Artikel top billede

(Foto: Povl D. Rasmussen)

Få overblikket: Her begår Nets alvorlige fejl med it-sikkerheden

Finanstilsynet har gennemgået it-sikkerheden i Nets og fundet masser af huller. Her har vi samlet de områder, hvor Nets dumper i it-sikkerhed.

Siden 2014 har Finanstilsynet arbejdet på en gennemgang af it-sikkerheden i Nets. 

I midten af denne uge faldt dommen, der har udløst en massiv kritik af virksomheden, som blandt andet administrerer NemID og digitale betalinger i Danmark.

Vi har samlet de konkrete kritikpunkter nedenfor, så du kan få et overblik over hvilke områder, der halter i Nets' it-sikkerhed.

Seks indsatsområder

Finanstilsynet har gennemtrevlet udvalgte dele af Nets it-systemer og -politikker og har i rapporten set på følgende seks områder:

- Den generelle sikkerhedsstyring
- Strategi
- Organisation
- Beredskabsplaner
- Sikkerhedspolitikker
- Retningslinjer

Helt konkret har Finanstilsynet gennemgået de procedurer, som Nets anvender til styring af adgange til systemer og data, ændringshåndtering, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.

Kritikpunkter

Efter at have set Nets godt og grundigt efter i kortene er Finanstilsynet nået frem til en stribe konklusioner.

De lyder således:

Nets har ikke i tilstrækkelig grad implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden.

Net har ikke tilstrækkelig fokus på at it-risici er synliggjorte og imødegået på tværs af Nets samt outsourcing-leverandører.

Ligeledes fortæller rapporten - uden at være meget specifik - at der er konstateret flere svagheder, hvor ledelsen i Nets fremadrettet skal sikre, at risici er tilstrækkeligt synliggjorte og imødegået.

På den positive side vurderer Finanstilsynet, at Nets har betydelig fokus på efterlevelse af krav og kontrolstandarder, herunder PCI-krav. 

Disse krav er opstillet af de internationale kortselskaber, der har udarbejdet nogle sikkerhedsstandarder, som gælder i forbindelse med alle kortbetalinger. 

Dette skal løses

Arbejdet med rapporten har udmøntet sig i en stribe påbud til Nets.

Finanstilsynet forventer således at it-sikkerhedspolitikken "tager afsæt i en dokumenteret it-risikovurdering, samt at ansvar og forventninger mellem direktion og bestyrelse, i relation til it-sikkerhedsstyringen, rapportering og ledelsesopfølgning, præciseres og implementeres."

Med andre ord skal Nets styrke sin dokumentation og ledelsens forankring i it-sikkerheden i virksomheden, der hidtil ikke har været god nok.

Fremtidens dokumentation skal blandt andet bestå i at vise, at it-sikkerhedspolitikken er tilstrækkeligt implementeret i firmaet.

Se og Hør-sagen spøger

Ligeledes skal der være en mere tydelig ansvars- og rollefordeling i forbindelse med de medarbejdere, der arbejder med it-sikkerhed og i forbindelse med de outsourcing-partnere, der håndterer opgaver for Nets.

Læs også: Ekspert: Se og Hør-sag kunne være undgået med mindre kontrol

Sidst men ikke mindst er der i forlængelse af Se og Hør-sagen blevet lagt et påbud om, at der strammes op i forbindelse med tildeling af adgange og rettigheder til systemer og data samt procedurer omkring it-sikkerhedslogning.

Til kritikken siger Nets' kommunikationschef, Karsten Anker Petersen, følgende:

"Det er vigtigt at bemærke, at Finanstilsynet ikke konkluderer, at konkrete data har været kompromitteret, eller at der har været svigt eller lignende i vores systemer."

"Finanstilsynets påbud handler primært om, at vi i højere grad skal sikre, at de rette processer er på plads, at der er dokumentation for, at risikovurderinger er anvendt, og at der sker tilstrækkelig ledelsesopfølgning i forbindelse med outsourcing. Alt dette er vi i fuld gang med at sikre, at vi efterlever."

Du kan læse redegørelsen her (PDF).

Læs også:

Nordea havnet i ny byge af it-problemer

Nets ramt af nyt løn-kaos: Men bare rolig, du skal nok få din løn i dag

Nets nedlægger hundredevis af stillinger - 220 mand skal ud




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Itm8 | IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere