Leder: Stram op, teleselskaber og myndigheder!

Lederen fra dagens udgave af Ingeniøren.

Rettet med præcisering af svar fra Center for Cybersikkerhed. Se bunden af lederen.

Skvatmikler! Sådan lyder overskriften på det første debatindlæg under en artikel på Ingeniørens it-medie, Version2. I artiklen fortæller både Erhvervsstyrelsen og Data­tilsynet, at de ikke agter at gribe ind over for den svindel med sim-kort, som teleselskaberne har ladet en ladeport stå åben for.

Ingeniøren har ellers dokumenteret, hvordan det er muligt på sit glatte ansigt – helt bogstaveligt talt – at få medarbejderne i et udvalg af telebutikker fra tre af landets fire mobiloperatører til at udlevere nye simkort. De burde som minimum kræve billed-ID, for som vi her i spalterne har dokumenteret, kan et sim-kort, og dermed adgang til en andens telefonnummer, bruges til at overtage vedkommendes digitale identitet på ganske få minutter: mail, sociale medier, fotos – fortsæt selv listen. Så godt som alt, der ikke kræver NemID, har de fleste danskere sikret med deres telefonnummer eller mail, som telefonen også åbner for adgang til.

På den baggrund er det naturligvis helt uansvarligt, at kun et enkelt teleselskab gør det umuligt for svindlere at få udleveret sim-kort, som tilhører en anden persons telefonnummer. Det erkendte selskabernes ledelse selvfølgelig også, så de lovede bod og bedring efter Ingeniørens første afsløringer.

Men bedringen har endnu ikke indfundet sig efter tre uger, hvor problemstillingen har været skreget ud på såvel vores forside som i bedste sendetid på P1 og 24syv, hvor vores journalister har udlagt den uhyggelige tekst for den brede befolkning. Som Version2 i dag offentliggør, har journalisterne igen fået udleveret nye sim-kort uden at vise ID.

Skvatmikler kan man godt kalde de teleselskaber, der gambler med vores digitale sikkerhed ved at lade det være op til tilfældige medarbejdere ude i deres butikker at afgøre, om de vil udlevere et sim-kort til en kunde uden ID. Selskaberne burde for længst have ændret deres it-systemer, så de absolut kun tillader at udlevere et nyt sim-kort til nummerets retmæssige ejer. At det er muligt, viser TDC-ejede Yousee, som er det eneste af de fire selskaber, vores journalister ikke kunne få nye sim-kort fra på deres blå øjne.

Det var imidlertid ikke teleselskaberne, som debattøren på Version2 sigtede til med ordet skvatmikler. Det var derimod myndighederne, hvis opgave det er at holde selskaberne i ørerne. Lad os tage dem én ad gangen, for der er nemlig hele tre:

Datatilsynet skal holde øje med,om virksomheden beskytter personlige data, herunder et telefonnummer, tilstrækkeligt. Det er, konstaterer tilsynschefen – på linje med de juridiske eksperter – direkte ulovligt for teleselskaberne at åbne en ladeport for at stjæle kundernes identitet på den måde. Han har dog ikke tænkt sig at føre et ekstra tilsyn. For der er jo ikke tale om ond vilje, og selskaberne har selv lovet at stramme op, siger han.

Nogenlunde samme sang lyder fra Erhvervsstyrelsen, som holder øje med, at teleselskaberne lever op til den lovgivning, der er specifik for netop den branche. Selskaberne skal selv indberette, hvis de oplever sikkerhedsbrister, og det har de ikke gjort. »Erhvervsstyrelsen har derfor ikke på nuværende tidspunkt fundet anledning til at foretage sig yderligere over for selskaberne,« hed det i den skriftlige udtalelse, vi kunne få fra styrelsen.

Det er jo helt sort, at en styrelse venter på, at en branche selv indberetter svigt, og ovenikøbet sover videre, når journalister dokumenterer, at det ikke sker. Trygt er det heller ikke, når Datatilsynet blindt tror på virksomhederne selv og overlader det til journalister at dokumentere, at de ikke lever op til den tillid.

Den lemfældige omgang med sim-kort udstiller således endnu en gang, at ansvaret for vores privatliv og it-sikkerhed er spredt på for mange offentlige enheder. De fremstår uden koordinering, uden konsekvens og uden den nødvendige pondus til at beskytte os, når der er mest brug for det. På den baggrund er det ikke svært at forstå debattørens ordvalg. Skvatmikler!

/mbr

Af lederen fremgik det tidligere, at Center For Cybersikkerhed ikke havde besvaret vores henvendelse i sagen. Efter avisen – og dermed lederen – blev sendt i trykken onsdag aften har CFCS imidlertid besvaret vores henvendelse. Version2 bringer senere fredag et interview med centerleder Thomas Lund Sørensen, hvor han lover, at CFCS går ind i sagen.


