«Hold kjeft, så går det nok over» - det holder dessverre ikke lenger, Nordea. (Bilde: Bloomberg/All Over Press)

Nordea holder kundene for narr

Holdt kjeft om datainnbrudd. Fortjener de å ha kunder da?

KOMMENTAR: Historien som rulles opp i Nacka tingrett utenfor Stockholm i disse dager er uten sidestykke i moderne IT-sikkerhetshistorie.

    Les også:

Kriminelle har ikke bare brutt seg inn i datasystemene til Nordea og IT-leverandør Logica (som siden har endret navn til CGI), skaffet seg adgang til følsomme kundeopplysninger og forsøksvis tappet bankkonti for penger.

Innbruddet skal ha skjedd i stormaskinen, det vil si direkte i bankens kjernesystem. Til alt overmål skal dette ha skjedd med angrep via internett.

Det er egentlig ikke til å begripe. Stormaskinen som bankens hjerte er infrastruktur som har bevist sin robusthet i nærmere 60 år. Antakelig har vi å gjøre med en kjede av hendelser der angriperne har utført flere sikkerhetsbrudd og skrelt seg innover lag for lag.

Problemet er at det vet vi veldig lite om.

Nordea har nektet å kommentere forholdet. De har ikke gått ut med et fnugg av informasjon i offentligheten, verken til kundene sine eller på annet vis, for å belyse hva som har skjedd. Eller at det i det hele tatt hadde skjedd noe.

De anmeldte ikke en gang saken til politiet. Det stiller banken i et meget dårlig lys.
OPPDATERT: 17. mai, dagen etter denne kommentaren ble skrevet, ble det kjent at saken faktisk ble politianmeldt. Dette skjedde ikke i Sverige, men i Danmark. Les mer om det helt nederst i denne kommentaren.

Jeg vet ikke hvem som kom opp med uttrykket «sikkert som banken», men bankene har levd godt med den gamle floskelen. En bank er helt avhengig av tillit, og det oser ikke akkurat tillit av det å feie slike alvorlige forhold under teppet.

Hvor trygge er pengene dine hvis de er lagret hos Nordea? At sånne spørsmål i det hele tatt blir naturlige å ta opp bør vekke bekymring. Banken må nå komme på banen og blottlegge hva som faktisk skjedde.

Selvsagt er åpenhet om datainnbrudd vondt å svelge, men det er nødvendig. På sikt sikt vil selskapene også bli tvunget til å avsløre sikkerhetsbrudd.

Personverndirektivet i EU skal som kjent erstattes med en forordning (som gjelder i alle medlemsland og EØS straks det er vedtatt), samt et nytt politidirektiv. En del av sistnevnte vil kreve at bedrifter som er utsatt for alvorlige datainnbrudd må informere om det. Men dette ligger fram i tid og kommer først når EUs saktemalende kvern har gjort sitt.

Selskaper har ikke råd til å vente på dette. Hvis katastrofen er et faktum må de på banen og fortelle ansvarlige myndigheter om det. De bør også melde ifra til kundene.

Hvis ikke så lyver de til kundene sine. Da fortjener de ikke lenger å ha noen.

OPPDATERT: ComputerSweden, avisen som først omtalte Nordea-saken, meldte 17. mai at Nordea faktisk hadde politianmeldt innbruddet. Politianmeldelsen ble gitt til dansk politi. Mer om den saken kan du lese hos ComputerSweden på denne lenken.

    Les også:

Til toppen