Privatperson narrede teleudbyder til at viderestille rådgivningslinjer til eget nummer

Ændring af passwords til selvbetjening, offentlig tilgængelig wifi på den forkerte måde og viderestilling af telefonnumre til rådgivningslinjer. Erhvervsstyrelsen fortæller om tre brud på persondatasikkerheden i 2014.

Erhvervsstyrelsen melder om tre konkrete tilfælde af brud på persondatasikkerhed i telesektoren i 2014.

Teleudbyderne har pligt til at underrette styrelsen i tilfælde af brud på persondatasikkerheden jf. § 15 i informationssikkerhedsbekendtgørelsen.

I alt har styrelsen modtaget fem indberetninger om brud på persondatasikkerheden i 2014. De fem indberetninger dækker tre specifikke forhold, fremgår det af et notat fra Erhvervsstyrelsen (PDF).

Det første forhold i notatet handler om offentlig tilgængelig wifi.

En udbyder - Erhvervsstyrelsen nævner ingen selskabsnavne - ønskede at anvende slutbrugeres private wifi-forbindelser til at oprette et offentligt tilgængeligt wifi-net.

Læs også: Yousee kæmper med at lukke usikre hotspots: »Vi er nødt til at lukke flere manuelt«

»Selvom den private og den offentlige del af slutbrugerens wifi-net ville blive adskilt ved at anvende to forskellige kanaler, kunne udbyderen ved en kontrol ikke garantere, at data til enhver tid ikke kunne forblive adskilt mellem de to net,« står der i notatet, som fortsætter:

»Løsningen blev lukket, da sikkerhedsrisikoen blev bekendt for udbyderen. Der blev i den forbindelse ikke konstateret, at nogen havde skabt sig uberettiget adgang til persondata som følge af usikkerheden.«

Erhvervsstyrelsen fortæller, at udbyderen udover at informere brugerne, samarbejder med udstyrsleverandører for at finde en sikker løsning. Og at systemet ikke vil blive genetableret, før sådan en løsning er blevet grundigt testet af en uafhængig leverandør.

»Erhvervsstyrelsen var enig med udbyderen i, at man under de givne forudsætninger skulle lukke løsningen. Erhvervsstyrelsen bemærkede dog også, at de af udbyderen foreslåede tiltag for at højne sikkerheden i løsningen var tilfredsstillende, og at man, såfremt tiltagene blev gennemført, ikke havde behov for at stille yderligere krav, hvis udbyderen på et senere tidspunkt ønskede at genetablere løsningen,« står der i styrelsens kommentar til sagen.

Ændring af passwords - Radio 24/7

Og så er der tilfældet, hvor en journalist fra Radio 24/7 har skaffet sig adgang til andre kunders selvbetjeningsløsninger ved at ringe til udbydernes kundeservice, og udgive sig for at være den pågældende kunde.

»Ved at oplyse, at han ikke kunne komme ind på selvbetjeningsløsningen, og at han ikke havde adgang til det telefonnummer og den e-mailadresse, som var anført i udbyderens kundesystemer, fik journalisten i alle tilfældene overtalt kundeservicemedarbejderen til at sende et nyt password til selvbetjeningsløsningen til en e-mailadresse, som var oprettet til lejligheden af journalisten,« står der i notatet.

Med det nye password kunne journalisten få adgang til kundens brugerprofil med oplysninger om blandt andet navn, adresse og forbrug. Adgangen gav desuden mulighed for at
ændre i kundens profil.

Kunderne havde givet samtykke til, at journalisten måtte forsøge at skaffe sig adgang til deres konti.

De fire udbydere har som konsekvens af sagen ændret i deres sikkerhedsprocedurer.

»For den ene udbyders vedkommende er det blevet indskærpet, at ændring af kundens e-mailadresse som udgangspunkt kun må foretages over selvbetjeningsløsningen, og at kundeservice kun må foretage ændring af kundens e-mailadresse, hvis kunden samtidig giver yderligere oplysninger til kundeservice, f.eks. det kundenummer, som ikke kendes af offentligheden. Ændring af kode sendes kun til allerede registreret e-mailadresse,« står der i notatet.

En anden udbyder har indført, at e-mailadressen kun kan ændres hos kundeservice, hvis kundens kodeord samtidigt oplyses.

»Den tredje udbyder har indskærpet de gældende retningslinjer på området overfor personalet i deres kundeservice. Efter retningslinjerne skal kunden i det beskrevne tilfælde kunne oplyse sit fulde navn og cpr-nummer eller kundenummer. Der kan i tvivlstilfælde spørges ind til en række andre oplysninger,« står der endvidere i notatet.

Og så er der den fjerde udbyder. Her er selskabets retningslinjer på området også blevet indskærpet overfor kundeservice. Selskabet har ikke fundet anledning til at foretage tekniske ændringer i setuppet på området.

I en kommentar til hændelserne med passwords og journalisten fra Radio 24/7 bemærker Erhvervsstyrelsen, at en indskærpelse i sig selv ikke forhindrer fremtidige brud på området.

»Erhvervsstyrelsen opfordrer derfor kraftigt udbyderne til at udvikle automatiserede løsninger på området, således at medarbejderne i kundeservice slet ikke har mulighed for at redigere i kundens data eller give adgang til data uden en forudgående automatiseret autentifikationsprocedure,« står der i notatet.

Styrelsen anerkender dog også, at det ikke vil være muligt omgående at indføre automatiserede procedurer på området. Derfor lægger Erhvervsstyrelsen også op til andre tiltag, der kan iværksættes på det, der kaldes 'den korte bane':

»I en situation uden fysisk fremmøde, f.eks. online eller telefonisk vil det derfor være nødvendigt, at supplere identifikationen med en autentifikationsprocedure, f.eks. et personligt kodeord, som er afsendt til eller valgt af kunden under sikre forhold, eller hvor en ny kode til selvbetjeningen kun sendes til det registrerede og dermed allerede autentificerede telefonnummer eller e-mailadresse,« skriver styrelsen i notatet, som tilføjer, at det samme - altså i forhold til autentifikation - gælder ved henvendelser med personligt fremmøde.

Her vil det dog også være muligt at identificere kunden med billedlegitimation, såfremt selskabet vurderer dette tilstrækkeligt sikkert. Erhvervsstyrelsen påpeger desuden, at en løsning, som autentificerer kunden ved hjælp af NemID, vil i alle tilfælde være at foretrække.

»Hovedbudskabet er således, at data ikke må udleveres eller ændres på baggrund af simpel identifikation – herunder også cpr-numre. Dette skal indarbejdes i selskabernes sikkerhedspolitik på området,« står der.

Viderestilling af telefonnumre til sociale organisationer

Det tredje tilfælde af databrud i telesektoren i 2014, som er kommet Erhvervsstyrelsen for øre, handler om en person, der har fået omstillet telefonnumre fra tre forskellige sociale organisationer til sig selv.

Organisationerne beskrives som nogen, der hver især hjælper folk med forskellige problemer.

Personen har omstillet numrene ved at henvende sig til henholdsvis telefonpasningen og erhvervskundeservice hos udbyderen.

I et tilfælde blev viderestillingen foretage ved at oplyse et kundenummer, i et andet tilfælde blev der ifølge Erhvervsstyrelsens oplysninger ikke afkrævet identifikation eller foretaget autentifikation af personen.

»I en kortere periode, indtil det blev opdaget af organisationerne, blev alle opkald til deres rådgivningslinjer således viderestillet til en privat person. Henset til organisationernes natur kunne disse opkald indeholde meget følsomme personoplysninger,« fremgår det af notatet, som fortsætter:

»Da den pågældende person fik viderestillet numrene til sin egen telefon, er personen efterfølgende blevet identificeret af udbyderen og anmeldt til politiet.«

Udbyderen har ikke henvendt sig til de abonnenter, der har fået viderestillet opkald til den forkerte organisation. Det forklares med, at der ikke nødvendigvis er et personsammenfald, mellem abonnenten og så den person, der har gennemført det faktiske opkald.

