»Helt absurd«: Sag om sim-kort-sjusk afdækker telesektorens kludetæppe af myndigheder

30. september 2019 kl. 05:053
»Helt absurd«: Sag om sim-kort-sjusk afdækker telesektorens kludetæppe af myndigheder
Illustration: Lasse Gorm Jensen.
Grænsen mellem telesektorens mange myndigheder er uklar nok til, at det kan skabe forvirring i både branchen og hos myndighederne selv, mener juraprofessor.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Først ville ingen myndigheder handle på baggrund af Version2 og Ingeniørens afsløringer af, at danske telebutikker uden at se ID udleverer nye sim-kort med adgang til abonnenters telefonnumre og dermed mailkonti, sociale medier osv.

Sidenhen har både Datatilsynet og Center for Cybersikkerhed indkaldt branchen til møder, mens Erhvervsstyrelsen har »gjort hele telebranchen klart, at denne type brud er omfattet af indberetningspligten, og Erhvervsstyrelsen følger udviklingen på området tæt«.

Sim-swapping

Når en angriber skaffer et aktivt sim-kort til et eksisterende telefonabonnement og dermed overtager offerets nummer, kaldes det sim-swapping.

Ingeniøren og Version2 har ved en stikprøve for tre uger siden vist, at fænomenet er yderst muligt i Danmark,

Dengang lovede teleselskaberne, at de ville stramme op. Det er ikke sket, viser en ny stikprøve.

Med kontrol over nummeret kan angriberen starte en lang række svindel- og hackerangreb; fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne for offerets onlineliv.

Men hvordan kan myndighedsansvaret i en så enkel sag være så uklart? Spørger man professor i blandt andet telejura ved Copenhagen Business School Søren Sandfeld Jakobsen, kan svaret ligge i, at myndighederne ikke nødvendigvis selv ved, hvem der skal sætte ind, når borgernes it-sikkerhed og privatliv sættes over styr af telebranchen.

»Noget kunne tyde på, at der heller ikke blandt myndighederne er 100 procent styr på, hvem der gør hvad,« vurderer han.

Artiklen fortsætter efter annoncen

Og når myndighederne – og en førende forsker på området – ikke kan vide sig sikre, gør det naturligvis også området kompliceret for teleselskaberne.

»Det er naturligvis problematisk, hvis der sker noget alvorligt, at selskaberne ikke nødvendigvis ved, hvem de skal gå til. De skal virkelig tænke sig godt om for at gennemskue, hvem der er myndighed i hver enkelt situation,« påpeger Søren Sandfeld Jakobsen.

Sim-swapping kræver tre indberetninger

Når et område som sim-swapping ikke blot falder under en enkelt myndighed, skyldes det de forskellige stykker lovgivning, der overlapper på området.

Dels er der flere myndigheder, der har sektoransvar på teleområdet. Det gælder Energistyrelsen og Erhvervsstyrelsen, men derudover kommer der andre stykker lovgivning i spil.

Et sikkerhedsproblem i telenettet falder eksempelvis under Net- og Informationssikkerhedsloven, i daglig tale NIS-loven. Den håndhæves af Forsvarets Efterretningstjenestes Center for Cybersikkerhed.

Samtidig ligger teleselskaberne inde med store mængder persondata, som kan blive kompromitteret ved eksempelvis sim-swapping. Det er Datatilsynets ansvar. Men derudover har også Erhvervsstyrelsen regler om persondata i telebranchen.

»Falder den under både Erhvervsstyrelsens regler om persondatasikkerhed i telesektoren samtidig med NIS-loven og den almindelige persondatalovgivning, så er det alle tre myndigheders bord,« vurderer han med henvisning til Erhvervsstyrelsen, Center for Cybersikkerhed og Datatilsynet.

»Vi står i en situation, hvor en meget enkel og konkret sag kan aktivere tre forskellige regelsæt og tre forskellige tilsynsmyndigheder på samme tid,« siger Søren Sandfeld Jakobsen og understreger, at de tre regelsæt supplerer hinanden og derfor uden videre kan være gældende på samme tid.

Konkret betyder det, at et tilfælde af sim-swapping ifølge hans vurdering bør indberettes til alle tre myndigheder.

»Det lyder jo helt absurd, ikke?« spørger professoren retorisk.

Artiklen fortsætter under grafikken.