Lederen udtrykker Ingeniørens holdning, der fastlægges af vores lederkollegium.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

..., og for at grave denne sag op og forfølge den. Lad os håbe, at der ikke om en måned er brug for at finde endnu grovere udtryk end "skvatmikler" frem. Jeg kunne godt have mine bange anelser - vil allerede nu begynde at arbejde på liste med passende betegnelser.

  • 9
  • 0
Knud Larsen

Skvatmikler ?
Ja jeg bliver kritiseret for at være for grov selv om jeg aldrig har brugt ordet eller lignende i en artikel.
Men myndigheder og Folketing burde kunne forstå, at når borgerne udsættes for grover overgreb som tyveri (tilbageholdelse ulovligt af skatteydernes penge) eller domme på forkerte og upålidelige teledata (der i parentes er forbudt i øvrigt).
Ja så må det være berettiget at hæve 'råbet'

Godt gået Ingeniøren - helt berettiget.

  • 4
  • 0
Christian Nobel

At I ikke ufrivilligt kommer til at gå Nets' ærinde:

Så godt som alt, der ikke kræver NemID, har de fleste danskere sikret med deres telefonnummer eller mail, som telefonen også åbner for adgang til.

for lige præcis sådan et udsagn kan sagtens af politikere risikere at blive taget ud af konteksten, og brugt som løftestang til at indføre endnu mere omklamring af det Nets' drevne SSO system.

Og det er i hvert fald ikke vejen frem i et demokrati.

Men ellers, selvfølgelig helt enig med lederen, det er alt for slapt.

  • 5
  • 1
Klavs Klavsen

@christian Nobel:
Selvom den nuværende NemID model er monopolistisk, Så er den trods alt statsligt ejet og så håber jeg da at den næste runde - har kigget lidt på hvordan det gøres i England - der som jeg forstår det understøtter flere udbydere af "NemID" - og generelt gør det til en konkurrence situation - hvor brugerne "alle stadigvæk fungerer"..

Alternativt skulle vi have et statsligt drevet center for det - ligesom vi har baneDanmark.. men du kan jo desværre selv se hvor lang tid det tog dem, at gøre noget ved signalsystemets vedligehold f.ex.. Såe det er jo ikke som om det altid går lige godt :(

Eller mener du slet ikke at vi skal have en fælles måde at identificere/authentikere os via digitale grænseflader?

Lige præcis her - er det jo netop gået galt, fordi man tillod at det kunne gøres "på gammeldags fysisk maner" - og mennesker er jo som bekendt ikke de bedste til at lave noget fejlfrit :)

  • 1
  • 1
Niels Dybdahl

Nye SIM-kort til eksisterende telefonnumre burde håndteres mindst lige så sikkert som nøglekort til NemID. En tilfældig medarbejder i en telebutik burde ikke have mulighed for at lave et nyt SIM-kort til et eksisterende telefonnummer. Send det med posten til folkeregisteradressen (lige som nøglekortet) og informer via SMS. Det vil hæve sikkerheden en hel del.

  • 4
  • 0
Christian Nobel

Eller mener du slet ikke at vi skal have en fælles måde at identificere/authentikere os via digitale grænseflader?

Jo, men det kunne man passende gøre med en ægte digital signatur (som så passende også reelt kunne leve op til den bagvedliggende lov), og så en statsligt styret (ejet) CA.

Det ville også bringe os ind i dette århundrede, da det dermes også ville blive meget nemmere for private at sende signerede emails til hinanden - og nej det problem adresseres ikke med at der er to "post" udbydere, en til offentlige skrivelser, og en til forsikringsselskaber, banker og lignede virksomheders pamfletter.

  • 4
  • 0
Christian Nobel

Jeg gentager lige hvad jeg skrev for nogle uger siden i en anden debat:

Hvad nu hvis teleselskaberne kommer ind i dette århundrede, og erkender at et 8 cifret "identifikationsnummer" er soooo last century, og i stedet indser at deres rolle fremover udelukkende er som dataflyttere, på samme måde som vandselskabet ikke sender øl i et rør, og sodavand i et andet.

Ved overgang til ren IP telefoni kan man fuldstændig uafhængigt af selskaber flytte sin telefoni med sig, og roaming bliver et levn fra gamle dage.

Så det eneste selskaberne skal sælge er rene datakort, intet andet.

Bevares, det vil så betyde at man ikke kan bruge telefonnummeret som sikkerhed, men det tab vil jeg græde tørre tårer over, og det vil også betyde at det bliver sværere for snageindustrien at overvåge brugerne, og det vil jeg så græde endnu flere tørre tårer over.

Mao. kære teleselskaber: kom ind i det 21' århundrede, og tilpas jer allerede nu til den fremtid der uundgåeligt vil komme.

