Siden 2014 har Finanstilsynet arbejdet på en gennemgang af it-sikkerheden i Nets.
I midten af denne uge faldt dommen, der har udløst en massiv kritik af virksomheden, som blandt andet administrerer NemID og digitale betalinger i Danmark.
Vi har samlet de konkrete kritikpunkter nedenfor, så du kan få et overblik over hvilke områder, der halter i Nets' it-sikkerhed.
Seks indsatsområder
Finanstilsynet har gennemtrevlet udvalgte dele af Nets it-systemer og -politikker og har i rapporten set på følgende seks områder:
- Den generelle sikkerhedsstyring
- Strategi
- Organisation
- Beredskabsplaner
- Sikkerhedspolitikker
- Retningslinjer
Helt konkret har Finanstilsynet gennemgået de procedurer, som Nets anvender til styring af adgange til systemer og data, ændringshåndtering, kontrol med outsourcede it-funktioner samt krav og procedurer til kontrol og rapportering.
Kritikpunkter
Efter at have set Nets godt og grundigt efter i kortene er Finanstilsynet nået frem til en stribe konklusioner.
De lyder således:
Nets har ikke i tilstrækkelig grad implementeret en dokumenteret it-risiko- og sikkerhedsstyring på tværs af virksomheden.
Net har ikke tilstrækkelig fokus på at it-risici er synliggjorte og imødegået på tværs af Nets samt outsourcing-leverandører.
Ligeledes fortæller rapporten - uden at være meget specifik - at der er konstateret flere svagheder, hvor ledelsen i Nets fremadrettet skal sikre, at risici er tilstrækkeligt synliggjorte og imødegået.
På den positive side vurderer Finanstilsynet, at Nets har betydelig fokus på efterlevelse af krav og kontrolstandarder, herunder PCI-krav.
Disse krav er opstillet af de internationale kortselskaber, der har udarbejdet nogle sikkerhedsstandarder, som gælder i forbindelse med alle kortbetalinger.
Dette skal løses
Arbejdet med rapporten har udmøntet sig i en stribe påbud til Nets.
Finanstilsynet forventer således at it-sikkerhedspolitikken "tager afsæt i en dokumenteret it-risikovurdering, samt at ansvar og forventninger mellem direktion og bestyrelse, i relation til it-sikkerhedsstyringen, rapportering og ledelsesopfølgning, præciseres og implementeres."
Med andre ord skal Nets styrke sin dokumentation og ledelsens forankring i it-sikkerheden i virksomheden, der hidtil ikke har været god nok.
Fremtidens dokumentation skal blandt andet bestå i at vise, at it-sikkerhedspolitikken er tilstrækkeligt implementeret i firmaet.
Se og Hør-sagen spøger
Ligeledes skal der være en mere tydelig ansvars- og rollefordeling i forbindelse med de medarbejdere, der arbejder med it-sikkerhed og i forbindelse med de outsourcing-partnere, der håndterer opgaver for Nets.
Læs også: Ekspert: Se og Hør-sag kunne være undgået med mindre kontrol
Sidst men ikke mindst er der i forlængelse af Se og Hør-sagen blevet lagt et påbud om, at der strammes op i forbindelse med tildeling af adgange og rettigheder til systemer og data samt procedurer omkring it-sikkerhedslogning.
Til kritikken siger Nets' kommunikationschef, Karsten Anker Petersen, følgende:
"Det er vigtigt at bemærke, at Finanstilsynet ikke konkluderer, at konkrete data har været kompromitteret, eller at der har været svigt eller lignende i vores systemer."
"Finanstilsynets påbud handler primært om, at vi i højere grad skal sikre, at de rette processer er på plads, at der er dokumentation for, at risikovurderinger er anvendt, og at der sker tilstrækkelig ledelsesopfølgning i forbindelse med outsourcing. Alt dette er vi i fuld gang med at sikre, at vi efterlever."
Du kan læse redegørelsen her (PDF).
Læs også:
Nordea havnet i ny byge af it-problemer
Nets ramt af nyt løn-kaos: Men bare rolig, du skal nok få din løn i dag
