Myndigheder afviser at granske teleselskaber trods simkort-afsløringer

Illustration: Bigstock
Hverken Datatilsynet eller Erhvervsstyrelsen har planer om at føre tilsyn med telebranchen efter Ingeniørens og Version2's afsløringer af lemfældig omgang med simkort-udstedelse i danske telebutikker.

Når danske telebutikker lader hvem som helst hente nye, aktive simkort i deres butikker og dermed udleverer kunders telefonnumre til uvedkommende, er det i strid med persondataforordningen, GDPR, lyder den umiddelbare vurdering fra Datatilsynet.

»Jeg vil umiddelbart mene, at det her kunne komme ind under vores regelsæt, der siger, at man skal etablere de nødvendige foranstaltninger for at sikre borgerens privatliv« lyder det fra Frederik Siegumfeldt, der er tilsynschef hos Datatilsynet.

Læs også: Sådan udnytter svindlere teleselskaber til at hacke danskere

»Det mener jeg ikke, teleselskaberne har gjort her, og det erkender de jo også selv.«

Vil ikke føre tilsyn

Men selvom Ingeniørens og Version2’s stikprøver illustrerer teleselskabernes løse omgang med kundernes persondata, er der ikke skærpet tilsyn på vej, lyder det fra Datatilsynet.

»Vi vil fra Datatilsynets side ikke indlede et tilsyn over for teleselskaberne. Der er, med rette, sat fokus på det her, og teleselskaberne har lovet at stramme op, så vi ser ingen grund til at sparke en åben dør ind,« siger Frederik Siegumfeldt, der samtidig understreger alvorligheden af den analoge sårbarhed.

Læs også: Direktør for Teleindustrien: Sim-kort-afsløringer er dybt utilfredsstillende

»Dermed ikke sagt, at det her ikke er alvorligt, for det er det. Det er ekstremt problematisk, det man kan bruge sim-swapping til, som I også demonstrerede.«

Intet er blevet indberettet

Telebranchen har en juridisk særstatus, der gør, at de, også persondatamæssigt, skal indrapportere sikkerhedsbrister til Erhvervsstyrelsen.

Men selvom Version2 og Ingeniøren er blevet gjort bekendt med, at det analoge sikkerhedshul er blevet udnyttet i forskellig grad hos de forskellige teleselskaber, er intet blevet indberettet til Erhvervsstyrelsen.

»Erhvervsstyrelsen har derfor ikke på nuværende tidspunkt fundet anledning til at foretage sig yderligere over for selskaberne, men følger naturligvis udviklingen på området,« skriver Erhvervsstyrelsen i en mail til Version2.

Erhvervsstyrelsen ønsker ikke at stille op til interview.

Tegner generel tendens

Frederik Siegumfeldt fortæller desuden, at hele problematikken med sim-swap rammer ind i en datasikkerhedsmæssig tendens. Det sker nemlig i stigende grad, at virksomheder undlader at lukke datasikkerhedshuller, der ikke har nogen direkte konsekvens for virksomhedens kerneforretning.

Læs også: Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

»Det her er et godt eksempel på, at man har glemt at tage de registreredes briller på og ikke har overvejet som teleselskab, hvor indgribende den her slags angreb kan være,« siger Frederik Siegumfeldt, der forklarer, at sim-swapping ikke som sådan går alvorligt ud over virksomhedens forretning og derfor sandsynligvis nedprioriteres.

Også selvom svindelnummeret kan have enorme konsekvenser for de kunder, der berøres.

Denne nedprioritering strider ifølge tilsynschefen også imod persondataforordningen, der påpeger, at man skal sætte sikkerhedsniveauet efter de registreredes, her telekundernes, behov.

»Når det er sagt, tror jeg ikke, der er tale om ond vilje. Det er helt generelt for mange forskellige virksomheder, at det her hensyn til kundernes personlige it-sikkerhed underprioriteres,« slutter tilsynschefen.

Herunder kan du se den korte demonstration af vejen fra stjålet simkort til hacket mailindbakke, der kan åbne op for alvorlige svindel- og privacyproblemer. Eksemplet viser et hack mod Gmail, men præcis det samme problem er gældende for Microsoft-konti:

Video: Mads Lorenzen

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Endnu engang svigter vore tilsynsførende myndigheder. Hvad hjælper GDPR så?

»Dermed ikke sagt, at det her ikke er alvorligt, for det er det. Det er ekstremt problematisk, det man kan bruge sim-swapping til, som I også demonstrerede.«"

Så det er - med Datatilsynets egne ord - alvorligt. Alligevel gør man intet. Kunne en sådan alvorlig overtrædelse af GDPR ellers ikke begrunde en klækkelig bøde?