  • 2
  • 0
Klavs Klavsen

Jo, men det kunne man passende gøre med en ægte digital signatur (som så passende også reelt kunne leve op til den bagvedliggende lov), og så en statsligt styret (ejet) CA.

Her er jeg helt enig.. Jeg ville elske at gå tilbage til det.. Desværre så kan man ikke engang tilvælge det nu - da Nets/NemID bare udsteder en "ekstra" digital signatur til en, hvis man forsøger at logge ind med nøglekort istedet for den PKCS-11/usb stik man har købt til at opbevare sin egen genereret nøgle på :(

Jeg synes så faktisk producenter som yubikey er længere med deres gpg nøgler.. end Gemalto mm. er med deres x509/digital-signatur nøgler. Med min Yubikey kan jeg f.ex. kræve touch - så hver enkelt operation (eller kun enkelte af de 3 operationer man kan lave med gpg nøgler) kræver fysisk touch HVER gang.

  • 0
  • 0
Jesper Nielsen

Send det med posten til folkeregisteradressen (lige som nøglekortet) og informer via SMS. Det vil hæve sikkerheden en hel del.

De skal bare nøjes med at udlevere inaktive SIM-kort, så man som kunde selv kan aktivere det via selvbetjening.

Hvis de skal sende SIM-kortet til folkeregisteradressen kan man komme til at vente 2-8 eller flere dage, og det er LANG tid at gå uden telefon. Og hvad nu hvis man bor i Jylland men er på ferie på Bornholm?

Det at udlevere et inaktivt SIM-kort er ikke farligt, men sikrer at man som kunde stadig kan få løst sit problem her og nu, uanset hvor i landet man har været uheldig.

  • 3
  • 0
John Foley

Tak til version2 for at forfølge og oplyse om de danske myndigheders svigt og manglende insats - også i denne sag.
Selvsagt har de nævnte myndigheder et ansvar, men forsøger som altid og traditionen tro, at forklare, hvorfor de ikke skal eller kan øre noget - rent Kafka!
Danmark og dets skatteborgere har betalt mega mange kroner til en myndighed, der kalder sig Center for Cybersikkerhed. Men det er meget lidt sikkerhed vi får og alt for lidt vi får for pengene, ikke mindst fordi CFCS ikke er nogen hjælp inden og når det går galt. Rent "hovski- snovski -agtigt" henholder CFCS sig til at man ikke vil udtale sig - det er jo så hemmeligt, alt sammen. Sandheden er desværre den at de ikke aner hvad der foregår og gemmer sig bag "sikkerhedskortet" og ikke er den beskyttelse som samfundet og befolkningen har krav på. De er mere systemets og statens lakajer, og lidt at sammenligne med det DDR var kendt for. Men nu med helt andre effektive midler til rådighed.
PET, FE og CFCS påstår at de sikrer Danmark. Jeg påstår det modsatte. ikke mindst set i lyset af at FE nu klargør til at Danmark kan benytte cybervåben offensivt som angrebsvåben, jf. den netop udsendte doktrin for anvendelse af cybervåben. Danmark, som er det mest digitaliseret land i verden, vil være et oplagt mål, såfremt de, der gerne vil eskalere krigen i cyberspace, får lov til det. Danmark vil lide ufatteligt og være et oplagt mål såfremt militæret og efterretningstjensterne får lov til at gøre det de helst vil. Vores politikere er desværre slet ikke klar over hvad de har gang i og embedsværket, især i PET og FE fortæller dem ikke sandheden, og får rigtigt mange penge til at finansiere deres projketer, der i værste fald kan destabilisere vores samfund og føre til krig i cyberspace og demokratiets fald.

  • 3
  • 0
Christian Nobel

Selvsagt har de nævnte myndigheder et ansvar, men forsøger som altid og traditionen tro, at forklare, hvorfor de ikke skal eller kan øre noget - rent Kafka!

Uden ellers at være uenig i dit indlæg, så vil jeg nok mene at sammenligningen med Kafka ikke er den bedste, da Kafka typisk skrev om systemer hvor "den lille mand" var oppe mod et system som i det store hele ikke "eksisterede", men bare var et system som bestemte - lidt ala den måde som kommuner og andre myndigheder vha. "digitalisering" og AI sørger for at ingen borgerhenvendelser får lov til at trænge igennem, og beslutninger foretages uden borgeren har mulighed for indsigelse.

Desværre må man sige at Kafkas fortællestil og sprog var ganske rædselsfuld, så det er en lidelse at læse, men uagtet hvad, så bør man i det mindste prøve at kæmpe sig gennem Processen, den er stadig ekstemt skræmmende.

Litterært vil det nok bedre passe at sammenligne med Orwells Kammerat Napoleon, hvor eliten påstår at vi alle er lige, men den i virkeligheden i praksis har en helt anden holdning.

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize