Politiet og IBM undersøger endnu større datalæk

Den mistænkte i Nets-sagen har haft adgang til databaser hos IBM's store offentlige og private kunder. Risiko for læk af NemID-nøgler og andre følsomme data.

Danmark

Vi har i Nets-sagen muligvis kun set fligen af en kæmpe datalækage.

Både politiet, IBM og Nets har iværksat undersøgelser af, om der er sket en langt mere omfattende datalæk end den, som den sigtede it-konsulent tilsyneladende har leveret til Se og Hør.

»Der forestår en del it-efterforskning, der har til formål at afdække, om der ellers er sket noget. Vi har derfor også blik for, om den sigtede eller andre it-folk har kunnet trække oplysninger ud og sælge til andre. Som i andre alvorlige sager er vi opmærksomme på, at der kan ligge andre kriminelle forhold«, siger efterforskningschef Bent Isager-Nielsen fra Københavns Vestegns Politi.

Politiinspektøren ønsker ikke at kommentere, om politiet allerede har indikationer på andre datalækager.

Den sigtede it-konsulent i sagen om læk af følsomme data til Se og Hør har ifølge sit eget online-cv været systemadministrator og haft som job at overvåge IBM’s såkaldte mainframemiljø. En lang række af IBM’s største offentlige og private kunder er eller har været koblet på dette driftssystem på samme måde som Nets.

Ifølge it-sikkerhedseksperter har den sigtede derfor haft administratoradgang til en lang række af IBM’s største kunder.

»I og og med at han har kunnet trække data ud af Nets, har han på samme måde kunne gøre det med alle andre IBM-kunder, der har det samme setup på denne mainframe. Spørgsmålet er, om han har haft andre kunder i sin butik end Se og Hør. I 2012, hvor tys-tys-kilden stadig var ansat, implementerede IBM hele NemID-systemet, hvor alle danskernes private nøgler ligger. Hvis han har haft adgang og misbrugt dem, står vi potentielt over for en regulær persondatakatastrofe«, siger Peter Kruse fra it-sikkerhedsfirmaet CSIS.

Han henviser til, at man med en en borgers NemID-nøgle kan få videre adgang til dybt private oplysninger hos en lang række myndigheder og private selskaber.

Nets driver NemID-systemet for Digitaliseringsstyrelsen. Styrelsen har som konsekvens bedt Nets om at redegøre for sikkerheden om danskernes NemID-nøgler:

»Vi kan selvsagt ikke acceptere, hvis sikkerheden kompromitteres. På baggrund af den redegørelse og vores løbende risikovurdering, må vi overveje, hvad der så skal ske fremadrettet i forhold til NemID«, siger direktør Lars Frelle-Pedersen.

Købere af følsomme data om borgere og firmaer kan potentielt være kriminelle, konkurrerende firmaer eller udenlandske efterretningstjenester.

IBM kan ikke afvise, at datalækagen reelt er større end hidtil antaget.

»Disse elementer er naturligvis allerede en del af vores dybdegående undersøgelse af hele problemstillingen, som vi er i gang med«, lyder det i en kort mail til Politiken fra markedsføringschef Karsten Stokking.

IBM kan ikke oplyse, hvor mange ansatte der har haft den samme privilegerede adgang til selskabets mainframesystem. Selskabet vil ikke oplyse, hvilke storkunder der har været koblet på den berørte mainframe. Men der kan blandt andre være tale om Mærsk, TDC og dele af sundhedsvæsnet.

I Nets vil landechef Susanne Brønnum ikke oplyse, om den sigtede også har haft adgang til NemID-databasen. Men »der er ikke noget, der ser ud, som om det har gået ud over NemID-systemet«.

Den sigtede it-konsulents forsvarsadvokat understreger, at politiets sigtelse alene drejer sig om forhold i Nets:

»Jeg ved ikke, hvad min klient har haft adgang til af databaser. Men det, han er sigtet for, har kun noget med Nets at gøre«, siger advokat Michael Juul Eriksen.

Redaktionen anbefaler:

Læs mere:

Annonce

Annonce

For abonnenter

Annonce

Podcasts

Forsiden