Tidligere Nets-ansat: Alle i kundeservice har adgang til danskernes kortoplysninger - og det bliver misbrugt

2. maj 2014 kl. 10:5959
Det er ikke kun it-specialister hos Nets, som har fuld adgang til databaser over brugen af betalingskort. Holdet af unge kundeservicemedarbejdere har samme ubegrænsede adgang - og misbruger det, afslører tidligere ansat.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det var normalt blandt ansatte hos Nets at misbruge adgangen til danskernes brug af betalingskort, for eksempel for at snage på kendte mennesker eller ekskærestens forbrug. Det fortæller en tidligere ansat til Version2.

Sagen om en tidligere ansat hos Nets, som gennem fire år solgte fortrolige kundedata om kendte og kongelige har sat spekulationerne i gang om datasikkerheden og de interne procedurer hos Nets. Og Version2 kan nu afsløre, at det ikke krævede særlige beføjelser eller administratorrettigheder at få disse oplysninger frem, hvis ansatte ønskede at snage i andres privatliv. Det fortæller en tidligere ansat hos Nets, som Version2 kender identiteten på, og som var ansat samtidigt med, at en it-medarbejder hos Nets' leverandør IBM solgte oplysninger til Se og Hør.

Medarbejderne kunne generelt let slå op i databaserne for Dankort og de internationale kort og holde øje med, hvor et betalingskort var blevet brugt, og hvor meget der var købt for.

»Lige så snart, kortet bliver sat i en terminal, kan du se, hvor folk er henne, og hvad de har brugt af kroner i hvilke butikker - også i udlandet og ved kontanthævninger. Vi kunne også se, hvad forretninger omsatte for. Problemet er, at det var alle, som havde adgang til de her oplysninger,« fortæller kilden til Version2, på baggrund af flere års ansættelse hos Nets.

Artiklen fortsætter efter annoncen

Og den adgang blev misbrugt af de ansatte, for eksempel i kundeservice-afdelingen, hvor især unge mennesker bliver ansat som ufaglært arbejdskraft.

»Det var normalt at kigge på, hvad ekskærester og kendte personer brugte deres kort til. Eller at se, om kæresten, der var holdt op med at ryge, alligevel havde været i kiosken og købe cigaretter. Hvis ens venner var i byen, kunne man se hvor de var henne,« fortæller Version2’s kilde, ud fra sine egne oplevelser hos Nets.

I kundeservice fik nye medarbejdere adgang til alle kundedata fra første dag på arbejdet, og der var ikke nogle alarmer, der gik, eller nogen påtale af misbruget af den omfattende adgang til kundernes data.

Om der blev ført en log over de ansattes opslag i databaserne over transaktioner, kan Version2’s kilde ikke afvise, men der var i hvert fald ikke overvågning nok til at opdage, at der blevet lavet mange ulovlige opslag, pointerer den tidligere medarbejder. De ulovlige opslag blev flettet ind mellem de legitime opslag, og i kundeservice var det på grund af arbejdsopgaverne ikke mistænkeligt at slå tre kort op på et minut.

Kunne finde CPR-numre via udenlandske kort

Adgang til data om danskernes brug af Dankort og Visa/Dankort er beskyttet på den måde, at man skal bruge et CPR-nummer eller kontonummer for at få adgang. Men det var sjældent en forhindring, for listen over udenlandske kort kunne bruges til at finde et CPR-nummer.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Med Mastercard og Visa Electron og de andre kunne man søge på navn og så sortere efter for eksempel fødselsår for at finde en person. Så kan man se personens CPR-nummer der og få adgang til de danske bankdatacentraler med Dankort-transaktioner. Og rigtig mange danskere har et udenlandsk kort ved siden af, for bankerne har været meget glade for at udstede dem,« siger kilden.

Kendte man ikke det fulde navn på en person, var det som regel muligt at finde på for eksempel Facebook eller andre sociale tjenester.

»Nu handler sagen om oplysninger, der blev solgt til Se og Hør. Men det kunne lige så godt være rockergrupper, som køber de her oplysninger for at finde en person,« siger den tidligere medarbejder.

Selvom Nets har dækket sig ind juridisk i ansættelseskontrakter i forhold til misbrug af data, var det ikke et emne, som kom op undervejs i ansættelsen hos Nets.

Heller ikke i kundeservice-afdelingen er der nogen undervisning om disse emner eller løftede pegefingre. Oplæringen af nye medarbejdere sker som sidemandsoplæring igennem nogle måneder, og så skal man bestå en lille test for at fortsætte.

»Den handler om, hvordan man løser forskellige opgaver. Der er ingen spørgsmål om etik,« siger kilden.

