It-giganten IBM har et avanceret produkt på lager, der ifølge eget udsagn vil »opdage interne trusler og intern svindel«.
Men denne intelligente sikkerhedsløsning, kaldet security intelligence eller SIEM, var efter alt at dømme ikke koblet på Nets’ kreditkortsystem, da det gennem flere år blev misbrugt af en IBM-medarbejder.
IBM har siden 2007 stået for driften af Nets’ systemer. Ifølge en række it-sikkerhedseksperter var tys-tys-kildens ulovlige udtræk af kendtes kreditkortdata mellem 2008 og 2012 hurtigt blevet opdaget, hvis IBM’s eget avancerede sikkerhedssystem havde været – korrekt – installeret.
»IBM og Nets har ikke haft et velfungerende security intelligence-system, og det undrer mig. Nets har ry for at have et generelt højt niveau af it-sikkerhed, så det undrer mig, at man ikke har haft et velfungerende system, der har kunnet detektere det her misbrug«, siger Klaus Kongsted, administrerende direktør i it-sikkerhedsvirksomheden Dubex.
System skal opdage trusler
Security Intelligence er et automatiseret alarmsystem, der skaber overblik over millioner af data og straks slår alarm, hvis der er en unormal adfærd i systemet. Hvis en medarbejder eksempelvis misbruger sin adgang til oplysninger på særlige tidspunkter, registreres og anmeldes det.
Systemet er velegnet til at »opdage interne trusler og intern svindel«, som IBM selv skriver det i sin markedsføring, der fortsætter: »IBM’s intelligente sikkerhedsløsninger udnytter informationer fra hele virksomheden og anvender avanceret analyse til at opdage trusler hurtigt«.
Fordi security intelligence er et særdeles effektivt redskab, er en række eksperter forundrede over, at IBM tilsyneladende har undladt at tage sin egen medicin i driften af Nets’ kreditkortsystem.
»Misbruget er foregået over så lang tid, at de kontroller, som skulle have været der, har været fraværende. Om IBM har implementeret sine egne sikkerhedsløsninger, er et stort spørgsmålstegn, men hvis de har – så har systemet været installeret forkert, fordi tys-tys-kilden så har haft adgang til at ignorere og slette de alarmer, han selv har udløst«, siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS.
Politiken har spurgt IBM og Nets, om der er tale om manglende brug eller forkert installation af IBM’s eget sikkerhedsprodukt, og om IBM eller Nets har fravalgt sikkerhedsløsningen. Men hverken Nets eller IBM ønsker at kommentere sagen, da sikkerhedsprocedurer er »fortrolig information«.
»Hvilke produkter IBM og Nets benytter i denne sammenhæng, ønsker vi principielt ikke at komme nærmere ind på«, skriver IBM’s pressekoordinator Carsten Grønning, i en mail.
IBM eller Nets opdagede aldrig, at den betroede medarbejder misbrugte sin adgang til systemerne og solgte kendte og kongeliges kreditkortinformationer til Se og Hør for 10.000 kroner om måneden i snit.
Og det på trods af, at Nets i en revisionsrapport i 2010 blev advaret om svagheder i »adgangs- og rettighedshåndtering samt systemopsætning« i den infrastruktur, der er outsourcet til IBM.
I 2013 gik en tidligere Se og Hør-fotograf til Nets med oplysninger om, at ugebladet havde direkte adgang til selskabets kreditkortsystemer. Det fik heller ikke Nets til at undersøge sikkerhedsprocedurerne i IBM eller Nets, hvilket var en fejl, erkendte selskabets landechef, Susanne Brønnum, over for Politiken i maj.
Overvågning regulerer adfærd
It-sikkerhedskonsulent Thomas Bo Nielsen konkluderer også, at IBM har fejlet med hensyn til den intelligente sikkerhedsløsning.