Og hvis der blev rettet henvendelse til abonnenten, ville det kunne kompromittere den anonymitet, som den reelle bruger måtte forvente at have.

»En underretning af abonnenterne ville derfor muligvis i sig selv udgøre et brud på persondatasikkerheden,« fremgår det af notatetet.

I forlængelse af episoden har udbyderen iværksat flere foranstaltninger.

  • Ved opkald om viderestilling til udbyderens erhvervsafdeling, vil brugere fremover blive oplyst om, at denne service kun kan bestilles via online selvbetjening, som er forsynet med kode.

  • Ved opkald til udbyderens telefonpasning vil der fremover ske verificering ved, at udbyderen ringer tilbage til abonnentens nummer for at bekræfte bestillingen.

  • I tilfælde af, at der ønskes viderestilling på grund af nedbrud på abonnentens telefonlinje, vil udbyderen finde en alternativ løsning, som vil blive meddelt Erhvervsstyrelsen.

Erhvervsstyrelsen bemærker i den forbindelse, at man er enig, at det ikke var hensigtsmæssigt at underrette de enkelte abonnenter om persondatasikkerheds-bruddet.

I forhold til sikkerheds-tiltagene, som udbyderen har foretaget, skriver Erhvervsstyrelsen:

»Styrelsen er af den opfattelse, at de nævnte tiltag umiddelbart vil være egnede til at undgå lignende hændelser, og ser frem til, at tiltagene indarbejdes i udbyderens sikkerhedspolitik på de enkelte områder.«

Derudover henviser Erhvervsstyrelsen til bemærkningerne til sagen om Radio 24/7s ændring af passwords og kravene om autentifikation af abonnenten, som styrelsen mener, også gør sig gældende i nærværende sag.

En stigning i indberetninger

Erhvervsstyrelsen slutter notatet med at konstatere, at der i 2013 blev foretaget to indberetninger om brud på persondatasikkerheden hos teleudbydere. Dette tal er i 2014 steget til fem indberetninger (fordelt på de tre ovenstående forhold).

Styrelsen bemærker, at de fleste lande i EU, som Danmark, har udarbejdet en indberetningsprocedure i forhold til brud på persondatasikkerheden, som det kræves af Kommissionens Forordning (EU) Nr. 613/2013 af 24. juni 2013.

Der er dog stor forskel på, hvor mange sager om brud på persondatasikkerheden hos teleudbydere, der indberettes i de enkelte lande, bemærker Erhvervsstyrelsen.

Spændet er mellem 0 og 300 sager for 2014.

»Med fem indberetninger i er Danmark blandt de lande, hvor der er blevet foretaget færrest indberetninger i 2014, også når der tages forbehold for de enkelte landes indbyggertal,« står der i skrivelsen fra styrelsen, som fortsætter:

»Det kan ikke siges, om dette skyldes en særlig høj sikkerhed hos de danske udbydere eller manglende indberetninger af konkrete hændelser. Styrelsen kan imidlertid konstatere, at de modtagne indberetninger alle stammer fra landets største udbydere og netejere (eller deres koncernforbundne datterselskaber). Det kan derfor overvejes, om de mindre udbydere har det fornødne kendskab til reglerne om indberetning af brud på persondatasikkerheden.«

Derfor vil Erhvervsstyrelsen på den baggrund arbejde for at udbrede kendskabet til reglerne om indberetning i 2015.

Endelig bemærker styrelsen, at stort set alle indberetninger om brud på persondatasikkerheden først er sket efter, at bruddene har været behandlet i pressen.

