Artikel top billede

(Foto: Povl D. Rasmussen)

Få overblikket: Her begår Nets alvorlige fejl med it-sikkerheden

Finanstilsynet har gennemgået it-sikkerheden i Nets og fundet masser af huller. Her har vi samlet de områder, hvor Nets dumper i it-sikkerhed.

Siden 2014 har Finanstilsynet arbejdet på en gennemgang af it-sikkerheden i Nets. 

I midten af denne uge faldt dommen, der har udløst en massiv kritik af virksomheden, som blandt andet administrerer NemID og digitale betalinger i Danmark.

Vi har samlet de konkrete kritikpunkter nedenfor, så du kan få et overblik over hvilke områder, der halter i Nets' it-sikkerhed.

Seks indsatsområder

Finanstilsynet har gennemtrevlet udvalgte dele af Nets it-systemer og -politikker og har i rapporten set på følgende seks områder:

- Den generelle sikkerhedsstyring
- Strategi
- Organisation
- Beredskabsplaner
- Sikkerhedspolitikker
- Retningslinjer

Helt konkret har Finanstilsynet gennemgået de procedurer, som Nets anvender til styring af adgange til systemer og data, ændringshåndtering, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.

Kritikpunkter

Efter at have set Nets godt og grundigt efter i kortene er Finanstilsynet nået frem til en stribe konklusioner.

De lyder således:

Nets har ikke i tilstrækkelig grad implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden.

Net har ikke tilstrækkelig fokus på at it-risici er synliggjorte og imødegået på tværs af Nets samt outsourcing-leverandører.

Ligeledes fortæller rapporten - uden at være meget specifik - at der er konstateret flere svagheder, hvor ledelsen i Nets fremadrettet skal sikre, at risici er tilstrækkeligt synliggjorte og imødegået.

På den positive side vurderer Finanstilsynet, at Nets har betydelig fokus på efterlevelse af krav og kontrolstandarder, herunder PCI-krav. 

Disse krav er opstillet af de internationale kortselskaber, der har udarbejdet nogle sikkerhedsstandarder, som gælder i forbindelse med alle kortbetalinger. 

Dette skal løses

Arbejdet med rapporten har udmøntet sig i en stribe påbud til Nets.

Finanstilsynet forventer således at it-sikkerhedspolitikken "tager afsæt i en dokumenteret it-risikovurdering, samt at ansvar og forventninger mellem direktion og bestyrelse, i relation til it-sikkerhedsstyringen, rapportering og ledelsesopfølgning, præciseres og implementeres."

Med andre ord skal Nets styrke sin dokumentation og ledelsens forankring i it-sikkerheden i virksomheden, der hidtil ikke har været god nok.

Fremtidens dokumentation skal blandt andet bestå i at vise, at it-sikkerhedspolitikken er tilstrækkeligt implementeret i firmaet.

Se og Hør-sagen spøger

Ligeledes skal der være en mere tydelig ansvars- og rollefordeling i forbindelse med de medarbejdere, der arbejder med it-sikkerhed og i forbindelse med de outsourcing-partnere, der håndterer opgaver for Nets.

Læs også: Ekspert: Se og Hør-sag kunne være undgået med mindre kontrol

Sidst men ikke mindst er der i forlængelse af Se og Hør-sagen blevet lagt et påbud om, at der strammes op i forbindelse med tildeling af adgange og rettigheder til systemer og data samt procedurer omkring it-sikkerhedslogning.

Til kritikken siger Nets' kommunikationschef, Karsten Anker Petersen, følgende:

"Det er vigtigt at bemærke, at Finanstilsynet ikke konkluderer, at konkrete data har været kompromitteret, eller at der har været svigt eller lignende i vores systemer."

"Finanstilsynets påbud handler primært om, at vi i højere grad skal sikre, at de rette processer er på plads, at der er dokumentation for, at risikovurderinger er anvendt, og at der sker tilstrækkelig ledelsesopfølgning i forbindelse med outsourcing. Alt dette er vi i fuld gang med at sikre, at vi efterlever."

Du kan læse redegørelsen her (PDF).

Læs også:

Nordea havnet i ny byge af it-problemer

Nets ramt af nyt løn-kaos: Men bare rolig, du skal nok få din løn i dag

Nets nedlægger hundredevis af stillinger - 220 mand skal ud




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere