Musketer-ed skaber mystik om sms-læk: »Jeg kan ikke garantere, det ikke sker igen«

28. januar 2020 kl. 05:0114
Musketer-ed skaber mystik om sms-læk: »Jeg kan ikke garantere, det ikke sker igen«
Illustration: josefkubes, BigStock.
Det er stadig ikke klarhed omkring, hvilken ‘teknisk fejl’ der sendte op mod 1.000 danskeres private sms’er i hænderne på politiet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hverken TDC, Telia eller Telenor ønsker at kommentere på den seneste logningsskandale, hvor et ukendt teleselskab ulovligt har sendt danskeres sms’er med, når politiet har bedt om at få udleveret teledata.

Selskabernes musketer-ed om ikke at forklare sig gør, at offentligheden stadig ikke kan få oplyst, hvilken såkaldt ‘teknisk fejl’ der har sendt op mod 1.000 danskeres private sms’er til politiet.

I stedet henviser alle selskaberne til Teleindustrien, der organiserer branchen.

»Jeg kan ikke sige, hvilket teleselskab der er tale om. Det skyldes, at politiet og Erhvervsstyrelsen indtil videre har valgt ikke at melde ud, hvilket selskab fejlen er opstået hos. Derfor synes jeg ikke, det er op til mig at ændre på dét,« siger Jakob Willer, der er direktør hos Teleindustrien.

Artiklen fortsætter efter annoncen

»Det kan jo være, der er hensyn bag beslutningen, vi ikke kender til.«

Mystisk, teknisk fejl

Siden teleselskaberne ikke vil fortælle, hvordan fejlen er opstået, har Version2 kontaktet Torben Rune, der som teleanalytiker har indgående kendskab til teleselskabernes infrastruktur.

Han gætter på, at alle teleselskaberne indsamler såkaldte signaleringsdata for at optimere på deres respektive systemer. Det gælder alt fra mastedata, signalstyrke og sidst, men ikke mindst sms’er.

»Balladen opstår, når man som teleselskab samler signaleringsdata sammen med sms’er, men ikke filtrerer sms’erne fra, inden disse logningsdata deles med politiet. Det er et simpelt filter, der skal indstilles, og det er ikke blevet gjort,« vurderer Torben Rune.

»Det understreger endnu en gang, at logning kan være noget værre møg, for de her logningsdata indeholder en masse ting, kun teleselskabet er interesseret i. Og når det ikke sorteres fra, kompromitteres borgeren,« siger Torben Rune.

Kan ikke love, det ikke sker igen

Jakob Willer vil ikke be- eller afkræfte Torben Runes teori, men formulerer det således:

»Sms'er er en integreret del af signaleringen i et mobilnet. Når teleselskabet gemmer signaleringsdata, er det normalt proceduren, at indholdet af sms’er slettes straks og ikke gemmes. I denne konkrete sag er indholdet af sms’erne ikke blevet slettet, som de skal, men er blevet gjort tilgængelige for politiet ved oversendelsen af data. Der er sket en teknisk fejl,« siger Jakob Willer, der ikke kan uddybe yderligere.

»Men siden jeg ikke ved, hvordan det her er sket rent teknisk, så kan jeg ikke på vegne af mine medlemmer garantere, at det ikke sker igen. Der er ikke tidligere sket noget lignende, så jeg tror og håber, at det er et enkeltstående tilfælde,« siger Jakob Willer.

Mareridts-standard

Hele problematikken startede ifølge Torben Rune for mange år siden, da ‘en eller anden smart tekniker’ observerede, at der var lidt ledig plads til dataoverførsel på det føromtalte signaleringsbånd.

»Det er alle, der arbejder med telestandarders, absolutte mareridt. Generelt forsøger man netop at skille brugerdata fra signaleringsdata, men lige hvad sms’er angår, bliver de to ting mudret sammen på ét bånd. Det er den eneste undtagelse i hele det her system og stammer helt tilbage fra det gamle 2G,« forklarer Torben Rune.

