Samme dag som Se og Hør-sagen kom frem, høstede Nets kritik fra Datatilsynet for at have overhørt advarsler om, at tjenesten ikke beskyttede borgeres personlige data godt nok. Samtidig kræver Nets’ samarbejdspartnere en redegørelse om Se og Hør-sagen.
Mens en tidligere ansat på Se og Hør mandag afslørede, at ugebladet brugte ulovligt lækkede informationer om kendte og kongeliges kreditkortoplysninger, der angiveligt stammer fra Nets, udtalte Datatilsynet kritik af selvsamme Nets i en anden sag om sikkerhedsbrist. Nets bør stramme op på sikkerheden, siger Rådet for Digital Sikkerhed ifølge Berlingske.
Den nye sag opstod på en af Nets’ undersider, hvor virksomheder i henhold til hvidvasklovgivningen skal indberette oplysninger. Her beder Nets om en række fortrolige informationer, blandt andet CPR-numre på virksomhedsejerne. Men den kontaktformular, hvor man skal indtaste oplysninger og sende dem til Nets, var ikke sat op til at kryptere oplysningerne, sådan som persondataloven ellers kræver.
Det var 38-årige Peter Larsen, der selv er ejer af en IT-virksomhed, og som arbejder med blandt andet sikring af virksomheders data, der tilbage i 2013 opdagede fejlen. Som en rygmarvsreaktion tjekkede han sikkerheden hos Nets, inden han skulle bruge kontaktformularen og fandt ud af, at oplysninger om hans eget CPR-nummer og fortrolige informationer om hans virksomhed kunne havne i de forkerte hænder. Nets havde ikke sat systemet op til at kryptere informationerne.
»Med min baggrund ved jeg godt, at det er utrolig nemt at opsnappe personlige data for uvedkommende. Det fik alt til at vende sig i mig, så jeg nægtede at bruge kontaktformularen,« siger Peter Larsen, der efterfølgende tog kontakt til Nets for at gøre opmærksom på fejlen. Men Nets reagerede ikke.
Først da Peter Larsen alarmerede Datatilsynet, ændrede Nets opsætningen af sin kontaktformular, så den nu krypterer de personlige data. I en afgørelse fra mandag den 28. april - samme dag som Se og Hør-skandalen eksploderede - udtalte Datatilsynet kritik af Nets:
»Der er tale om en forholdvis stærk kritik. Der er simpelthen noget hos Nets, der ikke har været godt nok. Sagen viser også, at Nets er blevet gjort opmærksom på fejlen, men først reagerede, da Datatilsynet kom ind i billedet,« siger Datatilsynets direktør, Birgit Kleis, og uddyber:
»Et er, at der sker en fejl, men hvis man straks går ud og retter op, så er det ikke lige så slemt. Det har en skærpende betydning, når vi kigger på det, at Nets ikke har rettet op.«
Hos Rådet for Digital Sikkerhed mener formand Birgitte Kofod, at Se og Hør-sagen samt den nyeste sag om den manglende kryptering vidner om, at sikkerheden i Nets skal blive bedre.
»Samlet set peger de to sager på, at der er øget behov for, at man kigger sikkerhedsforanstaltningerne igennem hos Nets,« siger Birgitte Kofod.
Direktør i Solido Networks, der arbejder med IT-sikkerhed, Henrik Kramshøj siger, at den nye sag vidner om, at der ikke er indarbejdet en god sikkerhedskultur i Nets.
»Man kan konkludere, at Nets ikke har en effektiv proces til at sætte denne her type løsninger i drift. Hvis de havde det, ville man blive mindet om, at personfølsomme informationer skal krypteres. Sagen viser også, at de heller ikke udviser god sikkerhed, når de bliver kontaktet for at rette op på problemet,« siger Henrik Kramshøj.
Han forklarer, at uden kryptering af data på hjemmesiden kan uvedkommende nemt kigge over skulderen på dem, som indberetter. Det betød, at oplysninger som CPR-numre kunne komme andre i hænde, og det gjorde dem blandt andet følsomme over for identitetstyveri.
Den nye kritik af manglende sikkerhedsforanstaltninger hos Nets kunne ikke komme på et mere uheldigt tidspunkt. Virksomheden er netop nu i skudlinjen for lemfældig sikkerhed, da Se og Hør-sagen indtil videre har vist, at en ansat, der har været tilknyttet Nets, tilsyneladende systematisk har tappet private kreditkortoplysninger.
Torsdag kom det frem, at Nets var advaret om, at Se og Hør modtog lækkede oplysninger fra virksomheden, og fredag stod en tidligere Nets-ansat desuden anonymt frem på netmediet Version2 og fortalte, at det i virksomhedens kundeservice »var normalt at kigge på, hvad ekskærester og kendte personer brugte deres kort til«.
Både Finanstilsynet og Digitaliseringsstyrelsen kræver nu på baggrund af Se og Hør-sagen en grundig redegørelse for, om Nets har håndteret danskeres kreditkortoplysninger forsvarligt. Det samme gælder virksomhedens direkte samarbejdspartnere, herunder Danske Bank:
»Vi tager sagen meget alvorligt, da vi er optaget af, at vores kunder kan føle sig sikre på, at deres oplysninger bliver behandlet med fortrolighed. Derfor har vi også bedt Nets om en grundig redegørelse, så vi kan komme til bunds i sagen og få klarlagt, om der er begået fejl hos Nets,« siger Danske Banks chef for compliance, Niels Thor Mikkelsen.
Først når redegørelsen ligger klar, vil bankernes brancheorganisation, Finansrådet, tage stilling til, hvordan man håndterer sagen om de formodede lækkede kreditkortoplysninger:
»Vi har under hele forløbet været i tæt dialog med Nets, og modtager også den redegørelse, som Nets er ved at udarbejde til Finanstilsynet. Når vi har læst redegørelsen og haft mulighed for at sætte os grundigt ind i sagens fakta, vil vi tage stilling til, hvordan vi vil forholde os i sagen,« siger underdirektør i Finansrådet Michael Busk-Jepsen.
Nets beklager fejlen med den manglende kryptering og oplyser, at fejlen nu er rettet. Nets har ikke yderligere kommentarer.
Jacob Ussing har biddraget til artiklen.
