Hvis Nets og it-firmaet IBM havde brugt sit eget sikkerhedsværn, ville tys-tys-kilden, der lækkede oplysninger til Se og Hør, hurtigt være blevet bremset. Det vurderer flere eksperter i Politiken lørdag.

It-giganten IBM har et avanceret produkt på lager, der ifølge eget udsagn vil “opdage interne trusler og intern svindel”.

Men denne intelligente sikkerhedsløsning, kaldet security intelligence eller SIEM, var efter alt at dømme ikke koblet på Nets’ kreditkortsystem, da det gennem flere år blev misbrugt af en IBM-medarbejder.

IBM har siden 2007 stået for driften af Nets’ systemer. Ifølge en række it-sikkerhedseksperter var tys-tys-kildens ulovlige udtræk af kendtes kreditkortdata mellem 2008 og 2012 hurtigt blevet opdaget, hvis IBM’s eget avancerede sikkerhedssystem havde været installeret – og været korrekt installeret.

– Nets har ry for at have et generelt højt niveau af it-sikkerhed, så det undrer mig, at man ikke har haft et velfungerende security intelligence-system, der har kunnet detektere det her misbrug, siger Klaus Kongsted, administrerende direktør i it-sikkerhedsvirksomheden Dubex, til Politiken.

Security Intelligence er et automatiseret alarmsystem, der skaber overblik over millioner af data og straks slår alarm, hvis der er en unormal adfærd i systemet. Hvis en medarbejder eksempelvis misbruger sin adgang til oplysninger på særlige tidspunkter, registreres og anmeldes det.

Netop fordi security intelligence er et særdeles effektivt redskab, er en række eksperter forundrede over, at IBM tilsyneladende har undladt at tage sin egen medicin i driften af Nets’ kreditkortsystem.

– Misbruget er foregået over så lang tid, at de kontroller, som skulle have været der, har været fraværende. Om IBM har implementeret sine egne sikkerhedsløsninger, er et stort spørgsmålstegn, men hvis de har – så har systemet været installeret forkert, fordi tys-tys-kilden så har haft adgang til at ignorere og slette de alarmer, han selv har udløst, siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS, til Politiken.

Hverken Nets eller IBM ønsker at kommentere sagen, da sikkerhedsprocedurer er “fortrolig information”.

I juridisk forstand er Nets den virksomhed, som er ansvarlig for at beskytte data. Men de tekniske eksperter peger på, at ansvaret for svigtet også påhviler IBM.