Jeg lovede igår at skrive et blogindlæg om Nets og IBM's sikkerhedsproblem.

Lad mig starte med at slå fast at uanset hvor afskyeligt jeg på alle måder finder blade som Se og Hør, med deres middelalderlige kvindesyn, skadefro bedreviden og kyniske destruktion af mennesker i jagten på profit, så handler den her sag ikke om Se og Hør, den handler om Nets og IBM.

Og om vores politikere.

Der er rigtig mange ting der bør graves i, så jeg tager dem bare på uprioriteret listeform, så kan I selv sortere.

10.000 kr/måned ?

Det første der slog mig var beløbets størrelse. Jeg er sikker på at Se og Hør kunne have betalt mere og at "vor mand hos IBM" gerne ville have modtaget mere. Det lugter lidt af at der var en begrænsning på hvilke personer eller hvilke kreditkort (eller evt. hvor mange?) der kunne laves "trace" på, som har begrænset denne business opportunity. Mere om det om lidt.

Den anden side af sagen er at hvis man kigger i Prosas eller IDAs lønstatistikker, så er 10.000 egentlig ikke så stor en lønforhøjelse for folk i den tunge ende af branchen.

Havde han også andre "kunder" end Se og Hør ?

God, Root, what is difference ?

Hint: Userfriendly

Folk hvis titel starter med "system-etellerandet" har som regel ret god adgang til at gøre hvad fanden det passer dem med både hardware og software.

Det kan godt være at der er logfiler der registrerer hvad de foretager sig, men dem har de også adgang til, ofte er det ligefrem dem selv der har ansvaret for at læse logfilerne og bemærke om der sker noget usædvanligt.

Jeg kender selv jobbet indefra. Jeg har brugt nætter og weekender på at få ting til at virke efter "mindre uvæsentlige software opdateringer", balanceret filsystemer og databaser, debugget kerner og devicedrivere osv. osv. Jeg har faktisk fået et timeregistreringsystem til at advare om at uret muligvis gik forkert, fordi jeg i en periode arbejdede mere om natten end om dagen.

Jeg har også modtaget skideballer for at møde til frokost, fra folk der ikke ville fatte at jeg havde været der indtil klokken seks om morgenen og bare havde været hjemme og få et brusebad, en portion havregryn og to timers søvn. Jeg har også taget på vandreferier i Finland, alene fordi jeg vidste at der var over tyve km til nærmeste telefon og selv hvis de fandt telefonnummeret til den, talte den kun finsk og anede ikke hvem eller hvor jeg var.

Og nej, det er egentlig ikke ret behageligt at sidde og rode med noget der overhovedet ikke virker, mens IT-chefen, Finansdirektøren og den Administrerende står og kigger dig over skulderen, mens de snakker om hvad de skal gøre hvis ikke regnskabet kan offentliggøres imorgen klokken 10 som lovet.

I virksomheder hvor ting virker, er systemfolkene blandt de mest betroede og værdsatte medarbejdere: Der er aldrig noget pis med dem og ting virker, eller kommer til det meget kort tid efter at man beder om deres hjælp. Omvendt ved chefen at når de siger "vi skal bruge en XXXX" så skal der skrives under på en indkøbsordre og hvis de siger "det er en dum ide" skal der tænkes om. Lønnen er sat fornuftigt.

I virksomheder hvor ting ikke virker er der åben skyttegravskrig, næsten helt ud i BOFH-agtige tilstande, med rigide krav om udfyldning af timesedler fra den ene side, lige så rigide krav om service-vinduer og afspadsering fra den anden side og "uafhængige konsulenter" til at vurdere om det nu også er en XXXX der er brug for. Lønnen er ofte sit helt eget Dybbøl.

Alle andre kan personaleafdelingen muligvis slippe afsted med at behandle som "udskiftelige resourcer", men i dette lille hjørne af firmaet bliver de nødt til at smøge ærmerne op og gøre et ordentligt stykke arbejde og det falder dem åbenbart utroligt svært. Kun én personalehåndbog har jeg set, som åbent og ærligt skrev "For systemafdelingen gælder særlige regler på grund af deres særlige arbejdsvilkår."

Systemfolk er et "fact of life", selv ikke NSA med deres uendelige budget kunne undvære folk som Edward Snowden og ingen der aner hvad de taler om, tror på at deres projekt med at automatisere den slags jobs når nogen steder.

I min optik har PBS/Nets/IBM et meget stort forklaringsproblem:

Hvordan kan en medarbejder i en så betroet stilling være til falds for kun 10.000 kroner om måneden ?

Ja, det er nemt undskylde sig med "et enkelt bråddent kar" med rod i privatøkonomien, men er det ikke netop hvad man har "moderne personaleledelse" til at forhindre ?

Var der slet ikke nogen advarselstegn ?

Hvad med MUS-samtalerne, var det bare skuespil ?

Og præcist hvad er en "sikkerhedsgodkendelse" egentlig værd, når det kommer til stykket ?

Den tekniske facilitet

Der er ingen tvivl om at der findes en facilitet i betalingskortssystemerne der gør at man kan sætte et "trace" på et bestemt kort, jeg ved faciliteten existerer i andre lande når Visa/Mastercard skal håndteres og jeg kan ikke forestille mig at Danmark er nogen undtagelse.

Det er uden tvivl også den facilitet politiet anvender og de vil formodentlig gerne have at det er real-tid, så de kan anholde folk de er efter, f.eks skatteål på weekendbesøg osv.

Sender faciliteten ligefrem en SMS i real-tid ? Det ville være en indlysende måde for Nets og senere IBM at undgå en masse papirtransaktioner: Kriminalassistent (1. grad) Thormod Jensen skriver simpelthen sit mobilnummer på dommerkendelsen og så kommer data bare væltende ind.

Hvis Datatilsynet ikke var en parodi på sit navn, ville de have sparket døren op så snart de havde læst gårsdagens avis, for at se nærmere på den facilitet, inden nogen byggede den om.

Er der nogen logfil med hvem der tilføjer/sletter den slags overvågning ?

Er der en logfil der viser hvilke beskeder der faktisk er sendt og til hvem ?

Er der nogen der faktisk læser disse logfiler ?

Er der en positiv liste med hvilke telefonnumre der kan sættes på listen ?

Og huskede PBS/Nets/IBM at kigge listen igennem da de fyrede medarbejderen ?

Har IBM et problem ?

Det er ikke indlysende for mig at IBM har et juridisk problem.

IBM har lavet en eller anden driftaftale og har i den forbindelse overtaget de medarbejdere der skulle udføre den, men selve systemerne og procedurene har de overtaget "as is" og det er helt sikkert at enhver forandring skulle godkendes af Nets, hvis ikke ligefrem initieres af Nets.

Selvfølgelig pynter det ikke på IBMs omdømme, men jeg har set nok IBM kontrakter til at vide at aben helt sikkert er parteret så hele liget ligger på Nets side af bordet.

Men IBM var for nogle måneder ude med en nyhed om at de ville fyre en masse specialister og hyre dem ind på "nul-time kontrakter" når der var brug for dem.

Hvorledes rimer dette med jobs som dette, hvor det eneste der står imellem data og misbrug er medarbejderens integritet ?

Ville en medarbejder der ikke aner hvor mange timer han kan få lov til at arbejde næste måned være langt mere fristet til at finde kunder som Se og Hør ?

Jeg håber rigtig meget at IBM får et kommercielt problem ud af den her sag:

I min optik bør sagen få alle der har outsourcet IT drift til udenlandskejede virksomheder til at genoverveje om de faktisk får mere værdi og frem for alt mere sikkerhed for pengene på den måde.

Det vil kræve utrolig solid dokumentation før jeg tror på at svaret faktisk er "ja".

Har PBS/Nets et problem ?

Om de har!

Der er sket brud på et antal love og kontrakter og alle fingrene peger direkte på at det var PBS/Nets der skulle sørge for at det ikke skete.

Men kan de faktisk holdes til ansvar for deres svigt ?

Nej, det kan de formodentlig ikke.

Jokke og Danielsen kunne muligvis anlægge sag i byretten om brud på privatlivets fred mv. men det er ikke klart om de kan gøre det imod andre end Se og Hør.

Visa/Mastercard kan muligvis brokker sig forhold til deres franchise kontrakt, men de har ingen grund til at vise tænder, tværtimod, de vil sikkert gøre alt for at distancere sig fra sagen.

Og datatilsynet ?

De har formodentligt stadig råd til at printe et par ark hvor de udtrykker bekymring og til frimærke til konvelutten, men så er deres budget, resort og kompetencer nok også udtømt.

Og Kriminalassistent (1. grad) Thormod Jensen, vil utvivsomt forklare unge Holm at sagen er politisk og at politiet derfor Absolut INTET foretager sig. (Med mindre ministeren ringer, naturligvis.)

Og ministeren ringer ikke, for der er igen minister der har ansvaret for borgernes privatliv og sikkerheden i offentlig IT.

Har Danmark et problem ?

Ja og det er ikke noget nyt problem.

For blot få uger siden forsikrede politikere og direktører det ikke anede en skid om hvordan computere faktisk virker og hvilke udfordringer drift og vedligehold af computere med personfølsomme oplysninger udgør, at der overhovedet ikke var nogen problemer I at sælge Nets til udlandet.

Det er utroligt sjældent at vi som IT-sikkerhedsfolk allerede så kort tid efter kan synge "Hvad sagde vi?" sangen, men denne gang er der en smule håb for et pædagogisk fremskridt.

Ovenikøbet kommer sagen to dage efter at en dommer i USA fastslog at firmaer med forretning i USA er tvunget til at udlevere data fra deres udenlandske besiddelser hvis USAs myndigheder beder om det, en dom der omfatter alle "the usual suspects" CSC, IBM, KMD, Google, Microsoft osv.

Og nogle måneder efter at kørekorts- og Schengen-registrene blev hentet på en piv-åben FTP server hos CSC.

Så jo: Det var og er allerhelvedes store IT-sikkerhedsproblemer i at Nets blev solgt til udlandet, uanset hvad der blev skrevet med småt i denne eller hine kontrakt eller aftale og beviset derfor er nu plastret ud over alle avisforsider.

Kritisk dansk IT infrastruktur, hvad enten det er CPR, EPJ, eBoks, NemID eller Dankortet, bør drives af staten selv, i et statsejet datacenter, bemandet med statstjenestemænd i vellønnede sikre jobs, så deres loyalitet aldrig kommer i tvivl -- og da slet ikke for 10.000 sorte kroner fra et smudsblad.

Endnu idag sidder en svensker på guderne vide hvilken måned og helt uden god grund varetægtsfænglset her i Danmark, for at have demonstreret hvor elendig sikkerheden er i de offentlige IT-systemer der er blevet ansvarsparteret af outsourcingkontrakter med store udenlandske virksomheder som ikke kan drages til ansvar for noget som helst.

En fornuftig politisk reaktion på denne sag, ville være at frafalde alle anklager imod denne svensker, give ham en uforbeholden undskyldning og tilbyde ham jobbet som øverste chef og ansvarlig for IT-sikkerhed og privatlivsbeskyttelse i alle IT systemer der omfatter mange danske borgere.

Han er bevisligt langt mere kompetent til det job, end alle dem der idag har travlt med at bevise at det ihvertfald ikke var deres ansvar.

phk