Én myndighed blev til fire

Forklaringen bag den opdeling findes i historikken på området, forklarer han. Oprindeligt var datasikkerhed i telesektoren Erhvervsstyrelsens ansvar, da styrelsen, siden IT-og Telestyrelsen blev nedlagt i 2011, har været den sektorspecifikke tilsynsmyndighed for telesektoren.

»Det gælder stadigvæk ifølge nogle bekendtgørelser. Men under Thorning-regeringen overførte man så det meste af området til Energistyrelsen, fordi der var tale om infrastruktur,« forklarer han.

Den nye myndighed i Energistyrelsen skulle være ansvarlig for alle typer infrastruktur, samtidig med, at Erhvervsstyrelsen beholdt en del af området.

»Netop persondatasikkerhed på teleområdet beholdt man i Erhvervsstyrelsen, mens resten mere eller mindre er overført til Energistyrelsen.«

I samme periode blev Center For Cybersikkerhed oprettet under forsvarsministeriet som en del af Forsvarets Efterretningstjeneste med informationssikkerhed som ansvarsområde.

»Man havde en idé om, at cyberinfrastruktur er – og bliver – så vigtigt, at det bør betragtes på linje med forsvar af andre slags,« konstaterer han.

Det betød, at Danmark nu havde tre myndigheder på teleområdet, hvoraf to havde ansvar for sikkerhed i den ene eller anden form. Det blev yderligere kompliceret af, at den europæiske datasikkerhedsforordning GDPR stødte til i 2018.

Herefter er det et krav, at persondatasikkerhed behandles af Datatilsynet, der er den generelle myndighed på dette område.

»Så har vi fire myndigheder. Og det barokke er, at den primære myndighed på området – nemlig Energistyrelsen – ikke længere har noget at skulle have sagt i den slags sager, selvom de er sektormyndighed.«

Dobbelt-ansvar skulle være droppet

Når to forskellige myndigheder i dag har ansvar for persondataområdet i telesektoren, skyldes det ifølge Søren Sandfeld Jakobsen, at man så at sige har glemt at rydde op.

I 2013, da telesektorens persondataregler i Erhvervsstyrelsens regi blev til, var det nemlig tanken, at de skulle tages op til genovervejelse, efter GDPR var trådt i kraft i 2018, men det er aldrig sket.

»Men det lader til, at man har haft rigeligt med andre ting at tage sig til. Det er bare helt åbenlyst, at det jo ikke går, at man har tre regelsæt, tre underretningspligter og tre myndigheder på dette her område,« siger han med henvisning til, at der kan være tale om alvorlige hackerangreb.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
30. september 2019 kl. 23:52

--- bliver der 1% til hver!

Det sagde en ledelses-guru (af de bedre) for en del år siden på et seminar.

2
30. september 2019 kl. 13:01

Som Anne -Marie siger det, så skulle de tage ansvar men gør det ikke.

Dette svarer helt til rodet på området Skat. Med de mange nye styrelser er det vigtigt at få afgjort: "Hvem er ansvarlig for hvad?". En direkte henvendelse er ikke besvaret af hverken minister eller "Borger- og Retssikkerhedschefen". I stedet har Borger- og Retssikkerhedschefen sendt opgaven for besvarelse videre til en menig medarbejder i Skattestyrelsen. [man forstår de meniges frustration]

Det er tydeligt at borgene bliver kørt over af et udueligt system med ringe ansvars- følelse (det fremgår også tydeligt af Udbytte sagen). I et retssamfund som nogen mener Danmark er, går dette ikke. Vi mangler i den grad en forfatningsdomstol med alt det rod.

1
30. september 2019 kl. 06:53

»Falder den under både Erhvervsstyrelsens regler om persondatasikkerhed i telesektoren samtidig med NIS-loven og den almindelige persondatalovgivning, så er det alle tre myndigheders bord,« vurderer han med henvisning til Erhvervsstyrelsen, Center for Cybersikkerhed og Datatilsynet."

Det er ingen undskyldning for, at både Datatilsynet og Erhvervsstyrelsen valgte at bagatelisere sagen, og lade som om det var under deres område, men at de ikke mente, at sagen var nødvendig at følge op på.

Man burde jo, hvis man var i tvivl om ansvarsområdet, i stedet straks selv have indkaldt til møde med de mulige ansvarlige myndigheder, og så have sørget for at få det opklaret.