Sådan kunne Se og Hørs ’tys-tys-kilde’ aflure de kendtes kreditkort, uden at nogen opdagede det

Nets glemte log-filerne
Systemet registrerer og gemmer selv alle handlinger og begivenheder i en såkaldt logfil. Som f.eks. hvis en programmør arbejder med systemet. Eller hvis en bankrådgiver ser på et kontoudtog for en fremmed person. Men hvis logfilerne ikke bliver systematisk kontrolleret og overvåget, kan det være lige meget. F.eks. er det langt fra sikkert, at systemoperatørernes logfiler bliver efterset så grundigt som bankrådgivernes.

Svagt system uden alarm
I teorien burde datasystemet udløse en alarm, når bestemte personer systematisk bliver overvåget som i Se og Hør-skandalen. Meget tyder på, at det aldrig skete, og den svaghed i systemet kalder eksperterne for ‘en kæmpe skandale’.

Han slørede log-filerne
Den mistænkte 45-årige it-konsulent har haft adgang til computercentralen på systemniveau. Det vil sige, at han formentlig har haft adgang til de såkaldte log-filer. Teoretisk burde det være umuligt at slette logfilerne, så ingen har kunnet se, hvad han har foretaget sig. Men det er en mulighed, at han har kunnet sløre sporene så meget, så det var umuligt at opdage, hvis systemet er sløset sat op. Det er også sandsynligt, at ’tys-tys-kilden’ som system- og netværksoperatør selv skulle kontrollere logfilerne for mistænkeligheder og dermed satte man ræven til at vogte gæs.

Ændrede programmet
Den mistænkte ‘tys-tys-kilde’ kunne i princippet have fulgt sin egen byggevejledning, da han arbejdede med systemet. Han kan have pillet ved softwaren, så den ikke virkede efter hensigten. Ofte er det langt fra den samme person, der både opfinder og programmerer - det vil sige ‘bygger’ - selve datasystemet. Ligesom det ikke er arkitekten, der selv murer væggen eller lægger tag. Hvis håndværkeren ikke følger byggevejledningen, så virker sikkerhedssystemet heller ikke som det skal og misbrug er muligt.

Ingen intern beskyttelse
‘Brådne kar er noget af det sværeste at håndtere’, siger man i it-branchen. Alligevel er der systemer der forhindrer, at ens egne ansatte misbruger tilliden og sælger data. Systemer der formentlig ikke er brugt hos Nets / PBS. Det mest simple er at kryptere oplysningerne - det vil sige oversætte dem til uforståeligt kodesprog. Det dur bare ikke, hvis det er en it-mekaniker der skal tjekke, at systemet virker. Her kan man så kræve, at der skal to forskellige personer til at hente oplysninger eller ændre i systemet. Lidt som man kender det fra film, hvor der skal to mand til at affyre atommissilerne. På den måde sikrer man sig mod en enkelt utroværdig person.

Misbrug eller arbejde?
Det kan være svært at skelne mellem misbrug og arbejde. Hvis it-systemet ikke virker, skal operatøren forsøge at genskabe fejlen. Det kan man gøre ved fx at sende konto-forespørgsler af sted og se, hvor hurtigt systemet reagerer. Men hvad er misbrug og reelt arbejde? En alarm burde dog ringe, hvis teknikeren gentagne gange ser på en kendt persons konto, men det store spørgsmål er, hvad der er mirbsug og hvad der er arbejde.

Alle havde adgang
En fhv. ansat i Nets’ kundeservice fortæller til Ingeniørens netsite Version2, at selv holdet af unge studentermedhjælpere havde fuld adgang til kortoplysningerne. Det var helt normalt et tjekke ekskærestens konto og se, hvad kendte havde købt.

Satte en 'trigger' op
Som systemoperatør kunne den 45-årige i teorien indbygge en såkaldt trigger-funktion i IBM’s store DB2-database. Triggeren giver besked, når en overvåget person bruger sit kort. På den måde kunne han løbende sende SMS-beskeder med informationer til Se og Hør-journalisterne

Kilder: Bjarne Kjær Ersbøll, professor, DTU Compute, Lars Ramkilde Knudsen, professor, DTU Compute, Flemming Nielson, professor, DTU Compute, Christian Damsgaard Jensen, lektor, DTU