Nordeas sikkerhedsbrist: Fremmed fik ubegrænset adgang uden MitID

Nordea har en sikkerhedsproblem, som burde få rødt lys til at blinke på direktørkontoret. Ifølge Ingeniøren fik en fuldstændig fremmed person adgang til erhvervskontoen tilhørende Lene Kærby uden at skulle legitimere sig gennem MitID – Danmarks digitale sikkerhedssystem. Det var ikke hackermagik eller avanceret cyberkriminalitet. Det var en menneskelig fejl.

Fra sikkerhed til kaos på få håndgreb

Sagen illustrerer en grundlæggende fare ved moderne bankvirksomhed: når mennesker fejler i sikkerhedsprocedurerne, kan konsekvenserne være omfattende. Lene Kærby opdagede først efter, at den uautoriserede person havde haft fuld adgang til hendes erhvervskonto – uden begrænsninger og uden sporbar godkendelse. Det betyder, at banken ikke blot fejlede én gang, men tillod adgang til følsomme finansielle data uden de sikkerhedslag, som kunderne har ret til at forvente.

Nordea har erklæret sagen for »løst«. Det ord vil formentlig give Lene Kærby kolde gysninger. Løst betyder ikke, at problemet er forklaret eller at det ikke kan ske igen. Det betyder blot, at banken mener at have stoppet det øjeblikkelige problem.

Mistillid i stedet for ro

En tillidskrise opstår ikke, når systemerne fungerer. Det sker, når virksomheder fejler og derefter minimerer problemet. For erhvervskunder, som afhænger af bankens sikkerhed for at drive deres forretning, er sådan en hændelse en alvorlig anfægtelse.

Spørgsmålet, som Lene Kærby med rette stiller, er ikke blot hvordan det kunne ske, men om Nordea har det helt styr på sin interne sikkerhedskultur. Når menneskelige fejl åbner døre for uautoriseret adgang, handler det ikke længere kun om IT-systemer – det handler om organisationskultur og ansvar.