyder - det SKAL gøres, uanset at det i flg. EU -domstolen er en overskridelse af mine borgerrettigheder.
Men en tilfældig ansat hos NETs snagen i vore mest fortrolige data ser man ingen grund til at logge ...
Hvor mange Tys-Tysser har vi IKKE hørt om - f.eks. fordi de har leveret oplysninger til f.eks. kriminelle ?

Ebbe Hansen

Fra politiken

Kortselskabet Nets arbejder i døgndrift: Redegørelser om Se og Hør-skandale ventes i den kommende uge.

Om få dage får Finanstilsynet en redegørelse fra Nets om Se og Hør-skandalen, hvor en tidligere medarbejder er under mistanke for at have solgt oplysninger om kendte og kongeliges kreditkortoplysninger til ugebladet Se og Hør.

Lidt utroligt, at man har sat strafferammen for den her type ansvarspådragende adfærd så lavt, at nets får mange døgn til at skjule deres fejl og mangler.
Det burde være en relevant myndighed, der undersøgte nets. Men resultatet bliver vel det samme som alle de andre gange, firmaet ikke har leveret varen, fx Årsagen til NemID-kaos:

s_ mejlhede

Skal de ikke ALLE sammen ind og side sammen med Gottfrid Svartholm Warg.
De kan jo ødelægge og fjerne beviser på at der er foregået noget ulovligt, eller få nogen til det.

Hvorfor er NET, IBM og S@H PC-er, Mail, LOG og andet EDB udstyr ikke konfiskeret eller hentet og beslaglagt af Politiet.

Hvorfor er administrator, ansatte som har haft adgang til data ikke bag lås og slå, så de ikke kan ødelægge, forfalske eller fjerne beviser. Eller få andre til det.

Her er det jo bevistlig videregivet ulovligt materiale, til og fra nogen.
Hvad vi formoder politi ikke kan bevise mod Gottfrid, da han så ikke ville være varetægtsfængslet.

s_ mejlhede

Skal de ikke ALLE sammen ind og side sammen med Gottfrid Svartholm Warg.
De kan jo ødelægge og fjerne beviser på at der er foregået noget ulovligt, eller få nogen til det.

Hvorfor er NET, IBM og S@H PC-er, Mail, LOG og andet EDB udstyr ikke konfiskeret eller hentet og beslaglagt af Politiet.

Hvorfor er administrator, ansatte som har haft adgang til data ikke bag lås og slå, så de ikke kan ødelægge, forfalske eller fjerne beviser. Eller få andre til det.

Her er det jo bevistlig videregivet ulovligt materiale, til og fra nogen.
Hvad vi formoder politi ikke kan bevise mod Gottfrid, da han så ikke ville være varetægtsfængslet.

Tommy Larsen

Morten Helveg [R] lod sig åbenbart støde af overvågning og anmelder sagen til politiet. Bravo en politiker føler sig ramt på privatsfæren.

Hvor er de andre politiker så ...? som råber på "ingen ulovlig overvågning af danskerne" næ det lader i jo andre efterretningsvæsner om i modydelser.

Hvem er egenligt mest råddent Nets / IBM ..og til jer politiker vil i skide i havet med jeres løgnhistorier gang på gang, mundlamme mundvige, men når i selv rammes uha ...a la Morten Helvig !

Politikernes folke forførelse "løgnen" vil ingen ende tage...alle ugeblade kender synderen åbenbart ..blot ikke politiet ..på et tidspunkt. Underholdning på et sølvfad.

Har politikerne egenlig rygrad til at stoppe det her ?

Tommy Larsen

Enhver sygehus ansat alt efter behov, kreative lyster kan jo også gå i visse register - kikke i "snage" om din personlige forhold, bopæl civilstand osv osv.

Tilliden til systemet er jo pil råddent - når selv en Skat medarbejder står på et kursus og meddeler vi hacker pcer....dog efterfølgende løbet over ende af chefen for Skat ..."det sker ikke" så siger det lidt om hvad mennesker med fluer i hovedet kan finde på ..og det er ikke småting.

Så bare et tips skal du søge om banklån så gør ikke alle dine indkøb på en tankstation for bankmanden vil nok mene du bør være mere påholdende med dine indkøb et sådan sted, "du ser bare ikke hans skærmbilled af dine transaktioner" neb det gør han, derfor fik du nej til banklån !

I enhver forretning er det guld værd at vide lidt om modparten.

Henrik Wahlberg

»Ja, men derfor har vi ikke lyst til at udtale os om de mere systemmæssige kontroller.

Det ligner jo den grundliggende sikkerhed som er "indbygget" is Nem-ID: Security by obscurity.

En eventuel offentliggørelse af kontrollen ku jo føre til en del kompetente forslag som man kan bruge en frygtelig masse tid til at forholde sig til og ultimativt at implementere. Det vil uden tvivl gå ud over overskuddet.
/henrik

Tommy Larsen

Nu forlyder det at myndigheder som reelt burde omgås [elementært så vitalt system] ikke på noget tidspunkt har gjort sig interesse i disse driftsystemer så enhver lige fra piccolo til andet personale var en åben ladeport INTET har myndigheden efterprøvet er det sikkert nok !

Siger det ikke enhver borger i dette samfund noget er rivende ravende galt.

Nu må ordbogen frem igen ...embedsmænds brug af "nødløgnen" det her kan simpelhen ikke være sandt.

Det er deletant naivitet fra NETS at selv en fotograf kan spotte personlige højst personlige oplysninger hos en underleverandør til NETS gennem et vindue tage foto af det ude fra på en opslagstavle, det er jo klimax af blåøjet intelegentsbefriet optræden.

"Snowdens udsagn kommer sandelig til sin rette" og Nets er nu på andre hænder med ATP velsigelse hvad den så er værd... "tak til det danske bankvæsen og deres fråden om overskud"

Michael Dreves Beier

Hvis man gerne vil vide lidt mere om hvad Nets har af sikkerhed, eller hvilke krav de som minimum skal opfylde, i forehold til kreditkort data, så kan man kigge i PCI standarden. Den er offentlig og kan downlaodes fra http://picsecuritystandards.org. Nets bliver auditeret hvert år af en engelsk firma som hedder Foregenix, www.foregenix.com. Listen over hvem som auditerer hvem kan man finde hos VISA Europe, http://www.visaeurope.com/en/businesses__retailers/payment_security/serv...

Hvorfor er der ikke en politikker eller en journalist som begynder at grave i hvordan det er gået med de audits, i stedet for at tale om Datatilsynet og Finanstilsynet som ikke har noget med kontrollerne at gøre, reelt ??

Finn Christensen

På sundhed.dk får folk et fysisk brev når nogen andre end deres egen læge slår sundhedsoplysninger op på sundhed.dk...

Mumbo jumbo, som så meget andet gummisnak.

Og så er der lige den og den § stk. zz, med undtagelser hvor GGG kan .... og HHH kan ..., og så må du ikke glemme § stk. zz.1, der vedører terror, vorherres sikkerhed ..

Hvilke uafhængige og troværdige professionelle laver audit på systemet
- hvor hyppigt
- hvor omfattende
- hvor er disse rapporter (uredigeret)
- hvor er det oplyst til borgeren.

Log ind eller Opret konto for at kommentere