Så meget desto vigtigere er det, at man har styr på de her data, forklarer han:

»Det undrer mig virkelig, at man som it-ansvarlig i det pågældende teleselskab ikke har lavet nogle automatiske tjek for, at de her data ikke længere er en del af den pakke, der ryger af sted til politiet,« siger Torben Rune.

Kalder på bedre tilsyn

Teleanalytikeren understreger desuden, at vi efterhånden har set tilpas mange eksempler på, at det nuværende tilsyn med teledata, der hovedsagelig ligger hos Erhvervsstyrelsen, er utilstrækkeligt.

»Hver enkelt anmodning om teledata fra myndighederne bliver behandlet forskelligt. Det betyder, som vi ser her, en større risiko for datalæk, men det betyder også, at det offentlige bruger ekstremt mange ressourcer på at søge om data,« siger Torben Rune.

Han har hjulpet både forsvarsadvokater og sagførere i telelogningssager og beskriver hele processen som tung og inkonsistent.

»Det kræver enormt mange ressourcer at bruge de her data, der flere gange har vist sig at være forkerte, når det kommer til stykket. Derfor synes jeg med fordel, man kunne overveje at standardisere udtrækkene og så i samme omgang øge tilsynet med, hvordan de bruges,« lyder rådet fra Torben Rune.

»Og når 5G kommer med langt flere data- og kontaktpunkter, så kommer det her til at gå helt amok. Der vil være meget mere data, idet enheder kan være koblet på flere forskellige datakilder samtidig – og så vil det nuværende system slet, slet ikke virke,« slutter Torben Rune.

Erhvervsstyrelsen har tidligere sagt til Jyllands-Posten, at man har modtaget en anmeldelse om sagen og tager 'sådan en indberetning alvorligt’.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
29. januar 2020 kl. 01:16

https://www.dr.dk/nyheder/detektor/detektor-teledirektoer-justerer-udtalelse-indsamling-af-smser-burde-vaere

Musketer-ed? Jeg synes det er grove løjer. Hvem sagde kartel... Eller i det lav? Det kan da ikke være lovligt?

»Jeg kan ikke sige, hvilket teleselskab der er tale om.
Det skyldes, at politiet og Erhvervsstyrelsen indtil videre har valgt ikke at melde ud, hvilket selskab fejlen er opstået hos.
Derfor synes jeg ikke, det er op til mig at ændre på dét,«
siger Jakob Willer, der er direktør hos Teleindustrien.
»Det kan jo være, der er hensyn bag beslutningen, vi ikke kender til.«

Suk. Ja, det kan jo være, at der er hensyn, vi ikke kender til. Hensyn til aktionærer og bundlinje, fx? Konkurrence, tab?

Telenor er Skandinaviens største teleselskab. Hvad med hensyn til de berørte kunder?

11
28. januar 2020 kl. 17:23

Går ud fra at det ikke kun er Erhversstyrelsen, der har modtaget anmeldelse af sagen, men også Datatilsynet samt at de kompromitterede personer har fået besked. Eller hvad?

Der er en særhed i Dansk Lovgivning der gør at det er Erhvervsstyrelsen der behandler alle sager om Tele - også dem der omhandler privacy. Forbrugere kan naturligvis sende deres klage til datatilsynet, men den ekspederes blot videre til erhvervsstyrelsen. Årsagen er at Teleudbyderne er underlagt "mere restriktiv lovgivning", navnligt Bekendtgørelsen - som administreres af Erhversstyrelsen.

8
28. januar 2020 kl. 11:36

Enig. De formastelige er teleoperatørerne, godt hjulpet af Teleindustriens direktør, Jacob Willer, der forsøger at mørklægge sagen. Men din gode forklaring, Mogens Ritsholm, kastes lys over sagen og som du skriver:For det hele er som sagt ulovligt, og der er måske basis for en ganske alvorlig bøde.Men lur mig, der vil sikkert ikke ske mere i sagen, desværre. Det er stærke mørklægningskræfter, der står bag de mange mundkurve.

7
28. januar 2020 kl. 11:23

Denne type logning har egentlig ikke noget med telelogning at gøre.

Det er noget man har fundet på for at give Politiet flere oplysninger om mobilers brug af master.

Telelogningen kræver kun at oplysninger om master registreres, når mobilen sender/modtager SMS eller når der er en telefonsamtale via GSM-tjenesten (første og sidste celle).

Ved aflytning af signaltrafik kan man få mange flere oplysninger, da der også er signaltrafik i forbindelse med telefonens adgang til internet mv.

Og så får man også SMS med, da disse i nogle tilfælde overføres i signaltrafikken. Sjovt nok sagde teleselskaberne for nogle år siden, at de var gået over til at overføre SMS via IP. Og det brugte de så som begrundelse for, at de loggede celle-id ved brug af data, selv om det ikke er krævet i logningsreglerne. Denne logning skulle nu være standset efter datatilsynets afgørelse.

Men så har man åbenbart fundet på denne metode med logning af signaltrafik, der effektivt kan give det samme eller mere end den bortdømte telelogning af celler ved brug af data.

Sjovt nok er sagen så nu, at SMS stadig sendes via signalnettet, hvor det tidligere var et argument, at man var gået bort fra det.

Så jeg kan godt forstå, at teleselskaberne har valgt mundkurven. For de kan næsten ikke sige noget uden at havne i et inferno af tidligere løgne og fortielser.

Det er dybt ulovligt at gemme kopi af al signaltrafik med personhenførbare data - også selv om det kun gemmes i 14 dage.

Og det er helt lovligt, at politiet via retskendelse får disse data udleveret, når de nu findes. Også for SMS. Det er helt op til dommerens judgement hvilke oplysniner der skal udleveres til politiet.

Det er blevet fremstillet som en fejl, at SMS ikke blev slettet inden udlevering, som om opbevaringen af andre personhenførbare data i signaleringen var i orden.

Hop ikke på den.

For det hele er som sagt ulovligt, og der er måske basis for en ganske alvorlig bøde.

Og selv om politiet i aller højeste grad er etisk medskyldige, kan man ikke beskylde dem for lovbrud, For deres opgave er jo at udnytte alle forekommende oplysninger, herunder også signaltrafik og SMS, der er ulovligt gemt.

4
28. januar 2020 kl. 09:30

DEt skete for 4 år siden. Og alligevel fortsætter vore danske politikkere altså er de alle kriminelle. Fuldstændigt det samme som med ejendomsvurderingerne. DK er blevet til en banan-republik

3
28. januar 2020 kl. 08:39

»Det kræver enormt mange ressourcer at bruge de her data, der flere gange har vist sig at være forkerte, når det kommer til stykket.</p>
<p>Derfor synes jeg med fordel, man kunne overveje at standardisere udtrækkene og så i samme omgang øge tilsynet med, hvordan de bruges,« lyder rådet fra Torben Rune.

Jeg synes med fordel at man helt skal lade være med at trække dem ud af systemet, for der er åbenbart nogle der ikke kan håndtere og styre det.

Viser tydeligt, hvorfor logning er en meget skidt idé. Data ender nemt pga. fejl i hænderne på de forkerte. Her er man så måske "heldig" at de endte hos politiet.

Og nej, jeg mener ikke at man som udgangspunkt kan stole på politiet ifbm. håndtering af data.

2
28. januar 2020 kl. 08:30

GDPR kræver vel, at de berørte kunder skal underrettes om databruddet?

1
28. januar 2020 kl. 08:28

Går ud fra at det ikke kun er Erhversstyrelsen, der har modtaget anmeldelse af sagen, men også Datatilsynet samt at de kompromitterede personer har fået besked. Eller hvad?