Telenor tavs om sms-skandale: Her er det, vi ved indtil videre

Telenor blev ad mindst to omgange informeret om, at noget var helt galt med udleveringen af teledata. Ikke desto mindre fortsatte lækket.

Artiklen er opdateret klokken 14:10 med informationer fra Telenors presseafdeling.

Op mod tusinde danskeres personlige sms'er er endt hos politiet på grund af en teknisk fejl hos Telenor. På femtedagen for den oprindelige afsløring i Jyllands-Posten vil Telenor stadig ikke stille op til interview med Version2.

Derfor ved offentligheden endnu ikke, hvorfor Nordens største teleselskab ikke reagerede, da Rigspolitiet i marts 2019 informerede om, at noget var rivravruskende galt med udleveringen af teledata hos Telenor. Politiken skrev også, at Telenor ikke har oplyst erhvervsstyrelsen, der er myndighed på området, om det fulde omfang af lækket.

Vi ved heller ikke, om man fremadrettet kan stole på, at Telenor prioriterer at sikre forbrugernes private oplysninger, når der udleveres data til politiet.

Advaret flere gange

Version2 har dog fået indsigt i et telefonnotat, der beskriver, hvordan Rigspolitiets databeskyttelses-chef, Christian Svanberg, ad to omgange har påpeget fejlen over for Telenor, der allerede efter første henvendelse lovede at fikse problemet.

Men fordi Telenor efter første henvendelse ikke løste problemet, vendte Christian Svanberg tilbage til Mette Krüger, Telenors direktør for virksomheds-anliggender:

»Rigspolitiet har imidlertid kunnet konstatere, at problemstillingen fortsat opstår i visse sager. Det blev understreget over for Mette Krüger, at Rigspolitiet ser med alvor på sagen og ønsker problemstillingen adresseret fra Telenors side,« noterer Christian Svanberg.

På trods af at Telenor allerede var blevet advaret, blev man tilsyneladende overrasket hos teleselskabet, da Rigspolitiet henvendte sig igen.

»Mette Krüger udtrykte overraskelse i anledning af det oplyste. Hun tilkendegav, at hun straks ville undersøge sagen og vende tilbage til undertegnede,« noterer Christian Svanberg.

»Simpelt filter slået fra«

Hvad der sker herefter, vides ikke. Vi ved ikke, om lækket fortsætter, men vi ved jævnfør DR, at politiet selv har implementeret et system, der sletter de ulovlige sms-data.

Fordi Telenor »ikke selv kunne lave en teknisk løsning«.

Siden Telenor ikke vil fortælle, hvordan fejlen teknisk set er opstået, har Version2 kontaktet Torben Rune, der som teleanalytiker har indgående kendskab til teleselskabernes infrastruktur:

»Balladen opstår, når man som teleselskab samler signaleringsdata sammen med sms’er, men ikke filtrerer sms’erne fra, inden disse logningsdata deles med politiet. Det er et simpelt filter, der skal indstilles, og det er ikke blevet gjort,« vurderer Torben Rune, der altså ikke umiddelbart beskriver det som en kompliceret manøvre.

Der kan dog være andre forhold, vi ikke kender til, der komplicerer frasorteringen.

Torben Rune fortæller da også, at sms'erne i det såkaldte signaleringsbånd i telenettet teknisk set er noget rod:

»Det er det absolutte mareridt for alle, der arbejder med telestandarder. Generelt forsøger man netop at skille brugerdata fra signaleringsdata, men lige hvad sms’er angår, bliver de to ting (for alle selskabers vedkommende, red.) mudret sammen på ét bånd,« forklarer Torben Rune.

Erhvervsstyrelsen opretter ny sag

Men hvad betyder alt det her så for Telenor nu og på sigt? Det ved vi heller ikke.

Politiken beretter, at Telenor ikke har fortalt om hele sagens omfang til Erhvervsstyrelsen. Teleselskabet har nemlig ikke fortalt Erhvervsstyrelsen, der er myndighed på området, at modtagerne af sms'erne også er berørt, eller at antallet af berørte danskere dermed kan være endnu højere end de antagede 1.000.

Efterfølgende har Telenors Presseafdeling henvendt sig til Version2 og forklaret, at man har informeret erhvervsstyrelsen fyldestgørende. For afsender- og modtagernumre indsamles som udgangspunkt sammen, og hvis politiet beder om indsigt i Telenors signaleringsdata, beder de om indsigt i begge dele.

I samme ombæring understreger Telenors presseafeling, at der ikke er tale om mere end 1000 berørte. Det tal er et højt sat estimat, der både inkluderer afsender- og modtagernumre.

Erhvervsstyrelsen er derfor i gang med at rejse en ny sag.

Berørte kunder ikke informeret

Politiken citerer også en jurist for at understrege, at de berørte kunder skal informeres. Det er endnu ikke sket, så vidt vi ved, og det i sig selv er et brud på persondataloven, medmindre Erhvervsstyrelsen har givet Telenor en dispensation.

»Telenor har bedt politiet tage stilling til, hvorvidt det er muligt at underrette de berørte personer, og i givet fald at få datasættene tilbage, så Telenor kan identificere de berørte,« skriver Mette Krüger fra Telenor i en mail til Politiken.

Hos teleselskabernes brancheorganisation vil man ikke love for meget:

»Siden jeg ikke ved, hvordan det her er sket rent teknisk, kan jeg ikke på vegne af mine medlemmer garantere, at det ikke sker igen. Der er ikke tidligere sket noget lignende, så jeg tror og håber, at det er et enkeltstående tilfælde,« siger Jakob Willer, der er direktør i Teleindustrien.