Version2 har bedt Nets om en kommentar til den tidligere ansattes beretning om datasikkerheden hos Nets. Den eneste melding, Nets ønsker at give, er, at alle ansatte skriver under på, at de kun må tilgå data, som er nødvendige for at løse arbejdsopgaverne, samt at de ikke må videregive data. Desuden er der krav om ren straffeattest, oplyser Nets.

Emner
59 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
58
Anders Kjærgaard Hansen
5. maj 2014 kl. 08:31

EFter at have tænkt lidt over konsekvenserne, så giver ovenstående indlæg en del at tænke over.

Et er at politi og vores egne efterretningstjenester har adgang til at hive meget data ud, men hvis man læser lidt mellem linjerne i ovenstående, og krydrer det med at de "kloge" kriminelle ofte er gode til at spotte ting de kan udnytte så er det ikke godt.

Kan man med ovenstående ikke næsten antage at:

  • Udenlandske efterretningstjenester har, eller kan let, få adgang til stort set samtlige oplysninger om danske borgere.
  • Samtlige kriminelle bander i Danmark kender en, eller har en klemme på en, der er ansat enten i kommunen eller hos Nets - og har derfor sikkert næsten samme muligheder
  • Eksmænd/koner, konkurrenter, og alt andet godt folk der kan være efter dig kan finde en eller to i deres netværk der kan hjælpe dem med at finde disse oplysninger.

Vi kan jo sikkert finde mange andre eksempler på personer end lige kommunalt ansatte og Nets kundeservicemedarbejdere der har adgang til diverse registre, f.eks forskere, Skat, osv.

Og umiddelbart lyder det som om at alt vi lægger vores tillid til, er at alle i kæden er loyale.

Jeg synes ikke det ser alt for positivt ud...

  • more_vert
    • insert_linkKopier link
59
Jørgen L. Sørensen
5. maj 2014 kl. 11:39

Ja - for hvis du har ikke har noget at skjule har du heller ikke noget at frygte :-0

--- og det seriøse: Ovenstående er ikke min holdning - men desværre har mange "almindelige" mennesker ovennvævnte holdning.

Desværre er Se & Hør sagen udråbt til at være en medieskandale --- jeg synes det er lige så meget en sikkerhedsskandale. Jeg håber at der snart er nogle medier, der vågner op og får sat fokus på, at vi SKAL sikre vore følsomme oplysninger.

Der har altid været, og der vil nok også i fremtiden altid være nogle, som er villige til at lække oplysninger for penge, eller for at vise at de har adgang til noget som andre ikke har.

  • more_vert
    • insert_linkKopier link
57
s_ mejlhede
4. maj 2014 kl. 13:15

Skal de ikke ALLE sammen ind og side sammen med Gottfrid Svartholm Warg. De kan jo ødelægge og fjerne beviser på at der er foregået noget ulovligt, eller få nogen til det.

Hvorfor er NET, IBM og S@H PC-er, Mail, LOG og andet EDB udstyr ikke konfiskeret eller hentet og beslaglagt af Politiet.

Hvorfor er administrator, ansatte som har haft adgang til data ikke bag lås og slå, så de ikke kan ødelægge, forfalske eller fjerne beviser. Eller få andre til det.

  • more_vert
    • insert_linkKopier link
54
Erik Bruus
4. maj 2014 kl. 11:03

Ja lige netop, Han sidder blandt andet med sager om socialt bedrageri, når der ikke lige er andre opgaver der er vigtige. Det sidste de fik på var teleoplysninger. For som han sagde. Når katja-kaj, og bente-bent, ikke længere ringer sammen, så er det nok fordi de er sammen. Alle bankoplysninger om alle borgere tilknyttet kommunen kan frit trækkes ud af systemet. Skal der hentes bankoplysninger om en borger i en anden kommune, så skal der et supervisor-password til, fra en medarbejder højere oppe i systemet, men som han siger, man behøver ikke spørge hver gang. Til sidst husker man jo hvad koden er.

  • more_vert
    • insert_linkKopier link
49
Erik Bruus
4. maj 2014 kl. 00:22

Kan vel ikke overraske nogen at administrative medarbejdere har adgang til alt muligt. Jeg kender en der arbejder som administrativ medarbejder i en kommune. Han har adgang til alle mulige oplysninger om alle. Det var ikke så lidt han kunne fortælle om mig, selvfølgelig med min tilladelse. Bankoplysninger, heriblandt kontoudskrifter, (lidt ligesom det nets kan), derfor se hvad jeg har købt, og hvor. Alt om min bolig, alt om skat, teleoplysninger, og en hel masse andet, som jeg ikke vil komme ind på. Dette har jeg også omtalt før, og det var der ikke mange der reagerede på. Så der er ikke noget der er sikkert. Det er dog problematisk, hvis det bliver misbrugt. Det sker desværre indimellem. mmmm..Spændende ikk.

