Datatilsynets versjon

Datatilsynet forsøkte å hindre at katastrofen kunne skje, men mange forhold gjorde dette vanskelig.

Publisert 09.10.07 13:00

Magnus Blaker magnus.blaker@nettavisen.no @mBlaker

Tips oss

Sms/mms: Send TIPS til
2030 E-post: tips@nettavisen.no

Størst tekst Større tekst Normal tekst

30. juli skrev Dagbladet.no at informasjonsdirektør Ove Skåra i Datatilsynet sa han ikke visste det fantes denne type programvare på nett som gjorde det mulig å høste informasjon fra teleaktørene.

- Nei det visste vi ikke, men dette viser hvor lett det er. Nå må de som gjør dette mulig ta bort skylappene og bedre sikkerheten. Denne informasjonen kan brukes av kriminelle, sa han til Dagbladet.no.

Personen som skrev et program som kunne tappe informasjon fra Talkmore, og sendte dette til både Talkmore og Datatilsynet i midten av juli, reagerer kraftig på det han forstod som løgn fra Datatilsynets side.

Ove Skåra Foto: Berit Roald

Oppklarer uttalelse
Nettavisen har snakket med Skåra om denne uttalelsen, som oppklarer det hele.

- Vi visste veldig godt at det var veldig enkelt å lage denne typen programvare, noe vi også hadde skrevet en sak om på våre nettsider like etter publiseringen av forskningsartikkelen fra Universitetet i Bergen, men jeg svarte som sant var at jeg ikke klar over at et program for tapping av opplysninger fra Tele2s nettsider lå tilgjengelig på nett, sier han.

Mange forskjellige programmer
Programmet Datatilsynet var varslet om angående Talkmore, og det programmet som ble benyttet på Tele2s sider, er skrevet av forskjellige personer. Talkmore-programmet ble ikke spredt på samme måten som Tele2-programmet, og det er trolig ikke det samme programmet som Talkmore ble varslet om som ble benyttet til å tappe selskapet for 20.000 personnummer.

Mange vil nok synes at det er rart at Datatilsynet ikke reagerte når de fikk tilsendt dette programmet. Skåra forklarer dette med at Datatilsynet rett og slett ikke har resurser og kapasitet til å reagere raskt nok på slike ting, og har ikke et team klart til å kaste seg over tipsene etter hvert som de kommer inn. Han påpeker også at det ikke er tilsynets oppgave å sørge for at hver enkelt teleoperatør har tilfredsstillende informasjonssikkerhet.

Personnummer misbrukes mye
Personnummer er ikke i norsk lov definert som sensitiv informasjon som er hemmelig, men likevel har det i lang tid vært mulig å utnytte personnummer i stor grad til persontyveri. Dette er fordi personnummer ofte misbrukes av forskjellige bedrifter som autentisering fremfor en identifikator.

Eller sagt på en litt forenkelt måte: Fremfor å ha personnummer som et brukernavn, så blir personnummeret passordet.

Bør personnummerbruk forbys?
Mange har lurt på hvorfor dette ikke er forbudt. Men ifølge Skåra er loven klinkende klar.

- Fødselsnummer kan lovlig brukes for å identifisere en person inni en database, for de virksomheter som oppfyller lovens kriterier for dette, og det er slett ikke i alle sammenhenger. Men vi ser i praksis at mange virksomheter synes det er greit å bruke dette som en type «passord», en slaks autentiseringsmekanisme, og der har vi hatt mange saker der våre vurderinger har blitt bestridt, forteller Skåra.

- Bestemmelsene er egentlig klare nok: §12 sier at fødselsnummer bare skal brukes når det er behov, og bare for identifisering, ikke autentisering, sier han.

Teleselskapene kan holdes ansvarlig
De utsatte teleselskapene har anmeldt forholdene til politiet, og Kripos har gjort beslag i flere steder de siste ukene. Etter all sannsynlighet har personene som har utnyttet disse programmene gjort noe ulovlig med innhenting av informasjonen, selv om den har ligget åpent tilgjengelig.

