Sikkerhed. IBM's sikkerhedssystem SIEM, var efter alt at dømme ikke koblet på Nets' kreditkortsystem, da det gennem flere år blev misbrugt af en IBM-medarbejder.
Foto: JENS DRESLING (arkiv)

Sikkerhed. IBM's sikkerhedssystem SIEM, var efter alt at dømme ikke koblet på Nets' kreditkortsystem, da det gennem flere år blev misbrugt af en IBM-medarbejder.

Digitalt

IBM tog ikke sin egen medicin under Se og Hør-læk

Tys-tys-kilden var hurtigt blevet bremset, hvis IBM og Nets havde brugt it-firmaets eget sikkerhedsværn, siger eksperter.

Digitalt

It-giganten IBM har et avanceret produkt på lager, der ifølge eget udsagn vil »opdage interne trusler og intern svindel«.

Men denne intelligente sikkerhedsløsning, kaldet security intelligence eller SIEM, var efter alt at dømme ikke koblet på Nets’ kreditkortsystem, da det gennem flere år blev misbrugt af en IBM-medarbejder.

IBM har siden 2007 stået for driften af Nets’ systemer. Ifølge en række it-sikkerhedseksperter var tys-tys-kildens ulovlige udtræk af kendtes kreditkortdata mellem 2008 og 2012 hurtigt blevet opdaget, hvis IBM’s eget avancerede sikkerhedssystem havde været – korrekt – installeret.

»IBM og Nets har ikke haft et velfungerende security intelligence-system, og det undrer mig. Nets har ry for at have et generelt højt niveau af it-sikkerhed, så det undrer mig, at man ikke har haft et velfungerende system, der har kunnet detektere det her misbrug«, siger Klaus Kongsted, administrerende direktør i it-sikkerhedsvirksomheden Dubex.

System skal opdage trusler

Security Intelligence er et automatiseret alarmsystem, der skaber overblik over millioner af data og straks slår alarm, hvis der er en unormal adfærd i systemet. Hvis en medarbejder eksempelvis misbruger sin adgang til oplysninger på særlige tidspunkter, registreres og anmeldes det.

Systemet er velegnet til at »opdage interne trusler og intern svindel«, som IBM selv skriver det i sin markedsføring, der fortsætter: »IBM’s intelligente sikkerhedsløsninger udnytter informationer fra hele virksomheden og anvender avanceret analyse til at opdage trusler hurtigt«.

Fordi security intelligence er et særdeles effektivt redskab, er en række eksperter forundrede over, at IBM tilsyneladende har undladt at tage sin egen medicin i driften af Nets’ kreditkortsystem.

»Misbruget er foregået over så lang tid, at de kontroller, som skulle have været der, har været fraværende. Om IBM har implementeret sine egne sikkerhedsløsninger, er et stort spørgsmålstegn, men hvis de har – så har systemet været installeret forkert, fordi tys-tys-kilden så har haft adgang til at ignorere og slette de alarmer, han selv har udløst«, siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS.

Politiken har spurgt IBM og Nets, om der er tale om manglende brug eller forkert installation af IBM’s eget sikkerhedsprodukt, og om IBM eller Nets har fravalgt sikkerhedsløsningen. Men hverken Nets eller IBM ønsker at kommentere sagen, da sikkerhedsprocedurer er »fortrolig information«.

Annonce

»Hvilke produkter IBM og Nets benytter i denne sammenhæng, ønsker vi principielt ikke at komme nærmere ind på«, skriver IBM’s pressekoordinator Carsten Grønning, i en mail.

IBM eller Nets opdagede aldrig, at den betroede medarbejder misbrugte sin adgang til systemerne og solgte kendte og kongeliges kreditkortinformationer til Se og Hør for 10.000 kroner om måneden i snit.

Og det på trods af, at Nets i en revisionsrapport i 2010 blev advaret om svagheder i »adgangs- og rettighedshåndtering samt systemopsætning« i den infrastruktur, der er outsourcet til IBM.

I 2013 gik en tidligere Se og Hør-fotograf til Nets med oplysninger om, at ugebladet havde direkte adgang til selskabets kreditkortsystemer. Det fik heller ikke Nets til at undersøge sikkerhedsprocedurerne i IBM eller Nets, hvilket var en fejl, erkendte selskabets landechef, Susanne Brønnum, over for Politiken i maj.

Overvågning regulerer adfærd

It-sikkerhedskonsulent Thomas Bo Nielsen konkluderer også, at IBM har fejlet med hensyn til den intelligente sikkerhedsløsning.

»SIEM er en effektiv måde at dæmme op for interne trusler på, hvis alle brugere ved, at alt bliver logget, og kun Gud kan slette det igen. Hvis der stod fartmålere over hele landet, ville folk formentlig også holde farten nede, fordi de ved, at de bliver snuppet«, siger Thomas Bo Nielsen fra it-sikkerhedsvirksomheden C-Cure.

I juridisk forstand er Nets den virksomhed, som er ansvarlig for at beskytte data. Men de tekniske eksperter peger på, at ansvaret for svigtet også påhviler IBM. Peter Kruse peger fingre ad IBM for aldrig at have opdaget misbruget og derfor ikke sikret de digitale bevismaterialer.

»IBM bærer en stor del af skylden i denne sag, når man i den grad sjofler det, man er sat i verden for at gøre, nemlig levere en høj grad af it-sikkerhed. Det er absurd, at IBM ikke har taget sin egen medicin.

Man vil gerne sælge en masse produkter, men benytter dem tilsyneladende ikke selv. Hvis jeg var outsourcingkunde hos IBM, ville jeg straks undersøge, om det produkt, jeg har købt, også er den vare, jeg har fået«, siger Peter Kruse fra CSIS.

En lang række store offentlige og private aktører har outsourcet it-drift til IBM.

Redaktionen anbefaler:

Læs mere:

Annonce

Annonce

For abonnenter

Annonce

Mest læste

  • Annonce

Annonce

Forsiden

Annonce