  • more_vert
    • insert_linkKopier link
53
Slettet bruger
4. maj 2014 kl. 10:41

Hvordan i alverden har kommunen fået fat i dine kontoudskrifter?

Kan det have noget at gøre med kommunens kontrol af socialt bedrageri?

http://www.kmd.dk/Documents/MAR/KMD%20Opus/KMD%20Opus%20Ledelsesinformation%20Kontroludtr%C3%A6k.pdf

I kan blandt andet krydse følgende oplysninger:
_ Folkeregisterdata (CPR m.m.)
_ Virksomhedsdata (CVR)
_ Bygnings- og boligdata (BBR)
_ Skatteoplysninger (COR)
_ Sags- og adviseringsdata (S&A)</p>
<p>_ En opslagsrapport på cpr.nr.
_ En bruttorapport, som viser alle data for alle borgere

  • more_vert
    • insert_linkKopier link
55
Claus Jacobsen
4. maj 2014 kl. 12:07

Og det bedste ved de kommunalt ansatte i de afdelinger er at det ofte er alle mulige folk som sjældent har en lang videregående uddannelse, går til tæt på minimumsløn og ikke mindst kan være sat ind i jobtræning. - som har direkte adgang til information.

Med andre ord - ikke ligefrem punkter man normalt forbinder med etisk og loyale medarbejdere. - Umiddelbart ville jeg kategorisere det som ekstremt skræmmende.

  • more_vert
    • insert_linkKopier link
47
Karen Melchior
3. maj 2014 kl. 22:40

Beklager lidt salgstale, men der er kun 21 dage til EU-Parlamentsvalget den 25. maj.

Det vigtigt at Europa-Parlamentets ambitiøse forslag om en databeskyttelseforordning ikke bliver udvandet i Rådet. Den danske regering er ikke just blandt de ambitiøse i den sag. Håber at NETS-sagen kan ændre på det.

Men det viser også hvor vigtigt det er at vi har gode fokuserede medlemmer af EU-parlamentet, så det hele ikke går op i dansk presseopmærksomhed. Der kan der gøres en forskel for regulering af data, internet og vores digitale rettigheder.

  • more_vert
    • insert_linkKopier link
44
Lasse Nielsen
2. maj 2014 kl. 21:26

Vi har altså et centralt system der indeholder mange interessante oplysninger om ca. all danskere, og som ikke har et særlig højt sikkerhedsniveau internt (læs: piv åbent og ingen kontrol).

Hvis jeg var en efterretningstjeneste (fremmed eller dansk) så ville jeg da sørge for at have nogen ansat der. Det er nok også sikrere end at arbejde for Se & Hør.

  • more_vert
    • insert_linkKopier link
50
Jan Ulrich Jensen
4. maj 2014 kl. 01:45

Og hvis det alligevel er for svært at stjæle fra Nets, så opbevarer det lille "dataolie"-firma, Spiir, kopier af alle de kontoudtog, som naive danskere selv sender til dem for at få lavet et personligt budget!

  • more_vert
    • insert_linkKopier link
51
Karen Melchior
4. maj 2014 kl. 02:08

Sjovt det med hvad de må gøre med dine data, ikke er noget der er nemt at finde på deres hjemmeside

  • more_vert
    • insert_linkKopier link
42
Helle Eriksen
2. maj 2014 kl. 15:25

Hvordan med teleselskabernes logging af internet aktivitet. Er det mon ligsålet for kontoreleven at få adgang til kærestens internetvaner dér hvis hun kender IP adressen?

Det er klart at NETS kundeservice skal kunne spærre et kort, men jeg kan da ikke umiddelbart se at det skulle være nødvendigt at kunne følge transaktioner for at gøre det. Dvs. at ganske få skal kunne se transaktioner og kun med speciel tilladelse.... Dommerkendelse er måske i overkanten.

  • more_vert
    • insert_linkKopier link
41
Claus Petersen
2. maj 2014 kl. 15:07

Nu er de folkevalgte selv potentielle ofre der kan opildnes af retfærdig harme så der skulle være en chance for at man dropper de årelange undersøgelsesudvalg og andre politiske syltekrukker og rent faktisk gør noget.

  • more_vert
    • insert_linkKopier link
46
Karen Melchior
3. maj 2014 kl. 22:35

Derfor er det vigtigt at Europa-Parlamentets ambitiøse forslag om en databeskyttelseforordning ikke bliver udvandet i Rådet. Den danske regering er ikke just blandt de ambitiøse i den sag. Håber at NETS-sagen kan ændre på det.

  • more_vert
    • insert_linkKopier link
37
Charlotte Larsen
2. maj 2014 kl. 14:48

Hvorfor kan man som almindelig forbruger ikke se hver gang og hvilket firma evt med personkode der har kigget på ens personlige oplysninger. Det kan være betalinger eller lægejournal. Har man ikke været i kontakt med banken eller sundhedsvæsenet i lang tid, men der alligevel er blevet kigget på ens oplysninger, kan det jo tyde på snuseri.

Mener den enkelte borger er den bedste til at kontrollere hvem der har set på ens oplysninger, og hvornår der er en grund til dette...

  • more_vert
    • insert_linkKopier link
38
Slettet bruger
2. maj 2014 kl. 14:53

Hvorfor kan man som almindelig forbruger ikke se hver gang og hvilket firma evt med personkode der har kigget på ens personlige oplysninger.

Hørt Charlotte! Dit forslag er indlysende rigtigt og det er da også sådan det fungerer på sundhed.dk

NETS skylder efter min mening befolkningen et svar på hvorfor det ikke allerede fungerer sådan i dag og jeg kan kun opfordre folk til at ringe ind til kundeservice på 44 89 29 29 og bede om at få tilsendt deres logs ind til de går i pressen og forklarer sig.

  • more_vert
    • insert_linkKopier link
40
Charlotte Larsen
2. maj 2014 kl. 15:04

Det var da smart.

Det er dybt rystende sådan en ligegyldig holdning det tyder på NETS har udvist i forhold til "omgang" med andre folks private oplysninger. Det går jo ikke, at der kan sidde medarbejdere i alle mulige virksomheder med adgang til almindelige menneskers private oplysninger og snage, og det tyder jo på der har været en fest hos NETS, så kan da kun håbe på de følger de råd ;-)

Det er mere NETS og de banker der har solgt andres informationer der skal fokus på.

  • more_vert
    • insert_linkKopier link
33
Kim Houmøller
2. maj 2014 kl. 14:06

Fri adgang for tyveknægte til tømning af ens bolig, når man er på rejse. Lur mig om det ikke er brugt flere gange. De kriminelle hos Nets bør fyres øjeblikkeligt!

  • more_vert
    • insert_linkKopier link
27
Mikael Ibsen
2. maj 2014 kl. 13:26

at enhver elektronisk transaktion, er et offentligt anliggende, som man må gå ud fra, at enhver med autorisation, position - eller dulgte evner - kan deltage i. Når stort set alle handlinger, kommunikation og transaktioner nu langsomt, men sikkert bliver tvunget over i elektroniske medier, melder der sig en vis magtesløshed hos den enkelte, og da ingen samlede protester vil kunne etableres, før det for længst er for sent, kommer vi alle til at hænge på diverse usikre, halvfærdige IT-løsninger - samt en total indirekte logning af vores mindste bevægelser, ikke mindst via smartphones, som med tiden kommer til at overtage stort set alle vores udadvendte transaktioner og handlinger. Naturligvis høster staten en række fordele i form af bredere muligheder for kontrol med lovlige eller ulovlige pengetransaktioner, suspekt kommunikation, adfærd eller tilstedeværelse, og på minussiden må borgerne så finde sig i en total negligering af retten til privatliv, samt stigende muligheder for lækager af komplette sæt personlige oplysninger, hvilket igen øger risikoen og gør identitetstyveri markant nemmere. Men det er jo kun almindelige borgerne i dagligdagen, der rammes. Glem Se og Hør skandalen, den er kun en spektakulær og underholdende undtagelse, som man er nødt til at reagere på med vild forargelse - for selv at undgå forargelse. Men ellers synes vore politikere i praksis ret ligeglade med befolkningens problemer, selvom de gerne fører sig frem med forargelse og konstruktive ideer - når der er journalister i nærheden. Der er i hvert tilfælde produceret betydelig mere politikersnak end reel handling i meget lang tid. Hvad de kære politikere imidlertid synes at glemme, er, at de en dag selv står på gaden igen (med en RFID i nakken ?) som almindelige borgere, men så er deres indflydelse stort set forbi, og muligheden for rettidig omhu forpasset.

Jeg tror desværre ikke denne udvikling kan bremses eller stoppes - måske kun repareres temporært - når enkeltskandaler presser politikerne for hårdt, men for fremtiden må man i det mindste være lidt mere opmærksom på, hvad der kan ske eller sker, når man benytter sine elektroniske kommunikationsredskaber, så man ikke bliver alt for overrasket over konsekvenserne.

  • more_vert
    • insert_linkKopier link
18
Max Tobiasen
2. maj 2014 kl. 12:37

Her er et uddrag af Lov om behandling af personoplysninger:

§ 41. Stk. 3. Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Det virker som om Nets (den dataansvarlige) her overtræder § 41. Stk. 3 da de tydeligvis ikke har truffet de fornødne organisatoriske (og måske tekniske) foranstaltninger der skal til for at data ikke bliver misbrugt.

§ 42. Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker.

Nets kan med andre ord ikke bare skyde skylden på IBM.

§ 69. Den dataansvarlige skal erstatte skade, der er forvoldt ved behandling i strid med bestemmelserne i denne lov, medmindre det godtgøres, at skaden ikke kunne have været afværget ved den agtpågivenhed og omhu, der må kræves i forbindelse med behandling af oplysninger.

Jokke og Line Baum Danielsen kan altså søge erstatning!

§ 70. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller hæfte den, der i forbindelse med en behandling, som udføres for private...[§ 41, stk. 1 og 3, § 42]

Potentielt er der nogen der kan komme ind og spjælde den. Selvom det nok ikke sker...

Lov om behandling af personoplysninger

  • more_vert
    • insert_linkKopier link
21
Morten Pedersen
2. maj 2014 kl. 13:09

Når nu Nets er blevet solgt til et konsortium af investorer med en mindre hær af jurister til sin rådighed, mon så ikke hurtigt man vil have meget svært ved at forklare at u-logget snagen kan finde sted, når nu det er i strid med persondataloven, som joda temmeligt entydigt stipulerer at sådan praksis er ulovligt.

  • more_vert
    • insert_linkKopier link
22
Max Tobiasen
2. maj 2014 kl. 13:09

Max ved du om der er hjemmel i persondataloven til at man kan forlange af NETS at de giver en adgang til en fuldstændig log over hvilke medarbejdere der har været inde og kigge på ens kortoplysninger?

I § 31 står der følgende:

*Fremsætter en person begæring herom, skal den dataansvarlige give den pågældende meddelelse om, hvorvidt der behandles oplysninger om vedkommende. Behandles sådanne oplysninger, skal der på en let forståelig måde gives den registrerede meddelelse om,

  1. hvilke oplysninger der behandles,
  2. behandlingens formål,
  3. kategorierne af modtagere af oplysningerne og
  4. tilgængelig information om, hvorfra disse oplysninger stammer.*

Der står ikke noget om adgang til logs, så mit gæt ville være nej. Det skal understreges at jeg er økonom og ikke jurist (Kom så med DJØF vittighederne :-)), så der er ikke garanti for den juridiske validitet af mine udtalelser...

  • more_vert
    • insert_linkKopier link
29
Slettet bruger
2. maj 2014 kl. 13:32

Der står ikke noget om adgang til logs, så mit gæt ville være nej.

Tak skal du have for svaret, Max.

Er der nogen der har prøvet at ringe til NETS Kundeservice på 44 89 29 29 og bedt dem om at få udleveret logs over hvilke medarbejdere der har forsøgt at opnå adgang til ens kundeoplysninger?

Hvordan reagerer de når man beder om dette?

Jeg vil opfordre så mange af debattens læsere som muligt til at ringe og stille dem det spørgsmål. Det er på høje tid at de giver deres kunder indsigt i om der snages i deres private data!

  • more_vert
    • insert_linkKopier link
17
Ulrik Schmidt
2. maj 2014 kl. 12:29

Hvis man har behov for at snage i andre menneskers private forhold - herunder overvåge eks-kærester, så bør man (som det bevidste menneske man forhåbentlig prøver at blive) tage det som et wake-up call og få gjort noget ved sit eget liv.

  • more_vert
    • insert_linkKopier link
16
Erik Jensen
2. maj 2014 kl. 12:28

Noget tyder på at folk endelig er ved at opdage ulempen ved digitaliseringen af vores liv. Det har taget sin tid og folk har altid svaret med at de jo ikke gør noget ulovligt så hvad skulle problemet dog være.

Nu er der så en del kærester og bekendte til folk der arbejder hos Nets som sidder med en underlig fornemmelse :-D

Der har altid været en utrolig naivitet omkring folks og firmaernes integritet på dette område i forhold til hvordan folk opfører sig andre steder i den virkelige verden.

  • more_vert
    • insert_linkKopier link
28
Julian Hollingbery
2. maj 2014 kl. 13:32

Vil lige påpege, at dette faktisk ikke har noget med digitalisering at gøre. I gamle dage var det postvæsenet, kommunerne og bankerne man skulle være nervøs for.

  • more_vert
    • insert_linkKopier link
15
Torben Jensen
2. maj 2014 kl. 12:08

Det er måske relevant at medarbejdere har adgang til de data de skal bruge for at udføre deres arbejde. Det har politiet i sagens natur også i strafferegisteret.

Men enhver søgning der foretages i livedata skal naturligvis logges, og nogle betroede medarbejdere bør regelmæssigt evaluere disse logs. Så burde det meget hurtigt kunne ses hvis der er bestemte mønstre, f.eks. hvis Peter i kundeservice regelmæssigt ser i Gerdas data. Kan Peter ikke gøre rede for dette - f.eks. hvis Gerda ikke har en supportsag - må det betragtes som lovbrud og bør være strafbart.

Et firma hvor alle har ubegrænset læseadgang til alt fra dag 1, uden check, er jo helt forrykt. De kan måske ligefrem automatisere opslag og "eksportere" den slags via USB / sms / email ? Intet af den slags ville overraske mig.

  • more_vert
    • insert_linkKopier link
23
Dina Raabjerg
2. maj 2014 kl. 13:14

Man kan sagtens lave systemer, der analyserer loggen og på den måde afslører medarbejdere, der uretmæssigt graver i persondata.

  • more_vert
    • insert_linkKopier link
25
John Vedsegaard
2. maj 2014 kl. 13:19

Hvis man har fuld adgang og for eksempel sletter nogle linier i loggen, hvad så?

  • more_vert
    • insert_linkKopier link
43
Martin Rasmussen
2. maj 2014 kl. 20:45

Jeg har nu set rigtig, rigtig mange systemer som er lavet som "er slettet" [bool], værdi, i databasen. Dvs. de slettes aldrig, der er blot en markering om at de er "slettet", som man så som koder filtrere fra. Gæt jer selv til, hvis medarbejder ser en person/kort/whatever(!) med ufattelig mange "slette linjer" i databasen - Så vil dem med adgang nok undersøge hvorfor de har så mange slette linjer, og så har i næsten hele historien til den omtalte Nets medarbejder.suk

God implementering er langtfra en selvfølge!

  • more_vert
    • insert_linkKopier link
39
John Vedsegaard
2. maj 2014 kl. 15:04

Ja, men at man kan se der er slettet noget, betyder ikke nødvendigvis at man også kan se hvem der har slettet noget, da det er hvad der står i loggen. Så man skal altså lave en log over loggen, og derefter en log over loggen over loggen og så videre..

Det må til enhver tid være bedre at ingen kan se hvad der er, inklusive programmøren.

  • more_vert
    • insert_linkKopier link
45
Jesper Stocholm
2. maj 2014 kl. 21:37

Ja, men at man kan se der er slettet noget, betyder ikke nødvendigvis at man også kan se hvem der har slettet noget, da det er hvad der står i loggen. Så man skal altså lave en log over loggen, og derefter en log over loggen over loggen og så videre..

Ja godaw, det var præcist, hvad jeg tænkte o_0 .

Det er naturligvis svært at sikre sig imod en omnipotent sysadm, men det er ikke det samme som at man ikke kan gøre det svært at manipulere med data. Man kunne lege lidt med kæder af hashværdier i loggen, så der opstår "huller", hvis enkelte rækker slettes. Det er rigtigt, at man derved ikke kan se, hvad der er slettet - men hvis der føres integritetschecks af disse kæder (måske hver nat i stille perioder), så er det langt lettere at finde årsagen til fejlen, hvis den indtraf "i går" - end hvis man skal reagere på bagkant at henvendelser måneder efter sletningen skete.

  • more_vert
    • insert_linkKopier link
48
Poul-Henning Kamp
3. maj 2014 kl. 23:18

Det er naturligvis svært at sikre sig imod en omnipotent sysadm, men det er ikke det samme som at man ikke kan gøre det svært at manipulere med data.

Det er faktisk ikke så svært igen, men det koster, primært mere mandskab og dermed kommer sikkerheden til at sidde direkte midt på skydeskiven hver gang nogen leger med et regneark i finansafdelingen.

Derfor opfatter jeg efterhånden IT-sikkerhed som noget der primært er et økonomisk problem: Hvorledes får vi resourcer allokeret til sikkerhed og hvordan forhindrer vi at de bliver eroderet af "der skal jo aldrig noget, så der må kunne spares nogle penge" mentaliteten.

Alene formen af Nets udtalelser, helt desuagtet indholdet, viser at det ikke er en organisation hvor sikkerhed er en virkelig kerneværdi, men formodentlig i stort omfang bare et markedsføringsgimmick.

Dvs. de har utvivlsomt nogle imponerende fysiske barierrer, for det giver altid sådan et godt indtryk, men sikkerheden har ikke gennemsyret organisationen som en prioritet.

Hvis den havde, ville fotografens henvendelse ikke være henlagt så nemt og spindoktoren ville ikke sige "det er ikke et billede vi kan genkende" konfronteret med en tidligere medarbejder der siger at sikkerheden sejler i kundeservice.

I et for-profit foretagende vil sikkerhed som udgangspunkt kun blive taget seriøst (nok) hvis det figurerer meget prominent i risiko-analysen til investorene.

Hermed mener jeg på samme måde som "eksplosion" ville figurere hvis det var et olierafinaderi.

Det gør den overhovedet ikke idag, slet ikke uden noget troværdigt tilsyn og sanktioner der er billigere end et kvartals leasing af direktørens bil.

  • more_vert
    • insert_linkKopier link
35
Maxx Frøstrup
2. maj 2014 kl. 14:29

Nå det var det den var til. Hvor mange brikker fra min barndom er ikke lige faldet på plads nu. Tak Poul

  • more_vert
    • insert_linkKopier link
19
Christian Schmidt
2. maj 2014 kl. 12:42

Men enhver søgning der foretages i livedata skal naturligvis logges, og nogle betroede medarbejdere bør regelmæssigt evaluere disse logs.

Ditto kunne man sende en mail til kortholder om, at d.d. har medarbejder X været inde og kigge på dine korttransaktioner. Kortholder vil selv vide, om det er legitimt. Man behøver ikke oplyse medarbejderes fulde navn til kortholder, blot afdeling (fx kundeservice) og et medarbejdernummer.

Dette vil så også give udslag i andre helt legitime situationer, fx i tilfælde af mistanke misbrug. Men også her må det være i kortholders interesse at få at vide, at Nets' medarbejdere har været inde og kigge i dine data. Nets kan vel forsvare denne praksis, så ingen grund til at hemmeligholde over for brugerne, når det sker. Eneste grund til hemmeligholdelse skulle være sporing af personer på vegne af politiet, der er godkendt af en domstol.

Det samme gælder andre registre, fx elektroniske patientjournaler. Evt. kunne underretningerne samles op og udsendes fx hver 3. måned.

  • more_vert
    • insert_linkKopier link
14
Bent Løschenkohl
2. maj 2014 kl. 12:03

Så mangler vi lige, at nogen har brugt oplysninger til at pleje aktiehandler

  • more_vert
    • insert_linkKopier link
13
Daniel Udsen
2. maj 2014 kl. 11:51

Det britiske politi har samme problem http://www.dailymail.co.uk/news/article-2556906/Police-officers-caught-spying-ex-wives-uploading-illicit-videos-YouTube-discussing-cases-social-media.html og det er ikke en ny ting de her reporter kommer ud årligt, med stor set samme indhold år efter år.

Problemet er at når den slags data så bliver det lækket/misbrugt til ting der aldrig var autoriseret, især hvis myndighederne faktisk bruger data til rutinemæssige opgaver. Og det bliver ikke bedre af at de danske politikere gennerelt har hovedet i sandet og ikke vil forholde sig til problemet.

  • more_vert
    • insert_linkKopier link
12
John Anker Corneliussen
2. maj 2014 kl. 11:50

Luk nets asap - sikken en flok amatører der skal sørge for vores betalinger - hvilket afsindigt monopol tyranni - KLAMPHUGGERE

  • more_vert
    • insert_linkKopier link
5
Kristian Bjørklund
2. maj 2014 kl. 11:23

Det er virkelig rart, at der endeligt kommer fokus på dette område. For os, som har kendt til datamisbrug blandt offentlige og halvoffentlige institutioner, kommer det ikke som en overraskelse, men måske kan man nu blive fri for at blive beskyldt for at være konspiratorisk eller paranoid - og i stedet måske blot blive kaldt realistisk?

Kombineres oplysningerne i artiklen med de stigende lovpres mod anvendelse af kontanter, så ser vi dagens virkelighed, hvor loven tvinger dig til at blive overvåget af mere eller mindre tilfældige mennesker med en ustyrlig nysgerrighed og måske hang til hurtige penge.

Hvis jeg skal købe en brugt bil, så må jeg ikke købe den kontakt. Det er ganske enkelt ulovligt for både mig og forhandleren. Vi tvinges altså til at sikre, at de unge servicemedarbejdere, Aller-koncernen og diverse bander kan skaffe sig adgang til vores transaktioner ...

Det kunne være lækkert, hvis danskerne kunne vågne op og indse, at brudt datasikkerhed og misbrug af informationer ikke er ligegyldige scenarier. Men desværre tror jeg, at NETS får lov at køre den af med "menneskelige fejl, som ingen jo kan gardere sig imod".

Det er helt korrekt, at det drejer sig om menneskelige fejl. Men de ligger dels hos dem, der har designet "sikkerheden" - og dels hos dem, der har krævet, at data skal registreres i ikke-anonymiseret form. Men hvis de reelt ansvarlige hoveder skal rulle, så falder NETS - og det er jo statens ejendom, som i øvrigt er ved at blive delvist solgt - så det er der næppe lyst til at pille for meget ved.

I den brede midte af folketingssalen er der nok interesse i (fejlagtigt) at gøre dette til en personsag for den enkelte ansatte hos IBM. Ikke at han/hun ikke har opført sig kriminelt og helt igennem forkasteligt - men problemet er bare langt større end det.

  • more_vert
    • insert_linkKopier link
3
Henrik Pedersen
2. maj 2014 kl. 11:13

Men kom endelig med mere stof på Nets. Måske det her kan få politikerne til at vågne lidt op omkring hvor inkompetente de egentlig er?

  • more_vert
    • insert_linkKopier link
2
Christian Schmidt
2. maj 2014 kl. 11:12

Nu har vi vist slået fast, at også jævne folk har grund til at være bekymrede over den totale overvågning.

I forbindelse med NSA-afsløringerne er kritikere ellers blevet affejet med, at de har storhedsvanvid og slette ikke er vigtige nok til, at nogen gider snage i deres elektroniske spor. Den slags skulle angiveligt være forbeholdt diktatorer og terrorister, som efterretningstjenester helt åbenlyst ønsker at udspionere, og de kendte og kongelige, som Se&Hør udspionerer.

  • more_vert
    • insert_linkKopier link
26
Kim Kaos
2. maj 2014 kl. 13:23

Det er jo det rene og skære vandvid det der foregår. Er det virkelig måden tingene foregår på? Der trænger vist til at ryddes grundigt op og en log der viser hvem der har søgt på hvem, hvornår og hvorfor og kan de ikke forklare sig så skal de fyres med det samme.

  • more_vert
    • insert_linkKopier link
6
Victor Jacobsen
2. maj 2014 kl. 11:24

Man ringer vel kun til Nets hvis man er i tvivl om en transaktion - og så er medarbejder vel nødt til at have alle oplysninger.

Der er forskel på det - og så at kunne sætte automatisk overvågning op med SMS alarmering

  • more_vert
    • insert_linkKopier link
8
Ulrik Moe
2. maj 2014 kl. 11:30

Nej. Du ringer formentlig kun til Nets (kortudsteder) hvis dit kreditkort ikke virker. Hvis du har mistanke om at dit kort er blevet misbrugt eller ønsker at starte en indsigelsessag, så er det din bank du skal have fat i. Det er ligeledes din bank du skal kontakte hvis kortet skal spærres.

  • more_vert
    • insert_linkKopier link
9
Victor Jacobsen
2. maj 2014 kl. 11:33

Jeg læste at banken ikke har oplysninger. Så det er vel bankens medarbejder som ringer til Nets kundeservice.

Jeg mener blot at en kundeservicemedarbejder har et legitimt behov for at se alle informationer.

  • more_vert
    • insert_linkKopier link
1
Christian Torp
2. maj 2014 kl. 11:12

Sikke en sikkerhed vi har i DK og hos NETS. Det burde slet kunne ske at almindelige medarbejdere kan se dette. Kun programmører når de tester!

  • more_vert
    • insert_linkKopier link
24
John Vedsegaard
2. maj 2014 kl. 13:17

Ikke engang programmøre der tester, skal have den adgang, alle data skal naturligvis være krypterede så meget at de slet ikke kan ses. Man kan så oprette nogle specielle konti, til test hvor der skal logges ind på almindelig vis, men der er ikke nogen grund til at nogen kan se disse data overhovedet.

I øvrigt sker nøjagtig det samme i bankerne.

Men bare rolig, det er helt sikkert - siger de.

  • more_vert
    • insert_linkKopier link
10
Michael Thomsen
2. maj 2014 kl. 11:35

Kun programmører når de tester!

Programmørerne skal slet ikke have adgang til livedata. De kan teste mod en sandkasse.

Testafdelingen kan få begrænset adgang til livedata inden en ny funktion rulles ud.

Edit: Nå, det havde Morten allerede skrevet. Desværre kan man ikke slette et indlæg..

  • more_vert
    • insert_linkKopier link
4
Morten Krøyer
2. maj 2014 kl. 11:22

Kun programmører når de tester!

Ingen grund til at teste med prod-data.

Det er kun driften, DBA og programmører der debugger fejl fundet i prod der skal have adgang til det. Og sidstnævnte kun som midlertidig adgang indtil fejl er fundet og rettet.

Driften og DBA's adgang skal logges og ikke mindst skal loggen analyseres.

  • more_vert
    • insert_linkKopier link