Jeg kan snart få indtryk af, at Datatilsynet ser sin opgave at beskytte firmaer og myndigheder mod GDPR - ikke at beskytte borgernes ret til privatliv. Der er meget langt mellem snapsene.

Kunne Version2 evt. bringe en artikel med oversigt over, hvilke sager Datatilsynet aktuelt hari gang - og hvilke sager, der er afsluttede, og med hvilket resultat - bare i oversigtsform? Det kunne være interessant at se sort på hvidt, om ens fornemmelse er forkert.

Men selvom Version2 og Ingeniøren er blevet gjort bekendt med, at det analoge sikkerhedshul er blevet udnyttet i forskellig grad hos de forskellige teleselskaber, er intet blevet indberettet til Erhvervsstyrelsen.
»Erhvervsstyrelsen har derfor ikke på nuværende tidspunkt fundet anledning til at foretage sig yderligere over for selskaberne, men følger naturligvis udviklingen på området,« skriver Erhvervsstyrelsen i en mail til Version2."

Så hvis man selv husker at undlade at indberette sine forsyndelser, så sker der ikke mere? Hvad skal man med sådan et tilsyn?

  • 13
  • 1
Bjarne Nielsen

Så hvis man selv husker at undlade at indberette sine forsyndelser, så sker der ikke mere?

Det er den nye danske model, indført over de seneste år; hvis du som privatperson selv undlader at gøre opmærksom på, at du skylder penge, så sker der ikke mere!

Vistnok noget med "afbureaukratisering", "virksomhederne skal have de bedste vilkår" og "pengene har det bedre i borgernes lommer".

  • 5
  • 1
Erik Gotfredsen

"Men selvom Version2 og Ingeniøren er blevet gjort bekendt med, at det analoge sikkerhedshul er blevet udnyttet i forskellig grad hos de forskellige teleselskaber, er intet blevet indberettet til Erhvervsstyrelsen.

»Erhvervsstyrelsen har derfor ikke på nuværende tidspunkt fundet anledning til at foretage sig yderligere over for selskaberne, men følger naturligvis udviklingen på området,« skriver Erhvervsstyrelsen i en mail til Version2.

Erhvervsstyrelsen ønsker ikke at stille op til interview."

Tilsyneladende er det kun de virksomheder, der kan begå fejl, som er indberetningsberrettigede.
Erhvervsstyrelsens holdning er så: "når dem der fejler ikke indberetter er der ingen fejl"

  • 5
  • 0
Gert Madsen

Så hvis man selv husker at undlade at indberette sine forsyndelser, så sker der ikke mere? Hvad skal man med sådan et tilsyn?


Nu er erhvervsstyrelsen også dem, som har tilsynet med feks. cookies og deres håndtering.
Mig bekendt har de aldrig kontrolleret noget, eller uddelt nogen påbud eller bøder.
Så vidt jeg husker var det også dem, som havde meget - meget svært ved at kontakte SAS, da de, efter adskillige år, stadig ikke havde de krævede oplysninger om erstatninger ved forsinkelser og aflysning.
I den sammenhæng er Datatilsynet ivrige og hårdtslående.

  • 7
  • 0
Christian Nobel

Hvad nu hvis teleselskaberne kommer ind i dette århundrede, og erkender at et 8 cifret "identifikationsnummer" er soooo last century, og i stedet indser at deres rolle fremover udelukkende er som dataflyttere, på samme måde som vandselskabet ikke sender øl i et rør, og sodavand i et andet.

Ved overgang til ren IP telefoni kan man fuldstændig uafhængigt af selskaber flytte sin telefoni med sig, og roaming bliver et levn fra gamle dage.

Så det eneste selskaberne skal sælge er rene datakort, intet andet.

Bevares, det vil så betyde at man ikke kan bruge telefonnummeret som sikkerhed, men det tab vil jeg græde tørre tårer over, og det vil også betyde at det bliver sværere for snageindustrien at overvåge brugerne, og det vil jeg så græde endnu mere tørre tårer over.

  • 10
  • 0
Jens Madsen

Det ser ud til, at teleselskaberne har kendskab til at det er sket. Sandsynligvis har de kunder, som det er gået ud over, henvendt sig til teleselskaberne når deres telefon ikke fungerede, og fået problemet løst. Og så har de ikke tænkt mere over det. Måske har teleselskaberne ikke oplyst dem om, at deres nummer en kort tid har været stjålden. Derfor, har de ikke kunnet reagere på, at der måske har været problemer med mail, og meget andet, samtidigt. Og, de har naturligvis intet indberettet til erhvervsstyrelsen, hvis de ikke er blevet oplyst om, at deres nummer i kort tid har tilhørt en anden person.

Jeg har selv en gammel mail adresse, der i kort tid har tilhørt en anden person - jeg ved ikke hvorfor. Heldigvis bruger jeg den ikke til noget (mere). Pludseligt holdte mail'en op at fungere, og da jeg kontaktede udbyderen kom den til at fungere igen. Bagefter fik masser af mails til en anden person - dog ikke andet end kasino mails fra amerikanske virksomheder... Vedkommende der har "lånt" den, må have været en aktiv gambler.

  • 6
  • 0
Ebbe Hansen

Hvis en fremmed uberettiget kommer i besidelse af en smarttelefon, kan den - uden at være låst op - anvendes til at nulstille et password, der er afhængigt af en sms besked.
Indkommende sms'er vises på startskærmen.
Det gælder i hvert fald hotmail-familien.

  • 3
  • 0
Knud Larsen

Nu er der ikke nogen form for kvalitetsstyring i offentlige virksomheder måske lige med undtagelse af sundhedssektoren, der også er karakteriseret ved at de ansatte kan udsættes for alvorlig straf for at svigte opgaven. Alle andre virksonheder institutioner har ikke noget ansvar eller straf indbygget og maksimalt en påtale som dog forældes efter bare tre måender.
Et kvalitetssystem ville indebære en registrering af klager og opfølgning herpå. Selv Patienterstatningnen glimrer ved at sige nej til noget sådant - der er bare nogle jurister, der hygger sig med at afvise det meste.
GDPR er en pengemaskine ikke en beskyttelse af borgere.
mere om samme:
http://skat-uret.dk/ret/2017-ringe-retspleje-politiets-rolle.aspx

  • 3
  • 0
Ebbe Hansen

Er det en offentlig opgave at sikre kvaliteten (herunder sikkerheden) på diværste kommercielle produkter. Og i givet fald i hvilket omfang?
Umiddelbart forstår jeg godt, hvis erhvervsstyrelsen viger lidt tilbage fra at tjekke op på sikkerheden på produkter, der er udbredt worldwide.
Ud over om det er statens opgave at sikre sikkerheden, så er der også spørgsmålet om erstatningsansvar, hvis det faktisk lykkes M$' eller güggle's advokathær at så tvivl om hullets eksistens.

  • 0
  • 2
Anne-Marie Krogsbøll

Umiddelbart forstår jeg godt, hvis erhvervsstyrelsen viger lidt tilbage fra at tjekke op på sikkerheden på produkter, der er udbredt worldwide.


Hvem skal så gøre det?

M$' eller güggle's advokathær


Hvor kommer de ind i billedet her?

Som jeg har forstået det, er det ikke et "hul" i produktet som sådan, men i håndteringen af produktet: Man glemmer at sikre sig, at man står overfor rette ejermand, inden man udleverer andres følsomme oplysninger til denne.

Har jeg misforstået det?

  • 4
  • 0
Ebbe Hansen

Det der bekymrer mig er. at de sårbarheder. der demonstreres udnyttet i artiklen. sagtens kan udnyttes på andre måder. Fx ved simpelt tyveri af en låst telefon. Behøver ikke engang være af længere varighed.
Og udover mail vil der også være adgang til fx. cloudbaserede ting der hænger sammen med mailkontoen (fx onedrive). For ikke at nævne eventuelle passwords gemt i fx chrome.
Selvfølgelig skal telefonselskaberne ikke dele simkort ud til hvemsomhelst, men langt værre er det. at dine konti ikke er sikret, så du har kontrol over dem, hvis nogen "låner" din fon.

  • 2
  • 0
Ebbe Hansen

Men i første omgang er det ret rystende, at hverken teleselskaber eller myndigheder tager lige præcist dette kæmpe sikkerhedshul alvorligt.


Det har du så ret i, men hvis det går galt (og det gør det nok på et tidspunkt), så må det være op til teleselskabet at dokumentere, hvordan kunden har legitimeret sig ved udstedelsen af et nyt simkort.
For teleselskabets skyld må man håbe, at forsikringspræmien er betalt :-)

  • 1
  • 0
Anne-Marie Krogsbøll

Tak for svar, Ebbe Hansen.

Det har du så ret i, men hvis det går galt (og det gør det nok på et tidspunkt), så må det være op til teleselskabet at dokumentere, hvordan kunden har legitimeret sig ved udstedelsen af et nyt simkort.
For teleselskabets skyld må man håbe, at forsikringspræmien er betalt :-)


Ja, men jeg tror nu nok, de fleste kunder ville sætte pris på, at man udfoldede nogle anstrengelser - både fra firmaers og myndigheders side - for, at man som kunde ikke pludseligt står i en situation, der potentielt kan blive både meget ubehagelig, alvorlig og besværlig.

  • 2
  • 0
Log ind eller Opret konto for at kommentere