»Dette giver ligeledes Erhvervsstyrelsen anledning til at understrege, at alle brud på persondatasikkerheden med det samme skal indberettes til styrelsen,« slutter notatet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Brodersen

En anden udbyder har indført, at e-mailadressen kun kan ændres hos kundeservice, hvis kundens kodeord samtidigt oplyses. Her vil nogen Version2-læsere muligvis studse over, at kodeordet dermed lader til at være tilgængeligt i klar tekst for medarbejderne i kundeservice.

Vel ikke nødvendigvis? Medarbejderen prøver nok blot at logge ind med det oplyste brugernavn og kodeord som enhver anden sandsynligvis også har mulighed for at teste af.

Morten Saxov

Vel ikke nødvendigvis? Medarbejderen prøver nok blot at logge ind med det oplyste brugernavn og kodeord som enhver anden sandsynligvis også har mulighed for at teste af.

Men indsider viden fra telebranchen, og hvad jeg nok godt kan sige uden at bryde NDA'ere, har man mulighed for at få lagt et kodeord ind i sin "profil" som kundeservice kan se/verificere, men som kun skal bruges til at verificere en kunde i telefonen.
Dette kodeord er altså ikke nødvendigvis det samme som det kunden bruger til at logge ind i selvbetjening mm. Men tjener kun det ene formål at være en passphrase som kunden kan bruge til at øge sandsynligheden for at den kunde der er i røret er den der også ejer/administrere kontoen.

Baldur Norddahl

Der er ikke nogen der har lyst til at rapportere SS7 problemet. Det vil medføre at de skal komme med bud på hvordan det kan blokeres og det har ingen svar på. De tiltag der er kendte er både dyre at implementere og ufuldkomne.

Peter D Hansen

"Den tredje udbyder har indskærpet de gældende retningslinjer på området overfor personalet i deres kundeservice. Efter retningslinjerne skal kunden i det beskrevne tilfælde kunne oplyse sit fulde navn og cpr-nummer..."

Rystende at navn og CPR-nummer er nok.

Hvad er navnet på udbyderen, så vi kan undgå den virksomhed?

Hvordan kan Erhvervsstyrelsen eller andre myndigheder være tilfredse med det? Snorksover de eller er de naive?

Christian Schmidt

Der er ikke nogen der har lyst til at rapportere SS7 problemet. Det vil medføre at de skal komme med bud på hvordan det kan blokeres og det har ingen svar på. De tiltag der er kendte er både dyre at implementere og ufuldkomne.

Ikke desto mindre har visse teleselskaber dog formået at dæmme mere op mod disse problemer end andre:

Information: Telia og Telenors netværk er ikke sårbart over for mobilsporing

Men ja, SS7-suppedasen er et komplekst problem, og som med så mange andre sikkerhedsproblematikker er det en vurderingssag, hvad der betragtes som "sikkert nok" i forhold til omkostningerne ved at implementere det. Derfor er det særligt relevant at indrapportere disse udfordringer og indgå en dialog med tilsynsmyndigheden om, hvad man skal stille op.

Christian Schmidt

Rystende at navn og CPR-nummer er nok.
[...]
Hvordan kan Erhvervsstyrelsen eller andre myndigheder være tilfredse med det?

Det er de heller ikke tilfredse med.

I bemærkningerne til denne indberetning (nederst side 3) skriver de, at “Det er således ikke nok kun at identificere kunden f.eks. ved adresseoplysninger, cpr-nummer eller et kunde- eller fakturainformationer, da disse data ikke beviser (autentificerer) at det er den egentlige kunde, som ønsker ændringen”.

Christian Schmidt

Endnu en forglemmelse (problem opstået i januar 2014):
BT: Mere koks hos TDC: Flere kunder har fået andre kunders data

Og endnu en:
Version2: Teleselskabernes årelange nummertrick var sandsynligvis ulovligt

Den slags forglemmelser er en overtrædelse af informationssikkerhedsbekendtgørelsens § 15, der kan straffes med bøde, jf. § 23:
Retsinformation: Bekendtgørelse om informationssikkerhed og beredskab for elektroniske kommunikationsnet og -tjenester

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize