ID-tyver blir mer og mer oppfinnsomme. (Bilde: FBI)
Skjerping. Leif T. Aanensen i Datatilsynet mener mobilbransjen må sikre personopplysninger bedre. (Bilde: Berit Roald/Scanpix)
Tele 2 har fått erfaring med ID-tyveri. (Bilde: Tele2)

Krever vern mot ID-tyveri

  • IT

Tilsynets tiltak

Her er noen av sikkerhetstiltakene fra Datatilsynet:

Virksomheten må med rimelighet forvisse seg om at samhandling skjer med rette vedkommende. Ved etablering av nye kundeforhold bør rekommandert sending eller annen form for sikret formidling benyttes.

Systemet må ikke gi respons om informasjon som er tastet inn er gyldig eller ikke. Konkrete tilbakemeldinger, som for eksempel at ”fornavn stemmer ikke” kan misbrukes til vask av ulovlige databaser.

Det må anordnes vern mot maskinell innhøsting eller annen tilsvarende misbruk av siden. Inntil videre kan piktogram med tilstrekkelig sikkerhet være et tilfredstillende tiltak.

I løsninger hvor personopplysninger utveksles, må tilstrekkelig sikring av konfidensialitet etableres. Det kan for eksempel gjøres med kryptering av kommunikasjonen.

Det bør anordnes begrensninger i antall forsøk samme individ/maskin skal kunne benytte på en skjematjeneste.

Usikret e-post er ikke egnet til utsendelse av brukernavn og passord.

Eventuell innhentet fødselsnummeret skal slettes etter at kredittsjekk er gjennomført.

Bakgrunn

  • Storsvindel i vest
  • Storsvindelsaken i Stavanger denne høsten er én av episodene som har fått varsellampene til å blinke hos Datatilsynet.
  • To menn ble dømt for å ha svindlet flere mobilselskaper for mer enn fem millioner kroner i trafikkostnader. De ble dømt for grovt bedrageri med SIM-kort, der 61 personers identiteter ble misbrukt.
  • De to pakistanske statsborgerne skal alene eller sammen med andre ha forledet ansatte i seks teleselskap til å utstede SIM-kort.
  • De har bestilt mobilabonnement over internett ved misbruk av andre personers personnummer/identitet. Telefonnumrene ble totalt belastet med fem millioner kroner i trafikk.
  • 90 forskjellige telefonabonnement ble bestilt, mens totalt 61 personer har fått sin identitet misbrukt i forbindelse med bestillingene.
  • Det største kravet er på 361.000 kroner, og to andre krav ligger rundt 200.000 kroner hver.
  • Ett av teleselskapene er alene svindlet for 2,5 millioner kroner. Et annet for drøyt 1 million.
  • De fleste SIM-kortene er brukt i Hellas. Her har man med norske telefonnumre ringt opp numre på øystaten Kiribati 300 mil nord for New Zealand i Stillehavet. Dette har generert store kostnader, fakturert fra Kiribati, via Hellas til Norge.
  • En av metodene som svindlerne har brukt, er bestilling av SIM-kort til mobiler på en annen persons adresse. De har opprettet en fiktiv adresse og satt opp en postkasse med navnet på den misbrukte personen. Etter en stund faller det tilsendte SIM-kortet ned i den falske postkassen og blir plukket opp av svindlerne. Så tar de kortet i bruk mens regningen øker. Fakturaen dukker etter hvert opp hos personen som er blitt frastjålet identiteten, mens det i siste instans er mobilselskapet som må ta disse kostnadene.


Kilde: Stavanger Aftenblad



Tilsynet er langt fra fornøyd med hvordan mobiltelefonselskapene håndterer kundenes personopplysninger.

Tidligere i år hentet uvedkommende ut opplysninger om 180.000 kunder fra en rekke selskaper over internett.

Og politiet i Stavanger rullet i høst opp en omfattende bedragerisak, der bransjen ble belastet med mobiltrafikk for mer enn fem millioner kroner som følge av stjålne identiteter og falske bestillinger av SIM-kort.

Les også:

Redusere risiko

– Nå sender vi ut en veiledning til alle mobilselskapene, som skal redusere risikoen for ID-tyveri ved bestilling av abonnement over internett, opplyser avdelingsdirektør Leif T. Aanensen. Han leder Tilsyns- og sikkerhetsavdelingen hos Datatilsynet.

