Minister finder utallige sim-swaps ‘dybt beklagelige’, men vil ikke gå ind i sagen

Mens danske myndigheder spiller ansvars-volley, har Norges digitaliseringsminister skældt de norske teleselskaber ud og sat nyt lovforslag i værk.

Erhvervsminister Simon Kollerup (S) mener ikke, at der er grund til at stramme nettet om teleselskaberne, så de straffes hårdere, når de uden at blinke udleverer deres kunders sim-kort til hvem som helst – helt uden at se nogen som helst form for ID.

For siden der ikke har været nogle indberetninger til Erhvervsstyrelsen, som er myndighed for teleselskaberne, mener ministeren ikke, at der er tale om et problem. Det skriver han i et svar til Folketingets Erhvervsudvalg.

»På baggrund af Erhvervsstyrelsens udtalelse (...) finder jeg på nuværende tidspunkt ikke, at konsekvenserne for omhandlede teleselskaber er utilstrækkelige,« skriver Simon Kollerup.

Teleselskaberne har ellers gang på gang vist, at de ikke har styr på sikkerheden, når de udleverer sim-kort.

Sim-kort kan i de forkerte hænder misbruges til vidtgående angreb på offerets online-identitet, idet kontrol over telefonnummeret kan låse op for mails samt omgå tofaktor-identifikation.

Derudover kan et sim-tyveri bruges til en lang række fysiske svindelnumre, blandt andet mod offerets professionelle og private kontakter.

Ingen konsekvenser

Ministerens svar til Folketinget indeholder også en redegørelse fra Erhvervsstyrelsen. Af denne fremgår det, at teleselskaberne skal indberette illegale sim-swaps til styrelsen. Herefter kan styrelsen vælge at give teleselskabet en bøde.

Ifølge redegørelsen er der ikke blevet uddelt sådanne straffe. Styrelsen har ikke fået en eneste indberetning.

Version2 alene har ellers fået udleveret adskillige sim-kort på ulovligt grundlag.

Yousee har også over for Version2 bekræftet, at man har omfattende problemer med sim-swap i branchen. Især når der er tale om mere sofistikerede kneb end dem, Version2 brugte til at stjæle vores egne telefonnumre.

Problemerne er så omfattende, at man i branchen overvejer at stoppe med at udlevere sim-kort i de fysiske butikker.

Alvorlige svindel-episoder

Derudover har Version2 kendskab til et eksempel, hvor en telekunde fik stjålet 270.000 kroner gennem et hacket NemID. Det vil vi gå i detaljer med i en kommende artikel, men det kunne ikke være sket uden et sim-swap.

Yousees indrømmelser og den økonomiske svindel betyder to ting:

For det første er sim-swap et reelt problem med store konsekvenser i Danmark. For det andet indberetter teleselskaberne ikke disse eksempler, så ministeren kender ikke problemets omfang.

Læs også: Hackere kan overtage mailkonti hos Google og Microsoft alene via et telefonnummer

Norsk rabalder

Helt anderledes gik det til i Norge, da en lignende skandale rullede tidligere i år. På samme måde som herhjemme satte en artikelserie om sim-swaps fokus på problematikken, og resultatet blev, at den norske digitaliseringsminister, Nikolai Astrup, stillede sig op på et pressemøde og sagde, at alle de norske teleselskaber havde brudt loven.

Dernæst satte han sig ned og forfattede et lovforslag, der i skrivende stund er i høring hos de relevante parter.

Derudover kommer hans ministerium med en konkret løsning: Brug BankID, der er en pendant til NemID i Danmark.

Imens stoler de danske myndigheder på en teleindustri, der ikke indrapporterer sine egne fejl, og som gentagne gange er dumpet i vores lavpraktiske stikprøver.

Ingen tager ansvar

Version2 har forsøgt at indhente et svar fra Erhvervsstyrelsen og Erhvervsministeren, men disse henviser til Energistyrelsen.

Som det opsummeres i denne artikel falder problematikken nemlig ned mellem ikke bare to, men fire stole:

»Vi har altså fire myndigheder. Og det barokke er, at den primære myndighed på området – nemlig Energistyrelsen – ikke længere har noget at skulle have sagt i den slags sager, selvom de er sektormyndighed,« lød det blandt andet fra professor i teleret ved CBS Søren Sandfeld Jakobsen.

Myndigheds -og tilsynsansvaret er fordelt ud mellem Datatilsynet, Center for Cybersikkerhed, Erhvervsstyrelsen og Energistyrelsen.

Så der er rigeligt med hænder til at holde ansvarsbolden i luften.

Teleindustrien, der er brancheorganisation for teleselskaberne, er blevet indkaldt til møder med Erhvervsstyrelsen, Datatilsynet og Center for Cybersikkerhed. Disse møder skal hjælpe med at forbedre sikkerheden på området, og Version2 følger op, når der er nyt fra disse.