Mange mener likevel at det er teleselskapene som bør straffes i denne saken fordi de har unnlatt å gjøre noe med sikkerheten, og at det var sivil ulydighet som måtte til for at de skulle ta denne saken på alvor.

Leif T. Aanensen Foto: Berit Roald

- Det er ikke noe tvil om hvem som har ansvaret om korrekt behandling av personopplysninger, men det er ikke slik at du bare kan stjele en ulåst sykkel. For oss er det veldig viktig at politiet også får tak i de som har samlet inn personopplysningene, for personopplysninger er på avveie, forteller Leif T. Aanensen, leder for tilsyn- og sikkerhetsavdelingen i Datatilsynet til Nettavisen.

Vurderer anmeldelse
- Vi har ikke tatt stilling til om vi skal anmelde teleselskapene. For at vi skal kunne anmelde så må det være klare lovovertredelser. Hadde jeg vært en privatperson så kan jeg bare sende inn en anmeldelse. Når det er forvaltningsorganer så må terskelen være noe høyere. Vi må gjøre en omfattende saksbehandling, og det er i den prosessen vi er i nå, forteller Aanensen.

Informasjonsdirektør Ove Skåra forteller samtidig at Datatilsynets sjef Georg Apenes som privatperson både har anmeldt teleoperatøren og personene som utnyttet hans personopplysninger i denne forbindelse.

Påfallende rask reaksjon
Aanensen synes det er påfallende hvor raskt det gikk å tette hullene når de først ble utnyttet, og er bekymret for motviljen de møtte hos teleselskapene når de påpekte svakhetene.

- Teleselskapene fremstilte tilsynets bekymringer som teoretiske svakheter.

- Spørsmålet er hvor kraftig lut vi burde ha brukt, og det er det jo ulike meninger om, og noen vil kanskje mene at vi burde reagert kraftigere. Vi har forvaltningsloven å forholde oss til, som setter visse rammer for hvordan vi kan opptre. Det er rett og slett prosessregler som gjør at ting nødvendigvis må ta noe tid, sier Aanensen. Tilsynet forteller dette handler om rettssikkerhet for de berørte virksomhetene.

Vil ha bedre sanksjonsmuligheter
Datatilsynet legger ikke skjul på at de savner mulighet til å reagere på flere måter enn de har mulighet til i dag.

- Vi kunne godt tenke oss en alternativ reaksjonsform, i form av et overtredelsesgebyr, noe vi ikke har i dag. Det eneste vi har mulighet til da er å anmelde, noe som er et ganske drastisk steg. Slike reaksjoner kan føre til ganske alvorlige konsekvenser i virksomhetene, sli vi for eksempel så det i Vinmonopolet, der det nok medvirket til sjefens avgang.

Aanensen er glad for at denne saken har ført til at sikkerheten har blitt langt bedre i mange tilfeller, men er klar på at det på ingen måte er slik at vi nå har kvittet oss med svakheter når det gjelder virksomhetenes behandling av personopplysninger.

- Bare for 2-3 uker siden sendte vi vedtak til en bank der var det samme type svakheter på nettsidene, forteller Aanensen.

Nyheter på mobil

Alltid oppdatert med Nettavisen

Hold deg oppdatert uansett hvor du er med Nettavisens mobilavis.
Adressen er mobil.nettavisen.no for vanlige mobiltelefoner, eller www.nettavisen.no/iphone/ for smartphones.

Du kan også få direkte sms-varsel ved store hendelser:

Nyhetsvarsel: Send NYHET START til 2030 (Prøv GRATIS i 1 måned, deretter kr 4,- per melding)

Sportsvarsel: Send SPORT START til 2030 (Kr 2,- per melding)

Økonominyheter: Send NA24 START til 2030 (Kr 4,- per melding)

Avslutte abonnement: Send kommandoordet + STOPP til 2030

Facebook fanpage

Annonsere

Ønsker du å annonsere på Nettavisen eller Side2? Klikk her