Artikel top billede

(Foto: Povl D. Rasmussen)

Få overblikket: Her begår Nets alvorlige fejl med it-sikkerheden

Finanstilsynet har gennemgået it-sikkerheden i Nets og fundet masser af huller. Her har vi samlet de områder, hvor Nets dumper i it-sikkerhed.

Siden 2014 har Finanstilsynet arbejdet på en gennemgang af it-sikkerheden i Nets. 

I midten af denne uge faldt dommen, der har udløst en massiv kritik af virksomheden, som blandt andet administrerer NemID og digitale betalinger i Danmark.

Vi har samlet de konkrete kritikpunkter nedenfor, så du kan få et overblik over hvilke områder, der halter i Nets' it-sikkerhed.

Seks indsatsområder

Finanstilsynet har gennemtrevlet udvalgte dele af Nets it-systemer og -politikker og har i rapporten set på følgende seks områder:

- Den generelle sikkerhedsstyring
- Strategi
- Organisation
- Beredskabsplaner
- Sikkerhedspolitikker
- Retningslinjer

Helt konkret har Finanstilsynet gennemgået de procedurer, som Nets anvender til styring af adgange til systemer og data, ændringshåndtering, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.

Kritikpunkter

Efter at have set Nets godt og grundigt efter i kortene er Finanstilsynet nået frem til en stribe konklusioner.

De lyder således:

Nets har ikke i tilstrækkelig grad implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden.

Net har ikke tilstrækkelig fokus på at it-risici er synliggjorte og imødegået på tværs af Nets samt outsourcing-leverandører.

Ligeledes fortæller rapporten - uden at være meget specifik - at der er konstateret flere svagheder, hvor ledelsen i Nets fremadrettet skal sikre, at risici er tilstrækkeligt synliggjorte og imødegået.

På den positive side vurderer Finanstilsynet, at Nets har betydelig fokus på efterlevelse af krav og kontrolstandarder, herunder PCI-krav. 

Disse krav er opstillet af de internationale kortselskaber, der har udarbejdet nogle sikkerhedsstandarder, som gælder i forbindelse med alle kortbetalinger. 

Dette skal løses

Arbejdet med rapporten har udmøntet sig i en stribe påbud til Nets.

Finanstilsynet forventer således at it-sikkerhedspolitikken "tager afsæt i en dokumenteret it-risikovurdering, samt at ansvar og forventninger mellem direktion og bestyrelse, i relation til it-sikkerhedsstyringen, rapportering og ledelsesopfølgning, præciseres og implementeres."

Med andre ord skal Nets styrke sin dokumentation og ledelsens forankring i it-sikkerheden i virksomheden, der hidtil ikke har været god nok.

Fremtidens dokumentation skal blandt andet bestå i at vise, at it-sikkerhedspolitikken er tilstrækkeligt implementeret i firmaet.

Se og Hør-sagen spøger

Ligeledes skal der være en mere tydelig ansvars- og rollefordeling i forbindelse med de medarbejdere, der arbejder med it-sikkerhed og i forbindelse med de outsourcing-partnere, der håndterer opgaver for Nets.

Læs også: Ekspert: Se og Hør-sag kunne være undgået med mindre kontrol

Sidst men ikke mindst er der i forlængelse af Se og Hør-sagen blevet lagt et påbud om, at der strammes op i forbindelse med tildeling af adgange og rettigheder til systemer og data samt procedurer omkring it-sikkerhedslogning.

Til kritikken siger Nets' kommunikationschef, Karsten Anker Petersen, følgende:

"Det er vigtigt at bemærke, at Finanstilsynet ikke konkluderer, at konkrete data har været kompromitteret, eller at der har været svigt eller lignende i vores systemer."

"Finanstilsynets påbud handler primært om, at vi i højere grad skal sikre, at de rette processer er på plads, at der er dokumentation for, at risikovurderinger er anvendt, og at der sker tilstrækkelig ledelsesopfølgning i forbindelse med outsourcing. Alt dette er vi i fuld gang med at sikre, at vi efterlever."

Du kan læse redegørelsen her (PDF).

Læs også:

Nordea havnet i ny byge af it-problemer

Nets ramt af nyt løn-kaos: Men bare rolig, du skal nok få din løn i dag

Nets nedlægger hundredevis af stillinger - 220 mand skal ud




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

23. august 2022 | Læs mere


Strategisk it-sikkerhedsdag – Identificer, beskyt og forsvar

Trusselsbilledet er rødglødende og it-sikkerhedslandskabet har aldrig været mere anspændt end nu. Flere organisationer end nogensinde før bliver som følge udsat for cyber-angreb, der er udført af professionelle og målrettede hackere Vi tager temperaturen på trusselslandskabet lige nu og giver dig overblikket over de nyeste trusler, de mest aktuelle tendenser og de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

25. august 2022 | Læs mere


CIO Trends 2022: Sådan arbejder de dygtigste CIOs med ledelse, organisation og strategi

Sparringspartner, forretningsudvikler, projektleder, evangelist, strateg og ikke mindst chef. CIO-rollen er under voldsom forandring – hvor især ledelses- og strategidelen får stadig større plads i de komplekse it-organisationer.

30. august 2022 | Læs mere






CIO
Stort CIO-interview: Lemvigh-Müllers milliard-omsætning er blevet digital
Job & Karriere
Her er Netcompanys nye hovedkvarter: Flytter til ikonisk adresse i hjertet af København - kommer til at betale million-leje