Interview:
"Det første, jeg gjorde, da jeg hørte om lækagen i Nets, var at undersøge, om vi benytter eksterne konsulenter til, og om den omtalte person har været ansat i vores virksomhed," fortæller Bente Overgaard, der er koncerndirektør i Nykredit.
Som en rygmarvsreaktion blev der den dag sendt mange mails fra hendes postprogram til blandt andet it-afdelingen.
"Vi anvender ikke eksterne konsulenter til overvågning, så det var hurtigt på plads. Herefter undersøgte vi personansættelser, og igen var der intet sammenfald. Men episoden gav også en anledning til at gennemgå vores egen sikkerhed," fortæller hun til Computerworld.
"Det er rigtig ulykkeligt, at der er misbrug af finansoplysninger. Det kan skabe en mistillid til hele finansbranchen, som ellers er baseret på et tillidsforhold mellem kunde og bank. Vi skal sikre os mod, at medarbejdere misbruger deres stillinger med så mange midler som muligt," siger hun.
I samme åndedrag fortæller hun, at der ikke kan gives en skudsikker garanti mod lækager.
"Det lader sig desværre ikke gøre at eliminere risikoen helt. Hvis en personer vil overtræde reglerne, så kan det lade sig gøre. Men vi gør, hvad vi kan for at forhindre det."
Forretningen bygger på åbenhed
Kunderådgivning i en bank kræver adgang til informationer, og derfor vil bankansatte kende til kundekredsens privatøkonomi.
"I Nykredit har rådgiverne adgang til de relevante data om kunder, for at de kan rådgive bedst mulig."
Derfor udpensles medarbejderansvar og tavshedspligt - og overtrædelse af disse - også udførligt i ansættelsessituationer, fortæller hun.
"Men vi skærmer også informationerne af, for det er bestemt ikke ligegyldigt hvem, der har adgang til hvad."
Så en lækage af den type, vi har set hos Nets, kan ikke ske i Nykredit?
"Det kan jeg desværre ikke helt udelukke, men det er ikke noget, jeg går og er bange for. Vi lægger stor vægt på sikkerheden, og risikoen for at blive opdaget af vores overvågningssystemer er stor. Vi har også en sund medarbejderkultur i Nykredit, og det betyder meget for tilliden."
Automatisk it-kontrol
Ud over tillidsforholdet mellem arbejdsgiver og medarbejder har Nykredits it-afdeling også defineret et automatiseret system, der blandt andet kan anvende log-data til at få alarmklokkerne til at ringe, hvis der dukker uregelmæssigheder op.
"Vi kan følge og logge på de søgninger, der foretages i vores systemer. Vi har opbygget aktive it-sikkerhedsmekanismer, der automatisk ser transaktioner efter i sømmene. Uregelmæssigheder ryger over i en manuel procedure, og i yderste konsekvens bliver den enkelte medarbejder opsagt," fortæller hun.
Så kontrol foregår ikke bare efter fornemmelse?
"Nej, det gør den absolut ikke. Alle i finanssektoren er klar over, at tillid er et kerneområde, der ikke må sættes over styr."
"Det er naturligvis ikke et filter, der er hundrede procent sikkert, men det er efter vores overbevisning så sikkert, som vi kan skabe det på nuværende tidspunkt. Processen er dog under konstant kontrol af vores it-chef og revisionen."
Min nabos data
Kan min bankrådgiver se oplysninger om min nabo, selv om min nabo ikke er kunde hos den samme rådgiver?
"Vi er i den situation, at der foregår rådgivning på flere forskellige måder. Nogle betjenes via call-centre andre via nettet eller rådgivere. Den moderne teknologi åbner mange forskellige veje ind i en finansvirksomhed. Derfor er oplysninger ikke forbeholdt specielle rådgivere. Men det ændrer ikke ved, hvad man må, og ikke må, som rådgiver," siger hun.
Er dette sikkerhedsområde noget I samarbejder om med konkurrerende banker?
"Området er vitalt for alle pengevirksomheder, og vi har et samarbejde på tværs af sektoren via Finansrådet. Ingen har interesse i at havne i en situation, hvor der er mistillid til branchen, og derfor udveksler vi erfaringer. Når vi opdager, at andre gør det bedre end os, så tager vi ved lære af det."
Arbejder I mod fælles standarder for sektoren?
"Det er svært, fordi vi har forskellige procedurer og it-systemer, men det er oplagt at arbejde mod et fælles retningslinjer og måske nogle standarder, der sætter rammer for sikkerheden."
Læs også:
It-sikkerhedsprocedurer i Nets har manglet kontrol i årevis
Det kan vi lære af Se og Hør-skandalen