Datatilsynet går nu ind i sagen med teleselskabernes butikker, der gentagne gange har udleveret aktive sim-kort uden at se den fornødne billedidentifikation.
Version2 og Ingeniøren har den senere tid afsløret, hvor nemt det er at stjæle og misbruge andres telefonnumre.
Og en opfølgende stikprøve demonstrerede desuden, at teleselskaberne – trods løfter om det modsatte – ikke havde formået at løse problemerne.
Når en angriber skaffer et aktivt sim-kort til et eksisterende telefonabonnement og dermed overtager offerets nummer, kaldes det sim-swapping. Ingeniøren og Version2 har ved en stikprøve for tre uger siden vist, at fænomenet er yderst muligt i Danmark, Dengang lovede teleselskaberne, at de ville stramme op. Det er ikke sket, viser en ny stikprøve. Med kontrol over nummeret kan angriberen starte en lang række svindel- og hackerangreb; fra at sende beskeder og ringe til offerets kontakter til at trænge ind i mails og derigennem åbne for offerets onlineliv.Sim-swapping
»Det er bekymrende, at I igen kan vise, det stadig kan lade sig gøre at sim-swappe i danske butikker, og derfor har vi nu valgt at gå ind i sagen ved at sætte et møde op med Teleindustrien i starten af oktober.«
Sådan lyder det fra Frederik Siegumfeldt, der er tilsynschef hos Datatilsynet:
»Og når vi kan se, at sagen fortsætter, tænker vi, det er en god anledning for os at gribe stafetten.«
Det er ellers ikke mere end et par uger siden, han fortalte, at problemet skulle løses af telebranchen selv.
Dengang lød det fra Frederik Siegumfeldt, at man fra Datatilsynets side ikke ville indlede et tilsyn over for teleselskaberne. For teleselskaberne lovede at stramme op, så man så ingen grund til at sparke en åben dør ind.
Skal høre begge sider af sagen
Men nu er der altså sket nok overtrædelser til, at Datatilsynet vil gå ind i sagen og, som udgangspunkt, høre teleselskabernes udlægning.
»Indtil nu har vi kun oplevet sagen gennem pressen. Kunne man have hørt selskabernes side af sagen for et par uger siden? Ja, men nu valgte vi at give teleselskaberne lidt luft og snor,« siger Frederik Siegumfeldt.
Han står stadig ved beslutningen om at stole på teleselskabernes evne til selv at rette op på de omfattende problemer, da Version2 og Ingeniøren i første omgang viste, at den var gal.
»Og den beslutning står jeg stadig ved i dag, for når en branche selv erkender sit problem og gør noget ved det, er det naturligt at afvente og se, hvordan det tager sig ud,« lyder det fra tilsynschefen, der fortsætter:
»Der er mange steder, vi kan gøre en forskel. Det er også et ressourcespørgsmål.«
Er telebranchen og tilsynet ligeglade?
Flere læsere har i kommentarsporene til Version2’s artikler beskyldt Datatilsynet og ikke mindst teleselskaberne for at se på sagen med ligegyldighed og ikke handle resolut nok.
Men det mener Frederik Siegumfeldt ikke er tilfældet.
»Jeg synes ikke, teleselskaberne har behandlet det her med ligegyldighed. Men om det er tilfældet, må vi se, når vi snakker med selskaberne i oktober. Da vi snakkede sidst, havde vi i Datatilsynet ikke sat os ned og taget stilling til, om det her var vores ressort. Det har vi siden fundet ud af, at det er,« siger tilsynschefen:
»Vi har fulgt sagen tæt hele tiden, men nu bider vi altså til bolle på den.«
Falder mellem flere tilsyns-stole
Det med, hvem der er den ansvarlige myndighed, når det gælder telebranchen, er ikke så simpelt, som man måske skulle tro.
Faktisk er der hele tre myndigheder indblandet, når det gælder telebranchen. Datatilsynet er ifølge Frederik Siegumfeldt myndighed i denne situation, idet der er tale om mulige persondatalæk.
Men modsat almindelige virksomheder skal eventuelle problemer i denne henseende indrapporteres til Erhvervsstyrelsen, har Erhvervsstyrelsen oplyst i en mail til Version2.
Erhvervsstyrelsen kan så vælge at gå videre til Datatilsynet. Derudover er det Erhvervsstyrelsen, der fører tilsyn med telebranchen og sikrer, at der er konkurrence nok på området.
Derudover er der Center for Cybersikkerhed (CFCS), som er en del af Forsvarets Efterretningstjeneste. CFCS er er telemyndighed og ‘ressortansvarlig for informationssikkerhed og beredskab i telebranchen’. Deri ligger også en tilsynspligt, fremgår det af Forsvaret Efterretningstjenestes hjemmeside.
Spørgsmålet er så, om den månedslange responstid fra myndighedernes side i sim-kort-sagen skyldes, at tilsynet af telebranchen falder mellem de tre stole?
Det mener Frederik Siegumfeldt ikke.
»Jeg kan godt forstå, hvis man får den tanke, og det er selvfølgelig en risiko, når der er flere tilsyn. Vi har også noteret os, at CFCS er gået ind i sagen, og om Erhvervsstyrelsen så også vil være med og har kompetence, må være op til dem,« siger han.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
