Ny Nets-ejer har ejet følsomme KMD-data i halvandet år

Kapitalfonden Advents, der er blandt de nye ejere af Nets, har ejet KMD siden oktober 2012. Og KMD opbevarer også mange følsomme oplysninger om danskerne.

Skal man som dansker være bekymret over, at Nets nu er blevet solgt og ikke længere ejes af de danske banker, men af to store amerikanske kapitalfonde samt den danske pensionskasse ATP?

Læs også: Nets solgt til tre kapitalfonde for 17 milliarder kroner

I så fald har der været grund til bekymring i et stykke tid, for den ene nye Nets-ejer, kapitalfonden Advent, har siden oktober 2012 ejet KMD, hvor der i højeste grad bliver behandlet følsomme data om danskerne.

KMD driver nemlig, på grund af firmaets fortid som Kommunedata, en lang række it-systemer i kommunerne med alle tænkelige personlige data om borgerne. I 2008 blev KMD solgt af de danske kommuner, med kapitalfonden EQT og pensionskassen ATP som nye ejere, og i 2012 blev KMD altså solgt til en ny kapitalfond, amerikanske Advent, der nu er blevet medejer af Nets.

Digitaliseringsstyrelsen har da også netop peget på mange års outsourcing af staten og kommunernes it-opgaver til firmaer som CSC og KMD, da spørgsmålet om salget af Nets fik opmærksomhed i kølvandet på salget af en andel af Dong Energy til Goldmann Sachs.

Siden 1996, hvor CSC købte statens it-selskab Datacentralen, har et stort amerikansk firma således drevet både politiets og forsvarets vigtigste it-systemer. Det sker dog på dansk grund, for det er et af kravene i kontrakten. Og netop en stærk kontrakt vil sammen med dansk lov også beskytte den information om danskerne, som Nets gennem Dankortet og NemID bestyrer, har Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen, tidligere forklaret.

Læs også: Digitaliseringsstyrelsen: Salg af Nets er ingen trussel mod danskernes data

Udover Dankort, Betalingsservice og andre tjenester, som bankerne har udviklet gennem årtier, driver Nets også NemID gennem selskabet Nets DanID.

NemID er et produkt, som Digitaliseringsstyrelsen køber af Nets, men hvor kontrakten også rummer en lang række krav om beskyttelse af data, ekstern revision af sikkerheden og lignende. Aftalen med Nets var dog ikke god nok til at beskytte tjenesten mod et DDoS-angreb i foråret 2013, der havde kostet 10 dollars at bestille i den digitale underverden.

I takt med digitaliseringen af flere offentlige services bliver NemID i dag brugt til alt fra huskøb gennem digital tinglysning til at logge ind på Sundhed.dk og læse egne patientjournaler.

Siden designet af NemID-infrastrukturen blev offentligt, har en række it-folk med kryptografisk forstand været meget kritiske, fordi alle transaktioner skal forbi Nets’ servere.

Med en traditionel digital signatur har brugerne en privat nøgle, som de selv kontrollerer, mens alle brugernes offentlige nøgler er samlet hos udbyderen af løsningen. Men med designet af NemID-løsningen gik man imod det princip og lod Nets DanID kontrollere både den private og offentlige nøgle for brugerne. Derfor skal man som bruger stole på, at Nets ikke misbruger den magt det giver at have begge nøgler, for eksempel til at udgive sig for at være en bestemt person.

Alt dette er selvfølgeligt også beskyttet af juridiske aftaler og lovgivningen, og ifølge Nets DanID er hele signatur-løsningen låst med brugernes selvvalgte adgangskode, som Nets ikke kender. Var folkene hos Nets fast besluttede på at opsnappe denne kode, kunne det dog ske for eksempel ved at lægge spion-kode ind i den Java-applet, som kører på brugernes computer, når de skal logge på NemID.

Skrækscenarierne om misbrug og overvågning er i nogen grad teoretiske, men har fået ny næring i lyset af de mange afsløringer om NSA’s overvågning af kritisk infrastruktur verden over. At Nets nu er på amerikanske hænder har derfor fået en anden betydning end for bare et år siden, før Edward Snowdens afsløringer begyndte at rulle. Og rent juridisk kan de amerikanske myndigheder kræve af amerikanske firmaer, at de udleverer oplysninger fra udlandet, har juraprofessor Henrik Udsen tidligere advaret.

Læs også: Professor: Salg af Nets kan give USA adgang til NemID-data

Data fra Dankort-transaktioner og NemID-systemet har dog længe været i hænderne på et amerikansk firma, for Nets har brugt IBM som leverandør. De for Danmark så kritiske it-systemer bliver drevet fra IBM’s datacentre på dansk jord.

Hvad sker der med firmaet Nets?

Et andet spørgsmål, som salget af Nets rejser, er om der bliver lavet drastisk om i firmaet. De nye ejere har meldt ud, at der ingen ændringer er på vej, men målet for kapitalfondene er naturligvis at få gjort Nets mere værd. Kapitalfondene arbejder typisk med en tidshorisont på 3-5 år, hvorefter Nets skal sælges igen, eller måske børsnoteres. Indkøbsprisen på 17 milliarder kroner skal hentes hjem igen med en god milliardgevinst oven i.

Da KMD blev solgt første gang i 2008, gik spørgsmålene mest på, om KMD ville blive splittet op, eller om der skulle fyres mange medarbejdere.

Siden 2008 har de nye ejere effektiviseret selskabet, fortalte fællestillidsmanden hos KMD til Version2 i 2012, da kapitalfonden Advent blev nye ejere af KMD. Der er samme antal ansatte, men alle skal løbe hurtigere, for omsætningen er steget med 30 procent, lød meldingen fra Erik Lykke Hansen dengang.

Læs også: KMD-tillidsmand om nye ejere: Frygter at skruen bliver strammet igen

Udover flere fyringsrunder i løbet af årene, har der dog ikke været dramatiske ændringer i KMD. Men strategien er skiftet lidt under de nye ejere, så der nu er sat fokus på at få flere opgaver i udlandet.

Læs også: Interview: Nu vil KMD erobre udlandet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kenn Nielsen

Indenfor de seneste 18 måneder, har jeg ingen indikationer på at mine private oplysninger er blevet kopieret og udleveret til trediepart.

Og jeg har endnu mindre indikation af de er udleveret til kriminelle formål.

  • Det er rigtigt godt nyt.

Nu ved vi at vor elektroniske ihændehaverfuldmagt ligger 101% sikker hos nets under de nye ejere.

K Sarkasme, og ironi kan frit tilsættes.

  • 15
  • 0
#3 Deleted User

Vi har jo haft bollerne hængende ud over buksekanten siden første fase af salget af Tele Danmark i 1994. Alt hvad der sker er at amerikanerne stille og roligt får et bedre og bedre greb.

  • 4
  • 0
#4 Kristian Sørensen

Nu er problematikken omkring virksomheder i USA...

...først kommet frem i lyset når en vis hr. Snowden besluttede sig for at tage NSA's Hellige Gral til Rusland og offentliggøre den for hele verden.

Nej.

Snowden leverede bevis for det der før var kraftige indicier på.

Desuden leverede Snowden bevis for at omfanget var større end selv de mest pessimistiske havde troet.

Men før Snowden var der rigeligt med indicier på hovedtrækkene i USAs opførsel og rigeligt med beviser på enkeltdele af USAs opførsel, til at afvise at overlade følsomme data til virksomehder under USAs indflydelse eller kontrol

  • 9
  • 0
#6 Erik Jacobsen

Fungerer Netz som totalleverandør af slutbrugernes (borgernære) applikationer: nemid , dankortløsning, eboks m.m. ? eller hvad? Er Netz-forretningen opdelt i prod.-software, prod.-data, vedligehold, test og udvikling, således at prod.-data kan holdes væk fra Netz og andre udvedkommende ? eller hvad ? Jeg har nok haft opfattelses af at Netz er et software firma der sælger softwarepakker lidt i modsætning til et datacenter der driver systemer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere