Det firma, der administrerer alle danske kreditkort, har før haft huller i sikkerheden og fået kritik af Datatilsynet.
I mindst fire år var det muligt for en 48-årig it-specialist at høste strengt personlige oplysninger om kendte og kongelige via sit arbejde for PBS, Pengeinstitutternes Betalingsservice, der i dag kendes som Nets.
'Det skal ikke kunne ske', siger Nets torsdag, men faktisk har der før været huller i sikkerheden, viser en udtalelse fra Datatilsynet, der holder øje med, at Nets overholder den danske lovgivning.
Sikkerhedshullet opstod på Nets' hjemmeside i februar sidste år, da virksomheder skulle uploade oplysninger til en ny hjemmeside. Her endte pdf-dokumenter med personnumre med at ligge fremme ukrypteret.
- Det er en overtrædelse af persondataloven og selvsagt noget, man for alt i verden skal undgå. Det er jo et lovbrud! Man må forvente, at når man tager imod den her form for personfølsomme data fra godtroende kunder i butikken, at de så også bliver sikret, som de skal. Det burde ikke ske, siger Peter Kruse fra sikkerhedsfirmaet CSIS.
Allerede i februar, hvor hjemmesiden blev oprettet, modtog Nets både en mundtlig og skriftlig klage fra en anmelder, men først da anmelderen gjorde Datatilsynet opmærksom på sikkerhedsbristet, greb Nets ind.
- Det mest ærgerlige i den sag er faktisk, at den person som opdager det, ikke bliver hørt, selvom han flere gange kontakter Nets. Selvfølgelig skal man straks undersøge, om der er sket fejl, når man modtager sådan en anmeldelse, siger Peter Kruse.
I et høringssvar fra Nets i klagesagen, erkender virksomheden følgende:
'... at opsætningen af den pågældende hjemmeside ved en fejl ikke var blevet sat op til at kryptere korrekt. Nets har derfor med stor beklagelse meddelt tilsynet, at overførsel af oplysninger og pdf-dokumenter indeholdende personnumre via den pågældende hjemmeside derfor er sket ukrypteret.
Sikkerhedseksperten undrer sig i dag over, at fejlen ikke blev opsnappet af deres sikkerhedssystem.
- Der er formentlig tale om en menneskelig fejl, og hvor der er mennesker, sker der også fejl, men der skal være nogle kontrolmekanismer, som sørger for, om de her ting nu også implementeres korrekt. Så der ikke bare sidder person og laver fejl, men at der også er et system, der kvalitetssikrer det, siger Peter Kruse og tilføjer:
- Man burde have en såkaldte 'quality assurance' som mange virksomheder har i dag. En kvalitetsforsikring, som sikrer, at de produkter, man leverer, er gode nok, og at man også løbende overvåger, om sikkerheden er i top. Hvordan Nets har sikret sig, ved jeg ikke, men det burde være spottet.
Datatilsynet slog fast 28. april i år, at Nets' behandling af oplysningerne ikke levede op til kravet om de fornødne sikkerhedsforanstaltninger efter persondataloven: 'Samlet set finder Datatilsynet derfor det skete kritisabelt'.
Sagen lander dårligt i de seneste dages afsløringer af den manglende sikkerhed hos det daværende PBS.
- Det får bare Nets til at stå i et endnu mere uheldigt lys nu. Når det er sagt, så er noget af det allerværste er at beskytte sig mod en intern trussel, som den her specialist i den verserende sag har udsat Nets for, siger Peter Kruse.