Foreløpig er det usikkert når myndighetene kommer med et felles system for elektronisk signatur, som skal sikre at det faktisk er rett person som foretar et kjøp over nettet. I mellomtiden mener Datatilsynet at mobilselskapene må stramme inn på sine rutiner for å hindre ID-tyveri, personopplysninger på avveie og falske bestillinger. Et umiddelbart grep er å stoppe utsendelse av SIM-kort med vanlig post.

– Kortet bør sendes rekommandert, slik at kunden fysisk må hente det på postkontoret. Det reduserer faren for svindel, sier avdelingsdirektøren.

Lagring øker

Tilsynet frykter at ID-tyverier er i ferd med å utvikle seg i samme dystre tempo som i USA.

– Der registrerte man 750.000 tilfeller av ID-tyveri i 2001. I fjor var omfanget økt til ti millioner, påpeker Aanensen. Han mener at en rekke mobilselskaper har en lemfeldig omgang med kommunikasjonsdata. Om et års tid kommer det såkalte lagringsdirektivet fra EU, som betyr at bransjen skal lagre opplysinger om kundenes mobilbruk i kanskje opp til ett år.

– Nå legger vi ut en veiledning til alle teleselskapene, som kan bidra til å redusere risikoen for ID-tyveri ved bestilling av abonnement over internett, opplyser avdelingsdirektør Leif T. Aanensen. Han leder Tilsyns- og sikkerhetsavdelingen hos Datatilsynet.

Foreløpig er det usikkert når myndighetene kommer med et felles system for elektronisk signatur, som skal sikre at det faktisk er rett person som foretar en bestilling over nettet. I mellomtiden mener Datatilsynet at mobilselskapene må stramme inn på sine rutiner for å hindre ID-tyveri, personopplysninger på avveie og falske bestillinger. Et umiddelbart grep er å stoppe utsendelse av SIM-kort med vanlig post.

– Kortet bør sendes rekommandert, slik at kunden fysisk må hente det på postkontoret. Det reduserer faren for svindel, sier avdelingsdirektøren.

Lagring øker

Tilsynet frykter at ID-tyverier er i ferd med å utvikle seg i samme dystre tempo som i USA.

– Der registrerte man 750.000 tilfeller av ID-tyveri i 2001. I fjor var omfanget økt til ti millioner, påpeker Aanensen. Han mener forøvrig at en rekke mobilselskaper har en lemfeldig omgang med trafikkdata. Om et års tid kommer det såkalte lagringsdirektivet fra EU, som betyr at bransjen skal lagre opplysinger om kundenes bruk av fast- og mobiltelefon i kanskje opp til ett år.

– Derfor må selskapene skjerpe inn sine rutiner. Ikke bare for å sikre opplysningene de sitter på i dag, men for å være forberedt på den massive økningen i sensitiv informasjon som er på gang, sier Aanensen til Teknisk Ukeblad.





Frykter økte kostnader

Mobilselskapene er innstilt på skjerpet sikkerhet, men kostnadene kan bli høye.

Tele 2 er blant de mange mobiloperatørene som har vært utsatt for ID-tyver. Selskapet kommer til å ta en fullstendig gjennomgang av sikkerhet og rutiner når det har mottatt anbefalingene fra Datatilsynet.

– Foreløpig kommer vi ikke til å endre praksis med å sende ut SIM-kort med ordinær post, sier markedsdirektør Christian Sæterhaug hos Tele2 Norge til Teknisk Ukeblad.

Dyrt

Telenor er innstilt på å følge den kommende veiledningen fra Tilsynet. Imidlertid syns telegiganten at rekommandert utsending av SIM-kort blir for dyrt.

– Kort og kode sendes i dag ut med A-post hver for seg og koster drøyt åtte kroner til sammen. Med rekommandert sending vil kostnadene øke til over 60 kroner. I tillegg kommer ekspedisjonsjobben, som er manuell og tidkrevende, siden vi må listeføre navn og adresser manuelt. Jeg kan dessverre ikke fortelle hvor mange SIM-kort vi sender ut hver uke, men det er et betydelig antall, og følgelig snakker vi om vesentlige kostnadsøkninger. I tillegg vil rekommanderte sendinger innebære at kunden må hente SIM-kortet hos Posten. Disse forhold har gjort at vi i dag ikke har planer om å innføre en slik løsning, sier personvernombud Kjetil Rognsvåg hos Telenor.